개인정보 유출: Difference between revisions
From IT위키
(개인정보 유출 사고에 대한 넘겨주기를 제거함) Tags: Removed redirect Visual edit |
No edit summary |
||
Line 1: | Line 1: | ||
[[개인정보]] | '''개인정보 유출이란 주로 [[개인정보]]를 다루는 기업이나 서비스에서 침해사고를 통해 개인정보가 탈취 당하거나 보안상의 문제로 개인정보가 열람 권한 없는 자들에게 노출되는 상황을 말한다. 꼭 기업이 아니더라도 개인이 가진 개인정보가 유·노출 되는 상황도 포괄한다.''' | ||
* [[한국인터넷진흥원]]의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다. | *[[한국인터넷진흥원]]의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다. | ||
** 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 | **1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 | ||
** 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 | **2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 | ||
** 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우 | **3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우 | ||
** 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우 | **4. 기타 권한이 없는 자에게 개인정보가 전달된 경우 | ||
== 관련 법률 == | ==관련 법률== | ||
=== 개인정보 유출 관련 법률 체계 === | ===개인정보 유출 관련 법률 체계=== | ||
{| class="wikitable" | {| class="wikitable" | ||
! colspan="4" |개인정보 보호법(일반법) | ! colspan="4" |개인정보 보호법(일반법) | ||
Line 27: | Line 27: | ||
|} | |} | ||
=== 개인정보 유출 관련 법 적용 비교 === | ===개인정보 유출 관련 법 적용 비교=== | ||
{| class="wikitable" | {| class="wikitable" | ||
! colspan="2" |근거 법률 | ! colspan="2" |근거 법률 | ||
Line 88: | Line 88: | ||
|'''항목''' | |'''항목''' | ||
| colspan="3" | | | colspan="3" | | ||
* 유출된 개인정보 항목 | *유출된 개인정보 항목 | ||
* 유출된 시점과 그 경위 | *유출된 시점과 그 경위 | ||
* 정보주체 피해 최소화 조치 | *정보주체 피해 최소화 조치 | ||
* 개인정보처리자 대응조치 및 피해 구제절차 | *개인정보처리자 대응조치 및 피해 구제절차 | ||
* 피해 신고·상담 부서 및 연락처 | *피해 신고·상담 부서 및 연락처 | ||
|} | |} | ||
== 법적 의무사항 == | ==법적 의무사항== | ||
'''개인정보 유출 사고 대응 계획 수립·시행''' | '''개인정보 유출 사고 대응 계획 수립·시행''' | ||
* “개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행<ref>근거 : 「개인정보 보호법」제29조 및 동법 시행령 제30조, “개인정보의안전성 확보조치 기준” 제4조제1항제11호 및 “개인정보의 기술적․관리적보호조치 기준 제3조제1항제6호</ref> | *“개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행<ref>근거 : 「개인정보 보호법」제29조 및 동법 시행령 제30조, “개인정보의안전성 확보조치 기준” 제4조제1항제11호 및 “개인정보의 기술적․관리적보호조치 기준 제3조제1항제6호</ref> | ||
'''개인정보 유출 사고 대응 매뉴얼 마련''' | '''개인정보 유출 사고 대응 매뉴얼 마련''' | ||
* 개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련<ref>근거 : 「개인정보 보호법」 제12조, “표준 개인정보 보호지침” 제29조제1항</ref> | *개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련<ref>근거 : 「개인정보 보호법」 제12조, “표준 개인정보 보호지침” 제29조제1항</ref> | ||
'''개인정보 유출 통지 및 신고<ref>근거 : 「개인정보 보호법」 제34조 및 제39조의4, 동법 시행령 제39조, 40조, 제48조의4, “표준 개인정보 보호지침” 제26조부터 제28조 그리고 「신용정보법」제39조의4 및 동법 시행령 제34조의4, 신용정보업감독규정 제43조의5, 제43조의6</ref>''' | '''개인정보 유출 통지 및 신고<ref>근거 : 「개인정보 보호법」 제34조 및 제39조의4, 동법 시행령 제39조, 40조, 제48조의4, “표준 개인정보 보호지침” 제26조부터 제28조 그리고 「신용정보법」제39조의4 및 동법 시행령 제34조의4, 신용정보업감독규정 제43조의5, 제43조의6</ref>''' | ||
* 개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지 | *개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지 | ||
* 또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고 | *또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고 | ||
== [[개인정보 유출 통지]] == | ==[[개인정보 유출 통지]]== | ||
== [[개인정보 유출 사고]] == | ==[[개인정보 유출 사고]]== | ||
== 관련 링크 == | ==관련 링크== | ||
* [https://privacy.go.kr/wcp/dcl/spl/splRptInfo.do 개인정보 침해 및 유출 신고] | *[https://privacy.go.kr/wcp/dcl/spl/splRptInfo.do 개인정보 침해 및 유출 신고] | ||
* [https://privacy.go.kr/inf/gdl/selectBoardArticle.do?bbsId=BBSMSTR_000000000049&nttId=11719&bbsTyCode=BBST01&bbsAttrbCode=BBSA03 개인정보 유출 대응 메뉴얼] | *[https://privacy.go.kr/inf/gdl/selectBoardArticle.do?bbsId=BBSMSTR_000000000049&nttId=11719&bbsTyCode=BBST01&bbsAttrbCode=BBSA03 개인정보 유출 대응 메뉴얼] | ||
== 참고 문헌 == | ==참고 문헌== | ||
* 개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.) | *개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.) | ||
<references /> |
Revision as of 00:17, 26 March 2022
개인정보 유출이란 주로 개인정보를 다루는 기업이나 서비스에서 침해사고를 통해 개인정보가 탈취 당하거나 보안상의 문제로 개인정보가 열람 권한 없는 자들에게 노출되는 상황을 말한다. 꼭 기업이 아니더라도 개인이 가진 개인정보가 유·노출 되는 상황도 포괄한다.
- 한국인터넷진흥원의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다.
- 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
- 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
- 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
- 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우
관련 법률
개인정보 유출 관련 법률 체계
개인정보 보호법(일반법) | |||
---|---|---|---|
개인정보 보호법(특례) | 신용정보법(특별법) | ||
개인정보처리자 | 정보통신서비스제공자등 | 신용정보회사등
(상거래기업 및 법인) |
신용정보회사등
(그 외) |
개인정보 보호위원회 소관 | 금융위원회 소관 |
개인정보 유출 관련 법 적용 비교
근거 법률 | 개인정보 보호법 | 신용정보법 | ||
---|---|---|---|---|
법률간의 관계 | 일반법 | 일반법(특례) | 특별법 | |
적용 대상 | 개인정보처리자 | 정보통신서비스제공자등 | 신용정보회사등에서의 상거래기업 및 법인 | |
적용 범위 | 개인정보 유출 | 개인정보 분실·도난·유출 | 개인신용정보 누설 | |
의무 사항 | 통지 및 신고 | |||
벌칙 규정 | 3천만원 이하의 과태료 | |||
유출
신고 의무 |
규모 | 1천명 이상 | 1명 이상 | 1만명 이상 |
시점 | 5일 이내 | 24시간 이내 | 5일 이내 | |
기관 | 개인정보보호위원회 또는 한국인터넷진흥원 | |||
유출
통지 의무 |
규모 | 1명 이상 | ||
시점 | 5일 이내 | 24시간 이내 | 5일 이내 | |
방법 | 홈페이지, 전화, 팩스, 이메일, 우편 등으로 개별 통지 | |||
항목 |
|
법적 의무사항
개인정보 유출 사고 대응 계획 수립·시행
- “개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행[1]
개인정보 유출 사고 대응 매뉴얼 마련
- 개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련[2]
개인정보 유출 통지 및 신고[3]
- 개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지
- 또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고
개인정보 유출 통지
개인정보 유출 사고
관련 링크
참고 문헌
- 개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.)