> 학사/행정 > 개인정보처리방침 > 개인정보 유출·침해 사고 대응  

제1장 총칙
제1조 (목적) 이 지침은 국민대학교(이하 “본교”라 한다)에서 개인정보침해사고 발생 시 사고대응 및 처리방법과 이를 위한 사전 준비사항에 대하여 정의함을 목적으로 한다.
제2조 (적용범위) 본 지침의 적용범위는 본교의 개인정보를 취급하는 대학 내부 교직원(계약직 등 비정규직 포함)을 대상으로 한다.
제3조 (용어정의) 본 지침에서 사용하는 용어의 정의는 다음과 같다.
1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
3. “개인정보보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자를 말한다.
4. “개인정보보호 분야별책임자”(이하 “분야별책임자”라 한다)란 업무를 위하여 개인정보파일을 처리하는 부서의 장으로 개인정보 보호책임자가 지정한 자를 말한다.
5. “개인정보보호담당자”란 각급기관의 실질적인 개인정보 보호업무를 담당하는 자로 개인정보 처리자가 지정한 자를 말한다.
6. “개인정보취급자”란 개인정보처리자의 지휘감독을 받아 개인정보를 처리하는 자로서 직원, 파견근로자, 시간제근로자 등을 말한다.
7. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
8. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
9. 개인정보의 유출이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말한다.
가. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
나. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
다. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 그 밖에 저장매체가 권한이 없는 자에게 잘못 전달된 경우
라. 그 밖에 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우

제2장 개인정보침해사고 대응에 관한 역할
제4조 (개인정보보호책임자) ① 개인정보보호책임자는 개인정보침해사고 예방, 처리 및 재발방지의 총괄 관리를 한다.
② 개인정보보호책임자는 개인정보침해사건 발생 시 침해사고 처리책임자를 지정하고 개인정보침해사고 대응팀을 소집하여 운영한다.
제5조 (개인정보침해사고 대응팀) 개인정보보호분야별책임자로 구성되며 개인정보보호책임자가 해당 침해사고 분석, 대응 및 복구에 필요한 관련자를 지정하여 소집한다. 필요시 업무담당자, 외부 전문가 등이 포함될 수 있다.
제6조 (침해사고 처리책임자) 해당 침해사고의 발생 부서의 장으로 지정되며 처리 및 재발방지에 대한 책임을 지고 개인정보침해사고 대응팀과 협력하여 사고를 해결한다.
제7조 (개인정보보호담당자) ① 개인정보침해사고를 접수하고 본 지침 제10조의 기준에 따라 등급을 분류하여 침해사고 대응 절차를 개시한다.
② 개인정보침해사고 대응팀의 간사로서 대내외 비상연락망을 관리하고 팀 내 연락 및 조정을 담당한다. [붙임5] 참조
③ 개인정보침해기록을 관리하고 필요시 관련자 및 기관에 보고한다.
제8조 (정보보안담당자) 정보보안담당자는 침해사고 발생 시 기술적인 분석을 제공한다.
제9조 (전직원) 대학의 내부 교직원(계약직 등 비정규직 포함)은 개인정보에 대한 침해가 발생한 것을 인지한 경우, 지체없이 개인정보보호담당자에게 신고하여야 한다.

제3장 침해사고의 분류
제10조 (개인정보침해의 분류) 개인정보침해사고는 다음과 같이 3등급으로 분류한다.
침해
등급
내용 예시
1등급 법적 근거, 규정 또는 본인의 동의 없이 개인정보가 대학 외부의 제3자에게 노출 또는 제공
  • 해킹, DDOS, 내부자에 의한 개인정보 유출
  • 본인 동의 없이 목적 외 이용 또는 제3자 제공 등
2등급 법적 근거, 규정 또는 본인의 동의 없이 개인정보를 수집, 접근, 분석, 이용, 내부자에게 제공, 저장, 파기
  • 개인정보취급 권한이 없는 직원이 개인정보 취급․훼손
  • 개인정보 취급자에 의한 개인정보 훼손․침해
  • 이용자의 동의 없는 개인정보 수집/이용
  • 과도한 개인정보 수집 등
3등급 안전하지 않은 상태로 개인정보를 저장하거나, 파기해야 할 정보를 파기하지 않는 등 세부지침의 규정 위반
  • 주요 개인정보(고유식별번호 등) 암호화 미실시
  • 개인정보에 대한 기술적․관리적 조치 미비
  • 개인정보 수집 또는 제공받은 목적 달성 후 개인정보 미파기 등

제4장 개인정보침해 대응 절차
제11조 (개인정보침해 예방 및 탐지) ① 개인정보보호담당자는 웹사이트를 통한 개인정보 유출을 예방하기 위하여 개인정보 유출차단 시스템을 운영·관리한다.
② 게시판 등에 자료를 게재할 때 개인정보 유출에 대하여 주의를 환기시키기 위한 경고를 제공하여야 한다.
③ 개인정보보호담당자는 년 1회 웹사이트의 개인정보 노출 취약점 점검을 시행하고 개인정보보호책임자에게 결과를 보고한다.
제12조 (개인정보침해의 신고) ① 대학 내부직원(계약직 등 비정규직 포함)이 취급하는 개인정보에 대하여 본 지침 제10조에서 정의한 침해가 발생한 것을 인지한 경우 또는 그러한 침해의 발생이 의심되는 경우 지체없이 개인정보보호담당자에게 신고하여야 한다.
대학 홈페이지 종합정보시스템 양식함 개인정보침해사실신고서작성
② 개인정보침해사고 발생시 고의적으로 신고를 누락 한 경우 개인정보보호책임자는 관련자에 대한 처분(징계 등)을 요청 할 수 있다.
제13조 (개인정보침해사고의 접수) ① 개인정보보호담당자는 개인정보침해사고를 접수한 경우 [붙임1] “개인정보 침해사고 관리대장” 에 사고 접수를 기록한다.
② 개인정보보호담당자는 접수 후 지체 없이 개인정보보호책임자에게 보고 한다.
제14조 (개인정보침해사고 대응팀 구성) ① 개인정보보호책임자는 유출 또는 제공된 정보의 종류에 따라, 발생 부서의 분야별책임자를 침해사고 처리책임자로 지정하여 개인정보침해사고 대응팀을 구성한다.
② 발생 부서를 적시할 수 없거나 담당 분야별책임자가 침해사고에 연루된 경우 개인정보보호책임자가 임의로 침해사고 처리책임자를 지정할 수 있다.
③ 개인정보침해사고 대응팀은 분야별책임자 중에서 사안에 따라 선정한다.
④ 2, 3등급 침해의 경우 개인정보보호책임자는 침해사고처리책임자와 협의하여 개인정보침해사고 대응팀을 구성하지 않을 수 있다.
⑤ 개인정보보호책임자는 필요시 외부 전문가에게 분석을 의뢰할 수 있다.
제15조 (침해사고의 분석) ① 침해사고 처리책임자는 침해 사실 여부를 확인하고 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사한다. ② 침해사고 처리책임자는 필요한 경우 개인정보침해사고 대응팀 또는 개인정보보호책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집한다.
제16조 (침해사고의 대응 및 복구) ① 1등급의 경우 침해사고 처리책임자는 해당 개인정보를 파기 또는 회수하기 위한 조치를 취한다.
② 2등급의 경우 침해사고 책임자는 해당 개인정보를 파기, 회수 또는 복구하기 위한 조치를 취하거나 정보주체의 사후 동의를 받아 근거를 마련한다.
③ 3등급의 경우 침해사고 처리책임자는 해당 개인정보를 적절히 보호하거나 파기하기 위한 조치를 취한다.
④ 침해사고 처리책임자는 즉각적 조치가 가능한 경우 재발방지 조치를 취한다.
제17조 (침해사고의 종료) ① 침해사고 처리책임자는 [붙임2] 개인정보침해사고 처리보고서를 작성하여 개인정보보호책임자에게 제출한다.
② 개인정보보호책임자는 개인정보침해사고 처리보고서를 검토하고 승인한다.
③ 개인정보보호책임자는 개인정보침해 관련자에 대한 처분(징계 등)을 해당부서에 요청 할 수도 있다.
④ 개인정보보호담당자는 개인정보침해사고 처리보고서를 관리하고 처분(징계 등) 결과를 기록한다.
제18조 (침해사고 사후분석) ① 침해사고 처리책임자는 처리보고서 제출 후 30일 이내 근본원인 분석, 교훈 및 예방을 위한 개선대책을 마련하여 개인정보보호책임자에게 제출한다.
② 개인정보보호책임자는 개선안을 검토하여 시행 및 변경 여부와 시기를 결정한다.
③ 개인정보보호책임자는 필요하다고 판단할 경우 사고의 교훈을 적절한 대상을 지정하여 전파 및 교육을 할 수 있다.
④ 개인정보보호책임자는 개선안 시행, 교훈 전파 및 교육 후 그 성과를 검토한다.

제5장 개인정보침해사고의 관리
제19조 (개인정보침해사고의 보고) 개인정보보호책임자는 1등급 사고의 경우 발생 즉시 및 수시로 그 진행 현황을 총장에게 보고한다.
제20조 (개인정보침해사고의 현황 관리) 개인정보보호책임자는 개인정보침해사고 현황을 분석하여 추가적인 개선대책이 필요한 경우 개선 대책을 마련하여 시행한다. 개선 대책에는 교육자료 활용 등을 포함할 수 있다.
제21조 (개인정보침해사고 교육훈련) 개인정보보호책임자는 전 직원에게 연1회 이상 개인정보침해사고의 유형과 보고 방법을 교육하여야 한다.

제6장 개인정보의 유출․침해시 처리방안
제22조 (개인정보유출 통지시기 및 항목) ① 개인정보보호 담당자는 실제로 유출 사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다.
   1. 유출된 개인정보의 항목
   2. 유출된 시점과 그 경위
   3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
   4. 개인정보처리자의 대응조치 및 피해구제절차
   5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보보호담당자는 제1항 제2호의 경우 개인정보 유출 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무를 입증하여야 한다.
③ 개인정보보호담당자는 제1항 각 호의 조치를 취한 이후에는 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있다.
   1. 정보주체에게 유출이 발생한 사실
   2. 제1항의 통지항목 중 확인된 사항
제23조 (개인정보유출 통지방법) ① 개인정보보호담당자는 정보주체에게 제22조제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 5일 이내에 정보주체에게 알려야 한다.
② 개인정보 보호담당자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제22조제1항 각 호의 사항을 공개할 수 있다.
제24조 (개인정보 유출 보고 절차) ① 개인정보보호담당자는 정보주체에 관한 개인정보 유출내용 및 조치결과를 5일 이내에 교육부(정보보호화과)에 보고하여야 한다. 다만 1만명 이상의 개인정보가 유출된 경우에는 행정자치부장관 또는 개인정보보호법 시행령 제39조제2항 각 호의 전문기관 중 어느 하나에 신고하여야 한다.
② 제1항에 따른 신고는 [붙임4] 개인정보 유출신고서를 작성하여 공문으로 신고하여야 한다.
③ 개인정보 보호담당자는 전자우편, 모사전송 또는 인터넷 사이트를 통하여 유출 보고 또는 신고를 할 시간적 여유가 없거나 그 밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제22조제1항 각 호의 사항을 신고한 후, [붙임4] 개인정보 유출신고서를 제출할 수 있다.
[ 유출신고 기관 및 연락처 ]
○ 교육부(정보보호화과)
  • 전화: 044-203-6504 / FAX 044-203-6185
○ 한국인터넷진흥원(privacy.kisa.or.kr)
  • 전화: 118(ARS 내선 2번) / Fax: 02-405-4789 / 메일: privacy@kisa.or.kr
  • 우편: 서울시 송파구 중대로 135 (가락동 78) IT벤처타워 개인정보침해신고센터/개인정보분쟁조정위원회
  • 방문: (찾아오시는 길) 지하철 8호선 가락시장역 2번 출구 경찰병원 방향 400
④ 유출통지는 서면, 전자우편, 팩스, 전화, 문자전송 등의 방법으로 정보주체에게 개별 통지하여야 하며, 1만명 이상 개인정보 유출 시에는 개별 통지와 함께 홈페이지에 유출통지 내용(5개항목)을 7일 이상 게시하여야 합니다.
제25조 (개인정보침해 신고자의 보호) ① 개인정보침해 신고자의 신분은 침해사고 대응에 반드시 필요한 경우 반드시 필요한 담당자 및 권한자에게만 제공되어야 하며 외부로 노출되어서는 아니 된다.
② 개인정보침해 신고자는 어떠한 경우에도 신고로 인해 불이익을 당하는 경우가 없어야 한다.
제26조 (개인정보 침해신고에 대한 대응) 개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해신고센터에 침해사실을 신고한 경우, 해당기관이 사실의 조사·확인을 통해 필요한 조치를 취하므로 사실조사에 적극 협조하여야 한다.
제27조 (개인정보 침해구제 절차) 개인정보 침해구제 절차는 다음과 같습니다.
① 개인정보 침해에 대한 신고(☏118, privacy.kisa.or.kr)
② 개인정보침해신고센터의 사실조사(서면, 방문조사 등)
③ 사실조사 결과 통보 및 위법 사실 발견시 조치(수사의뢰, 과태료 등)
④ 손해배상, 침해행위 중지, 재발방지 등에 대한 분쟁조정 (☏118, privacy.kisa.or.kr)
※ 동일 피해를 입은 정보주체가 50명 이상인 경우 집단분쟁조정 신청 가능
⑤ 분쟁조정위원회 자료조사 및 조정안 작성
⑥ 조정안 제시(당사자들이 조정안 수용시 재판상 화해의 효력을 갖음)
⑦ 분쟁조정이 실패할 경우 민사소송 또는 단체소송 제기 가능(관할 지방법원)
※ 단체소송은 권리침해행위의 금지·중지를 구하는 소송
부 칙
① (시행일) 이 지침은 2015년 9월 1일부터 시행한다.



[붙임1] 개인정보침해사고 관리대장
[붙임2] 개인정보침해사고 처리보고서
[붙임3] 개인정보 침해사실 신고서
[붙임4] 개인정보 유출신고(보고)서
[붙임5] 침해사고 비상연락망
[별표1] 개인정보침해사고 모의시나리오