1조 개요
1항 목적
- 이 지침은 개인정보 유출등 사고 발생 시 회사가 관련 법령과 내부 기준에 따라 신속하고 적정하게 대응하기 위한 공개 기준을 안내하는 것을 목적으로 합니다.
2항 법적 근거 및 적용 범위
- 회사는 개인정보보호법 및 관련 법령에 따라 개인정보 유출등 사고에 대응합니다.
- 본 지침은 해킹, 분실, 도난, 오·남용, 권한 없는 접근 등으로 개인정보가 유출되거나 유출이 의심되는 경우에 적용됩니다.
2조 유출사고 대응 원칙
1항 신속한 초기 대응
- 회사는 개인정보 유출등 사고를 인지한 경우 사고 확산 방지와 피해 최소화를 위해 신속히 필요한 조치를 검토·이행합니다.
- 사고 유형과 규모, 개인정보의 성격, 서비스 영향도 등을 확인하여 대응 우선순위를 정합니다.
2항 사실 확인 및 증적 보전
- 회사는 사고 원인과 영향 범위를 파악하기 위하여 필요한 사실관계를 확인합니다.
- 클라우드 및 내부 저장환경에서 발생한 사고에 대해서는 관련 법령과 내부 기준에 따라 필요한 사실관계와 증적을 확인할 수 있습니다.
3조 정보주체 통지 및 관계기관 신고 원칙
1항 정보주체 통지
- 회사는 관련 법령에서 정한 기준에 따라 정보주체 통지 대상 여부와 통지 항목을 판단하고, 필요한 경우 지체 없이 안내합니다.
- 통지 시에는 유출된 개인정보 항목, 유출 시점과 경위, 피해 최소화를 위한 조치 방법, 회사의 대응 조치 및 문의 경로 등 필요한 사항을 포함할 수 있습니다.
2항 관계기관 신고
- 회사는 사고 유형, 규모, 개인정보의 성격 및 침해 경위를 고려하여 관련 법령상 관계기관 신고 대상 여부와 기한을 판단합니다.
- 신고가 필요한 경우 관련 법령상 통지·신고 기한을 준수하여 필요한 절차를 이행합니다.
4조 민원 대응 및 피해 최소화 원칙
1항 민원 대응
- 회사는 사고와 관련한 문의, 권리 행사 요청, 피해 우려 사항에 대하여 공식 공지 채널 또는 고객 응대 채널을 통해 필요한 안내를 제공할 수 있습니다.
- 회사는 정보주체의 불안을 최소화할 수 있도록 확인된 사실과 조치 현황을 바탕으로 일관된 안내를 제공합니다.
2항 피해 최소화
- 회사는 유출 항목과 사고 특성에 따라 비밀번호 변경, 인증수단 점검, 추가 본인확인 등 피해 최소화를 위한 일반적인 조치 사항을 안내할 수 있습니다.
- 필요한 경우 관계 기관의 상담·신고 채널 등 추가적인 구제 수단도 함께 안내할 수 있습니다.
5조 클라우드 및 내부 저장환경 대응 원칙
- 회사는 서비스 운영 과정에서 사용하는 클라우드 및 내부 저장환경에 대해 필요한 보호조치와 점검, 재발방지 조치 등을 검토·이행합니다.
- 외부 서비스 제공자와 연계된 환경에서 사고가 발생한 경우에는 관련 계약 및 법령에 따라 필요한 협조를 요청할 수 있습니다.
6조 재발방지 및 사후 점검
- 회사는 사고 원인 분석 결과를 바탕으로 보호조치 보완, 운영 기준 개선, 필요한 교육 및 점검을 실시할 수 있습니다.
- 유사 사고의 재발을 방지하기 위하여 필요한 관리적·기술적 개선 사항을 검토하고 이행합니다.
