Checklists

이 체크리스트는 최근 발생한 대형 개인정보 유출 사고 분석에서 공통적으로 지적되는 기술·운영적 취약점을 바탕으로, 사이트 운영자가 사전에 점검해야 할 핵심 항목을 정리한 것입니다. 특정 사건의 공식 원인을 단정하기보다, 실무에서 반복적으로 발생하는 구조적 리스크를 기준으로 작성되었습니다. 1. 내부 ID 및 식별자 생성 구조 점검 예측 가능한 내부 식별자 구조는 대규모 개인정보 유출 사고의 출발점이 될 수 있습니다. 사용자, 주문, 문의, 게시물 등 주요 객체의 ID가 순차 증가(N+1) 방식으로 생성되지 않는가 외부에 노출되는 식별자에 난수(Random) 또는 UUID를 사용하고 있는가 URL 파라미터, API 응답, 로그 등에 내부 ID가 그대로 노출되지 않는가 단순히 ID 값 변경만으로 다른 사용자의 데이터에 접근할 수 없는 구조인가 리소스 접근 통제가 ID가 아닌 인증·인가 절차를 통해 수행되는가 2. 인증 키(API Key, Secret) 관리 상태 인증 키는 유출 시 즉각적인 대규모 피해로 이어질 수 있으므로 관리 체계가 중요합니다. ...

이 체크리스트는 언제 사용하나요? 개인정보를 수집하거나 활용하는 업무를 시작하기 전 신규 시스템, 서비스, 설문, 이벤트를 기획할 때 위탁, 제공, 외주, 협력사 연계가 발생할 때 개인정보 점검, 감사, 내부 통제 점검 시 본 체크리스트는 개인정보처리자(회사) 입장에서 법 위반 리스크를 사전에 점검하기 위한 실무용 자료입니다. 1. 개인정보 해당 여부 판단 다음 중 하나라도 해당하면 개인정보에 해당할 가능성이 있습니다. 이름, 연락처, 이메일, 사번 등 개인을 식별할 수 있다 단독으로는 식별이 어렵지만 다른 정보와 결합 가능하다 사내 시스템이나 DB를 통해 개인을 알아볼 수 있다 가명처리 되었으나 재식별 가능성이 있다 영상, 음성, 로그 기록 등 개인과 연결될 수 있다 2. 수집 목적 및 최소 수집 원칙 개인정보 수집 전에 반드시 점검합니다. ...

이 체크리스트는 언제 사용하나요? 신규 서비스, 시스템, 설문, 이벤트를 기획할 때 개인정보가 포함된 양식이나 기능을 설계하기 전 개발 또는 외주 착수 전에 개인정보 리스크를 점검할 때 본 체크리스트는 기획 단계에서 개인정보 수집 여부를 판단하기 위한 자료입니다. 1. 개인정보 수집 필요성 검토 개인정보 수집이 반드시 필요한 업무인가 개인정보 없이 동일한 목적을 달성할 수 없는가 기존에 보유 중인 개인정보로 대체할 수 없는가 익명 또는 가명 정보로 목적 달성이 가능한가 2. 개인정보 항목 최소화 점검 수집 항목이 업무 목적과 직접적으로 연관된다 선택 항목과 필수 항목이 명확히 구분되어 있다 불필요한 민감 정보가 포함되지 않았다 관행적으로 추가된 항목은 없는가 3. 수집 목적 명확성 개인정보 수집 목적이 구체적으로 정의되어 있다 모호하거나 포괄적인 목적 표현을 사용하지 않았다 향후 목적 변경 가능성을 검토하였다 목적 달성 이후 활용 계획을 검토하였다 4. 적법한 처리 근거 확인 정보주체의 동의를 받을 계획이다 계약 체결 또는 이행에 필수적인 정보이다 법령상 의무 이행을 위한 수집이다 동의 없이 처리 가능한 사유를 검토하였다 5. 보유 기간 및 파기 계획 개인정보 보유 기간이 명확히 설정되어 있다 목적 달성 후 즉시 파기 여부를 검토하였다 파기 책임 부서 및 방법을 정의하였다 유의사항 본 체크리스트는 개인정보 보호법 기준의 기획 단계 사전 점검용 자료입니다. 실제 수집 전에는 개인정보 보호 담당 부서의 검토가 필요할 수 있습니다.

이 액션 리스트는 언제 사용하나요? 개인정보 유출 또는 침해 사고가 발생했을 때 유출 가능성이 의심되는 상황을 인지했을 때 사고 대응 훈련 또는 점검 시 본 리스트는 사고 발생 시 관리자 즉시 대응용입니다. 1. 사고 인지 및 초기 대응 사고 인지 일시 및 경위를 기록하였다 유출 범위 및 영향을 1차 파악하였다 추가 유출 가능성을 차단하였다 관련 시스템 접근을 통제하였다 2. 내부 보고 및 대응 체계 가동 개인정보 보호 담당 부서에 즉시 보고하였다 경영진 또는 책임자에게 보고하였다 사고 대응 전담 인력을 지정하였다 3. 사실관계 조사 및 기록 유출 원인 및 경로를 조사하였다 유출된 개인정보 항목을 확인하였다 영향받은 정보주체 범위를 파악하였다 조사 결과를 문서로 기록하였다 4. 외부 신고 및 정보주체 통지 법령상 신고 대상 여부를 검토하였다 감독기관 신고 기한을 확인하였다 정보주체 통지 필요 여부를 판단하였다 통지 내용 및 방법을 검토하였다 5. 사후 조치 및 재발 방지 유출 원인 제거 또는 보완 조치를 실시하였다 내부 관리 체계 개선 방안을 수립하였다 유사 사고 재발 가능성을 점검하였다 관련 교육 또는 추가 점검을 실시하였다 유의사항 개인정보 유출 사고 발생 시 지연되거나 미흡한 대응은 법적 책임으로 이어질 수 있습니다. 사고 대응 과정 전반에 대한 기록과 보고가 중요합니다.

이 체크리스트는 언제 사용하나요? 개인정보 처리 업무를 외부 업체에 위탁하기 전 신규 수탁사 선정 또는 계약 갱신 시 외주, 시스템 운영, 고객 관리 업무를 위탁할 때 본 체크리스트는 위탁자 책임 이행을 위한 사전 점검 자료입니다. 1. 수탁사 기본 정보 확인 수탁사의 법인 정보가 명확하다 개인정보 처리 업무 범위가 정의되어 있다 재위탁 여부 및 범위를 확인하였다 관련 법 위반 또는 사고 이력이 확인되었다 2. 계약서 및 법적 요건 점검 계약서에 개인정보 보호 조항이 포함되어 있다 위탁 목적 및 처리 범위가 명시되어 있다 재위탁 제한 또는 승인 절차가 명시되어 있다 계약 종료 시 개인정보 반환 또는 파기 의무가 포함되어 있다 3. 기술적 보호조치 점검 접근 권한 관리 체계가 존재한다 개인정보 암호화 또는 보호 조치를 적용한다 접속 기록을 보관하고 있다 개인정보 저장 매체를 안전하게 관리한다 4. 관리적 보호조치 점검 개인정보 보호 책임자 또는 담당자가 지정되어 있다 개인정보 보호 내부 규정이 마련되어 있다 임직원 대상 교육을 실시하고 있다 침해 사고 대응 절차가 마련되어 있다 5. 관리·감독 체계 위탁 업무에 대한 점검 또는 감사 계획이 있다 정기 또는 수시 점검을 실시할 수 있다 위반 시 조치 기준을 마련하였다 유의사항 개인정보 처리 업무 위탁 시 위탁자는 수탁사의 처리 행위에 대해 책임을 부담할 수 있습니다. 계약 체결 전 충분한 점검과 기록이 필요합니다.

이 체크리스트는 언제 사용하나요? 직장 내 괴롭힘 신고를 접수했을 때 괴롭힘 사실을 인지했으나 신고 여부가 명확하지 않을 때 조사 및 조치 과정에서 관리자의 법적 의무 이행 여부를 점검할 때 본 체크리스트는 관리자(사용자) 책임 관점에서 조사·조치 전 과정을 단계별로 점검하기 위한 자료입니다. 1. 신고 접수 및 인지 단계 신고 또는 괴롭힘 사실을 인지한 즉시 다음 사항을 점검합니다. 신고 또는 인지 일시를 기록하였다 신고 경로(구두, 서면, 이메일 등)를 명확히 확인하였다 피해자 의사를 우선적으로 확인하였다 제3자 신고인 경우 사실 확인 필요성을 검토하였다 조사 주체 및 담당자를 지정하였다 참고: 신고 형식과 관계없이 인지한 경우에도 조치 의무가 발생합니다. ...

이 체크리스트는 언제 사용하나요? 특정 언행이나 행동이 직장 내 괴롭힘에 해당하는지 1차 판단이 필요할 때 신고 접수 전 또는 조사 과정에서 판단 기준을 정리할 때 인사, 노무, 감사, 컴플라이언스 실무자가 사례 검토용으로 활용할 때 1. 지위 또는 관계의 우위를 이용했는가? 아래 항목 중 하나 이상 해당하면 지위 또는 관계의 우위가 인정될 가능성이 있습니다. 직급 또는 직위상 상위자이다 인사, 평가, 업무배분에 대한 권한을 가지고 있다 다수 인원 또는 조직 내 영향력을 이용했다 연령, 근속, 전문성 등으로 상대방이 거절하기 어려운 관계였다 공식 직급은 없으나 사실상 지휘 또는 통제 관계에 있었다 참고: 형식적인 직급이 아니라 실제 업무상 영향력을 기준으로 판단합니다. ...