개인 정보 유출을 막는 8 가지 대책 | 기업에 필수적인 보안 대책, 발생시 조사도 해설
2023년 11월 16일
사이버 보안이란?사이버 공격의 구체적인 예와 대책, 정보 보안과의 차이를 알기 쉽게 해설
2023년 11월 20일
기업의 개인정보 유출은 고객정보를 다루는 모든 기업에 위험이 있습니다.누설사안 자체를 제로로 하는 것은 어렵기 때문에, 만일 개인정보가 누설했을 때에 필요한 보고등의 대응을 파악해 둘 필요가 있습니다.이 기사에서는 개인정보 유출이 발생한 경우의 보고의무나 대응방법에 대해 설명합니다.
개인정보(개인데이터), 개인정보의 유출이란?
개인정보보호법에서 구체적인 개인정보 항목과 개인정보 유출의 정의에 대해 설명합니다.
개인정보보호법이란
개인정보를 취급하는 경우의 룰에 대해 정하는 법률로, 2005년부터 전면 시행되었습니다.개인정보의 적절한 이용을 촉구하면서 개인의 권리나 이익도 보호함으로써 균형을 잡고, 보호의 대상이 되는 정보의 정의나 이용할 때의 룰을 규정하고 있습니다.준수하지 않으면 지도나 권고, 벌금 등으로 이어질 가능성이 있습니다.
개인정보와 개인 데이터, 항목의 구체예
개인정보란 특정 개인을 식별할 수 있는 정보를 말하며, 구체적으로는 이름, 생년월일, 주소, 혈액형, 성별, 직업, 전화번호, 수입, 생체정보, 신용카드 번호, 금융기관 정보, 그리고 비밀번호 등을 들 수 있습니다.개인 데이터란 기업이 관리를 위해 정리한 개인정보 데이터베이스를 구성하는 개인정보입니다.예를 들어 명함 관리 도구를 사용하여 검색할 수 있도록 체계화하고 정리한 것은 개인 데이터에 해당합니다.
개인정보 유출이란?
개인정보 유출이란 개인정보를 보유한 자 및 개인정보에 해당하는 자의 의도에 반하여 정보가 제XNUMX자에게 건너는 것입니다.개인정보 보호법에 있어서는, 데이터의 내용이 손실되는 「멸실」이나 의도하지 않은 형태로 변경되는 「훼손」도 총칭하여 「누설 등」이라고 정의되고 있습니다.
개인정보가 유출되었을 때의 보고의무란
개인정보 유출 시 필요한 보고와 그 방법에 대해 설명합니다.
보고 의무가 발생하는 요건
개인정보보호법에서는 개인정보 유출에 보고 의무가 발생하는 4가지 사례를 정하고 있습니다.우선, 인종이나 신조, 병력이나 범죄력 등의 특히 취급을 주의해야 할 「요배려 개인정보」가 누설된 경우.다음으로, 부정하게 이용되는 것으로 재산적 피해가 발생할 우려가 있는 것이 누설한 경우.게다가 부정의 목적을 가지고 누설이 행해졌을 경우.그리고 인원수가 1,000명을 넘는 데이터가 누설된 경우입니다.또한 이러한 4가지 사례가 발생했는지 정확하게 판단할 수 없는, 발생한 우려가 있는 것에 머무르는 경우에도 보고 의무가 발생합니다.
개인정보보호위원회에 보고
정보 유출의 발각으로부터 3~5일 이내에, 신속하게 개인 정보 보호 위원회에 「속보」를 줍니다.다음으로, 30일 이내에, 상세까지 포함한 「확보」를 제출합니다.개인정보보호법에 정해져 있는 XNUMX가지 사항, 즉 "개요" "누설 등이 발생하거나 발생했을 우려가 있는 개인 데이터의 항목" "누설 등이 발생하거나 발생한 우려가 있는 개인 데이터 에 관련된 본인의 수」 「원인」 「XNUMX차 피해 또는 그 우려의 유무 및 그 내용」 「본인에의 대응의 실시 상황」 「공표의 실시 상황」 「재발 방지를 위한 조치」 「그 외 참고가 된다 사항」에 대해서, 속보의 시점에서는 파악하고 있는 것만, 확보에서는 모두를 정확하게 보고할 필요가 있습니다.
본인에게 통지
상술한 바와 같이, 개인정보보호법에서는 보고를 하는 경우에 누설등의 대상이 된 본인에 대해서도 문서나 메일등의 수단으로 통지를 실시하지 않으면 안 된다고 규정하고 있습니다.다만, 기준에 못 미친 경우라도 개인정보를 누설된 본인이 어떠한 계기로 누설 사실을 알면 기업에 대한 신뢰가 손실됩니다.본인에게의 영향이 우려되는 경우에는 통지를 검토해야 할 것입니다.
세상에 공표
개인정보보호법에서는, 세간에의 공표는 본인에게의 통지가 곤란한 경우의 대체조치라고 하는 접촉 방법입니다만, 가이드라인에서는, 사태의 내용에 따라서는, XNUMX차 피해나 유사 사안의 발생을 방지하기 위해 , 공표를 실시하는 것이 바람직하다고 기재되어 있습니다.
개인정보 유출이 일어나는 주요 원인
개인정보 유출이 일어나는 주요 원인은 인위적 실수와 외부 공격으로 인한 것로 크게 나눌 수 있습니다.인위적 실수로 인한 정보 유출은 잘못된 상대에게 메일을 보내 버리는 사외로 꺼낸 노트북을 도난당해 버리는 것입니다.외부 공격에 의한 정보 유출은 내부 정보를 외부로 전송해 버리는 악성코드에 감염되어 버리는, 무단 액세스의 대상이 되어 버린다고 하는 것입니다.또, 퇴직자에 의한 데이터 반출도 적지 않고 발생하고 있습니다.
【관련 기사】퇴직자에 의한 데이터 반출의 보안 리스크란?구체적인 예와 대책을 해설
개인정보 유출이 발생했을 때의 대응방법
개인 정보 유출이 일어나 버렸을 때의 구체적인 대응 방법에 대해 소개합니다.
개인정보 유출 시 필요한 대응
- 사업자 내부의 보고 및 피해 확대 방지
신속하게 담당 부서에 보고를 실시해, 부정 액세스가 의심되는 경우라면, 추가 피해의 확대나 XNUMX차 피해를 멈추기 위해 외부로부터의 액세스를 차단해, 데이터를 지워 버리지 않게 보전을 실시 등 적절한 초기 대응을 실시합니다.
- 사실 관계 조사 및 원인 규명
정보 유출의 원인은 무엇인지, 어떤 경로에서 발생했는지를 조사합니다.
- 영향 범위 식별
정보 유출이 발생한 상황을 정리하여 상세한 조사 대상 범위를 설정합니다.
- 재발 방지책의 검토·실시
원인을 파악하고 재발 방지 방법을 만들고 사내에서 공유합니다.
- 개인정보보호위원회에 보고하고 본인에게 통지
개인정보보호법에 따라 위원회에 보고하고 본인에게 통지를 합니다.
외부에의 보고·대응
- 기자 회견
기자회견을 할 경우 사전에 FAQ를 준비해 두면 정확성이 부족하거나 오해를 초래하는 등 질의응답으로 인한 XNUMX차 피해를 피할 수 있습니다.
- 취재 대응
각종 보도 기관의 기자로부터의 취재 의뢰에서는, 회답 기한이 짧은 경우도 있기 때문에, 신속하게 회답할 수 있도록 준비해 둡시다.
- 관공청에 보고
업무에 있어서 관공청과 상호작용이 있으면, 보고를 요구되어 있지 않아도 관공청측이 보고를 기다리고 있는 경우도 있습니다.메일등으로 속보적인 대응을 실시한 다음, 지정의 형식으로 확보적인 보고도 실시합시다.
- 비즈니스 파트너에 대한 설명
회사의 거래처로부터 문의를 받는 경우도 있습니다.개인정보보호위원회에 보고하고 있는 것을 설명하고 적절한 대응을 취하고 있는 자세를 전달합시다.
개인 정보의 유출에 대비하는 방법?
개인정보의 유출이 일어났을 때에 신속하게 대응할 수 있도록, 평시부터 준비해 두는 것이 중요합니다.우선 어떤 부서의 누구에게 보고를 하는지, 또 발생한 디바이스를 어떻게 취급하는지 등의 사내의 초기 대응 플로우를 작성해, 직원에게의 주지를 철저히 합시다.
【관련 기사】개인정보 유출을 막는 8개의 대책이란?유출 원인이나 대응책 등을 해설
개인 정보 유출이 발생하면 신속하게 포렌식 조사
정보 유출이 일어나 버렸을 경우에, 기업이 해야 할 일이 「포렌식 조사」입니다.어떤 조사를 소개합니다.
법의학 조사란?
법과학 분야의 하나로 디지털 디바이스에 저장된 정보를 수집·분석하여 범죄나 부정행위의 증거를 밝히는 조사입니다.원인을 규명하는 것으로 재발 방지책이 세워지고, 책임의 소재를 밝히는 것으로, 자사가 묻는 소송에 발전했을 경우에 대비할 수 있습니다.
AI를 활용한 FRONTEO의 포렌식 조사 서비스
방대한 데이터량을 다루는 현대의 포렌식 조사에 있어서 AI 활용은 더 이상 필수.전문가가 눈을 통한 소수의 샘플 파일로 AI에 판단 기준을 학습시켜 대량의 데이터를 관련있을 것 같지 않은 것으로 구분합니다.조사를 시작해야 하는 단순한 데이터 분류 작업을 소규모로 단시간에 실시할 수 있으므로, 조사의 효율화 뿐만 아니라 전문가의 자원 집중에 의한 정밀도의 향상도 실현할 수 있습니다.
【관련 기사】정보 유출 조사란?조사 방법이나 사례, 조사 회사의 선택 방법을 해설
FRONTEO에서의 포렌식 조사 사례 소개
실제로 FRONTEO에서 실시한 개인정보 유출에 관한 포렌식 조사의 사례를 소개합니다.
맬웨어 감염으로 인한 개인 정보 유출 조사 사례
한 기업의 PC가 악성코드에 감염되어 있는 것이 발각되어, 개인정보의 유출도 의심되는 사건이 있었기 때문에, 전문의 조사회사인 FRONTEO에 포렌식 조사를 의뢰.감염 경로의 식별과 감염원 단말기로부터의 정보 유출의 흔적을 추적하게 되었습니다.
수백대의 단말을 대상으로 해석 툴로 분석을 실시하고, 공격 루트를 가시화함으로써 피해 단말을 특정.또한 어두운 웹에서 누출된 정보가 매매되지 않았거나 30약의 사이버 암시장을 대상으로 조사를 실시했습니다.조사 결과, 정보 유출이 일어나고 있던 PC를 특정할 수 있었을 뿐만 아니라, 다크 웹에도 정보가 유출하고 있었던 것까지 특정할 수 있었습니다.
※자세한 조사 내용은악성코드 감염에 의한 개인정보 유출 조사를 참조하십시오
개인정보 유출시의 포렌식 조사는 FRONTEO에
FRONTEO는 2003년 창업 당시부터 일본에서의 포렌식 조사의 선구자로서 다양한 기업의 과제 해결에 임해 왔습니다.뛰어난 경험을 바탕으로 한 기술과 노하우에는 정평이 있습니다.
자사 개발 AI 엔진 KIBIT를 활용하여 문서 검토 시에 대폭적인 절력화, 비용 압축을 실현하는 등, 안건 대응의 경험과 자사 AI 엔진을 곱하여 타사에는 할 수 없는 고정밀도와 효율화 를 실현합니다.
일본, 북미, 한국, 대만에 데이터센터를 두고, 데이터를 국외로 꺼내지 않고 보관할 수 있는 체제로 보안도 만전입니다.고객 기업의 본사, 현지 법인, 법률 사무소의 3개에 대해 원활하게 서비스를 제공.글로벌 운영으로 신속하게 지원합니다.
