개인정보 유출

From IT Wiki

개인정보 유출이란 주로 개인정보를 다루는 기업이나 서비스에서 침해사고를 통해 개인정보가 탈취 당하거나 보안상의 문제로 개인정보가 열람 권한 없는 자들에게 노출되는 상황을 말한다. 꼭 기업이 아니더라도 개인이 가진 개인정보가 유·노출 되는 상황도 포괄한다.

  • 한국인터넷진흥원의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다.
    • 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
    • 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
    • 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
    • 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우

관련 법률[edit | edit source]

개인정보 유출 관련 법률 체계[edit | edit source]

개인정보 보호법(일반법)
개인정보 보호법(특례) 신용정보법(특별법)
개인정보처리자 정보통신서비스제공자등 신용정보회사등

(상거래기업 및 법인)

신용정보회사등

(그 외)

개인정보 보호위원회 소관 금융위원회 소관

개인정보 유출 관련 법 적용 비교[edit | edit source]

근거 법률 개인정보 보호법 신용정보법
법률간의 관계 일반법 일반법(특례) 특별법
적용 대상 개인정보처리자 정보통신서비스제공자등 신용정보회사등에서의 상거래기업 및 법인
적용 범위 개인정보 유출 개인정보 분실·도난·유출 개인신용정보 누설
의무 사항 통지 및 신고
벌칙 규정 3천만원 이하의 과태료
유출

신고

의무

규모 1천명 이상 1명 이상 1만명 이상
시점 5일 이내 24시간 이내 5일 이내
기관 개인정보보호위원회 또는 한국인터넷진흥원
유출

통지

의무

규모 1명 이상
시점 5일 이내 24시간 이내 5일 이내
방법 홈페이지, 전화, 팩스, 이메일, 우편 등으로 개별 통지
항목
  • 유출된 개인정보 항목
  • 유출된 시점과 그 경위
  • 정보주체 피해 최소화 조치
  • 개인정보처리자 대응조치 및 피해 구제절차
  • 피해 신고·상담 부서 및 연락처

법적 의무사항[edit | edit source]

개인정보 유출 사고 대응 계획 수립·시행

  • “개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행[1]

개인정보 유출 사고 대응 매뉴얼 마련

  • 개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련[2]

개인정보 유출 통지 및 신고[3]

  • 개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지
  • 또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고

개인정보 유출 통지[edit | edit source]

개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.

개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항

개인정보처리자 정보통신서비스 제공자
  • 1. 유출된 개인정보의 항목
  • 2. 유출된 시점과 그 경위
  • 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
  • 4. 개인정보처리자의 대응조치 및 피해 구제절차
  • 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
  • 1. 유출 등이 된 개인정보 항목
  • 2. 유출 등이 발생한 시점
  • 3. 이용자가 취할 수 있는 조치
  • 4. 정보통신서비스 제공자 등의 대응 조치
  • 5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처

개인정보 유출 신고 기준

구분 개인정보처리자 정보통신서비스 제공자
신고 대상 건수
  • 1천 명 이상 정보주체에 관한 개인정보 유출 시
  • 유출 건수와 무관
신고 시점
  • 지체 없이(5일 이내)
  • 정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
신고 기관
  • 개인정보보호위원회 또는 KISA

개인정보 유출 사고[edit | edit source]

관련 링크[edit | edit source]

참고 문헌[edit | edit source]

  • 개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.)
  1. 근거 : 「개인정보 보호법」제29조 및 동법 시행령 제30조, “개인정보의안전성 확보조치 기준” 제4조제1항제11호 및 “개인정보의 기술적․관리적보호조치 기준 제3조제1항제6호
  2. 근거 : 「개인정보 보호법」 제12조, “표준 개인정보 보호지침” 제29조제1항
  3. 근거 : 「개인정보 보호법」 제34조 및 제39조의4, 동법 시행령 제39조, 40조, 제48조의4, “표준 개인정보 보호지침” 제26조부터 제28조 그리고 「신용정보법」제39조의4 및 동법 시행령 제34조의4, 신용정보업감독규정 제43조의5, 제43조의6