금융투자분야 개인정보 유출 대응 매뉴얼
2014. 6.
| 1. 목적 |
|
| [1] | 본 매뉴얼은 개인정보 유출이 발생했을 경우 피해 최소화를 위한 회사의 신속하고 효율적인 상황대응을 세부적으로 규정함 |
| 2. 개인정보 유출의 정의 |
|
| [1] | ‘ 개인정보'란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보를 의미 |
| [2] | ‘ 개인정보 유출'이란 정보주체의 개인정보가 개인정보처리자의 관리범위를 벗어나 외부에 공개, 제공, 누출 또는 누설된 모든 상태를 의미함 |
| ○ | 유출된 개인정보의 종류, 수량*, 암호화 여부**, 유출시기 및 개인정보처리자의 고의ㆍ과실 여부 등을 불문 |
| * | 단 1건만 유출되어도 정보주체에 대한 통지 등 의무 이행 필요 |
| * | * 유출된 정보가 암호화되어 있어도 정보주체 통지의무 부과 |
| 1. 사고인지 |
|
| ○ | 해킹, 바이러스, 시스템오류, 외부 인적침입 등 외부요인 분석 |
| ○ | 문서, Data file, 관계자 및 관련 범위 등 내부요인 분석 |
| 2. 사고대응팀 구성 및 운영 |
|
| [1] | 개인정보 유출사고 발생 시 해당사의 유출관련 세부내용 파악, 법률상 의무사항 이행 및 피해확산을 방지 |
| ○ | 고객 및 언론 응대, 신속한 의사결정 등을 위해 관련 부서로 구성된 비상대책반 구성ㆍ운영 필요 |
| [2] | 구성 및 부서별 주요 업무(금융회사 업무분장에 따라 상이할 수 있음) |
| ○ | 개인정보 유ㆍ누출 시 관계 법령에 따라 정부기관*에 신고해야 함 |
* 안전행정부(개인정보 보호법), 방송통신위원회ㆍ미래창조과학부(정보통신망법), 금융위원회ㆍ금융감독원(전자금융감독규정)
| * | 정보통신망법 개정('14.11.29. 시행)에 따른 적용, 추후 개인정보 보호법도 유사한 수준으로 개정 예정 |
| ※ | 기타사항 : 유ㆍ누출사고 발생 시 관계법령에서 정한 신고기관 외에도 감독당국 보고 및 수사기관 신고 필요 |
| * | 전화번호 및 전자우편 정보는 사전 예고 없이 변경될 수 있습니다. |
| 3. 고객 통지 |
|
| [1] | 개인정보처리자는개인정보 유출사실을 알게 된 때 지체 없이 정보주체에게 유출관련 내용*을서면, 전자우편, 전화 등의 방법으로 통지 |
* 개인정보 유출항목, 유출시점ㆍ경위, 피해 최소화 방법, 대응ㆍ피해구제절차 등
| * | 개정 정보통신망법('14.11.29. 시행)의 경우 24시간 이내로 적용, 추후 개인정보 보호법도 개정 예정 |
| 4. 피해신고센터 가동 |
|
| [1] | 개인정보 유출에 따른 고객 응대 및 민원ㆍ소송 등 분쟁 대응을 위해 피해신고센터를 운영함으로써, 고객 및 회사 피해 최소화 |
| 5. 고객민원 대응 |
|
| [1] | 개인정보 유출에 따른 후속 조치 중 고객 불편 최소화 대책 시행 |
| 6. 고객안심 조치 |
|
| [1] | 고객 불안 해소를 위해 안심조치 즉시 시행 |
| 7. 피해구제 절차 |
|
| [1] | 개인정보 유출에 따른 피해발생시 구제절차 신속 시행 |
| 3. | 정보기술부문 및 전자금융 사고보고서(별지3) |
참고1 사이버사기 대처요령
참고2 관련 법규
[별표/서식 파일]
