프라이버시 보호 노력

정보보호 조직 운영

카카오는 이용자의 프라이버시 보호를 위해 정보보호 조직을 운영하여, 책임과 역할을 다하고 있습니다.

kakao
  • DPO (Data Protection Officer)
  • 정보보호위원회
    • CISO (정보보호최고책임자)
      보안기술 및 정책 부서
      정보보호 관리체계 운영 및 정책 수립
      기술적 위험 통제
    • CPO (개인정보관리책임자)
      개인정보정책부서
      개인정보 보호 정책 수립
      개인정보 활용 점검 및 리스크 관리
    • 프라이버시정책자문위원회

개인정보 영향 평가

카카오는 이용자의 개인정보가 안전하게 관리될 수 있도록 이용자에게 제공하는 서비스에 대해 개인정보 영향평가를 실시합니다.
개인정보 영향평가는 서비스의 기획에서부터 변경, 종료까지 관계법령의 준수 여부와 이용자의 개인정보에 미치는 영향도를 면밀히 분석하여 사전에 위험요소를 제거하는 것이 주요 목표입니다.

개인정보 영향평가 단계 및 검토 항목

  • 서비스 도입 서비스 기획에서 출시까지 개인정보의 라이프사이클 및 개인정보 처리시스템에 대한 적정성을 검토
    개인정보 수집
    - 이용자 동의의 명시성
    - 필요 최소한의 수집
    개인정보 전송/저장
    - 개인정보의 안전한 전송
    - 패스워드, 금융정보, 위치
    정보
    등에 대한 암호화 저장
  • 서비스 운영 개인정보 수집, 이용 또는 제공의 추가 시 도입단계의 검토사항을 재검토
    개인정보 이용
    - 개인정보의 오남용 예방
    개인정보 제공
    - 개인정보 제공의 최소화
    - 개인정보의 안전한 전송
  • 서비스 종료 개인정보 파기 검토
    - 파기 시점에 대한 적정성
    - 안전한 파기 여부 확인
    개인정보처리시스템 관리
    - 개인정보 취급 내역 파악
    - 개인정보 취급 권한 검토
    - 불필요한 개인정보 노출의 통제
    - 개인정보 취급에 대한 로깅

사전 예방 점검 활동

카카오는 법이 요구하는 수준 이상의 보안 수준을 유지할 수 있도록 취약성 점검, 보안코딩 및 코드리뷰 등 다양한 방식으로 사전 예방 점검 활동을 실시합니다. 카카오의 모든 서비스는 서비스 출시 이전인 사전 기획단계부터 서비스 종료 시점까지 주기적으로 취약성 점검을 거치게 됩니다.
뿐만 아니라 개발단계에서는 기술적 취약점을 해소하기 위한 코드리뷰 절차와 안전한 보안코딩을 진행합니다. 카카오는 새로운 동향 및 기술을 반영하여 보안을 강화하고 선제적으로 대응함으로써 보다 안전한 서비스를 제공하기 위해 끊임없이 노력하겠습니다.

철저한 접근 통제

카카오의 개인정보 처리 시스템 및 회원정보 데이터베이스는 철저한 접근 통제하에 관리됩니다. 사전에 권한을 부여받은 최소한의 사용자만이 엄격한 절차를 거쳐 접근할 수 있습니다. 각 책임자가 업무 범위에 따른 필요 여부를 명확하게 판단하여 접근 권한을 부여하고, 권한을 부여받은 담당자에 대한 상시 모니터링과 더불어 인가받지 않은 모든 접근 시도를 차단하기 위한 침입 차단 시스템 모니터링을 실시합니다. 카카오는 중요한 정보를 보호하기 위한 서버 방화벽을 설치, 관리, 운영하고 있습니다.

임직원 통제

카카오는 개인정보 접근 및 취급에 대한 로그 분석과 모니터링을 진행하는 동시에 권한 신청, 변경, 삭제 이력을 기록하고 보관합니다. 주기적 권한 검토를 통해 불필요한 권한은 즉각 삭제합니다. 카카오는 데이터 선도기업으로서 전 임직원을 대상으로 정보보호 서약 절차를 갖추고 있습니다. 임직원의 프라이버시 보호 의식 강화를 위해 매년 2회 이상 개인정보 보호 교육을 실시하고 있으며, 모든 임직원 PC에 악성코드를 탐지하고 대응하는 프로그램을 적용하고 있습니다.

24시간 보안관제

카카오 24시간 보안관제 센터는 카카오의 모니터링과 함께 외부 전문가 모니터링을 병행하는 듀얼 모니터링 시스템으로 운영됩니다. 다양한 서비스 제공 과정에서 특정 IP의 과다한 접속 시도 등 이상 징후가 발견되는 그 즉시 원인과 영향을 확인하여 대응하고 있습니다.

이용자 정보 유출시 대응 및 안내 절차

카카오는 이용자 정보 유출 사실을 알게 되면 관련법에 따라 이를 이용자에게 알리고 관계 당국에 신고하는 내부 절차를 갖추고 있습니다. 이용자에게 사고 사실 안내와 함께 카카오의 조치와 상담을 위한 연락처 등을 제공하는 것을 원칙으로 합니다. 또한 이용자 피해를 최소화하기 위해 피해 구제 절차 등의 유의사항도 안내합니다. 관계 당국과 사안의 규모와 내용을 협의하여 이용자 피해를 최소화하기 위한 최선의 방법을 찾아가겠습니다.

개인정보처리자는 이용자 개인정보 유출 사실을 알게 되었을 때 <개인정보보호법>에 따라 관련 사실을 해당 이용자에게 알리고 개인정보보호위원회 또는 한국인터넷진흥원 등에 신고할 의무가 있습니다(제34조, 2020.8.5. 시행). 유출 사실을 알게 되었을 때 사업자는 지체 없이 서면 등의 방법으로 이용자에게 직접 고지하고, 인터넷 홈페이지 등 보기 쉬운 장소에 게시하여야 합니다. 다만 유출로 인한 추가 피해를 막기 위해 시급한 조치가 필요할 경우, 우선 조치한 후 이용자들에게 관련 사실을 알릴 수 있습니다. 이용자 고지 및 관계 당국 신고시 포함하여야 하는 사실은 다음과 같습니다.

  1. 1. 유출된 개인정보의 항목
  2. 2. 유출된 시점과 경위
  3. 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하 여 정보주체가 할 수 있는 방법 등에 관한 정보
  4. 4. 개인정보처리자의 대응조치 및 피해 구제절차
  5. 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처