개인정보 유출
From IT위키
Revision as of 13:35, 24 April 2022 by 117.112.77.28 (talk)
개인정보 유출이란 주로 개인정보를 다루는 기업이나 서비스에서 침해사고를 통해 개인정보가 탈취 당하거나 보안상의 문제로 개인정보가 열람 권한 없는 자들에게 노출되는 상황을 말한다. 꼭 기업이 아니더라도 개인이 가진 개인정보가 유·노출 되는 상황도 포괄한다.
- 한국인터넷진흥원의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다.
- 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
- 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
- 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
- 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우
관련 법률
개인정보 유출 관련 법률 체계
| 개인정보 보호법(일반법) | |||
|---|---|---|---|
| 개인정보 보호법(특례) | 신용정보법(특별법) | ||
| 개인정보처리자 | 정보통신서비스제공자등 | 신용정보회사등
(상거래기업 및 법인) |
신용정보회사등
(그 외) |
| 개인정보 보호위원회 소관 | 금융위원회 소관 | ||
개인정보 유출 관련 법 적용 비교
| 근거 법률 | 개인정보 보호법 | 신용정보법 | ||
|---|---|---|---|---|
| 법률간의 관계 | 일반법 | 일반법(특례) | 특별법 | |
| 적용 대상 | 개인정보처리자 | 정보통신서비스제공자등 | 신용정보회사등에서의 상거래기업 및 법인 | |
| 적용 범위 | 개인정보 유출 | 개인정보 분실·도난·유출 | 개인신용정보 누설 | |
| 의무 사항 | 통지 및 신고 | |||
| 벌칙 규정 | 3천만원 이하의 과태료 | |||
| 유출
신고 의무 |
규모 | 1천명 이상 | 1명 이상 | 1만명 이상 |
| 시점 | 5일 이내 | 24시간 이내 | 5일 이내 | |
| 기관 | 개인정보보호위원회 또는 한국인터넷진흥원 | |||
| 유출
통지 의무 |
규모 | 1명 이상 | ||
| 시점 | 5일 이내 | 24시간 이내 | 5일 이내 | |
| 방법 | 홈페이지, 전화, 팩스, 이메일, 우편 등으로 개별 통지 | |||
| 항목 |
| |||
법적 의무사항
개인정보 유출 사고 대응 계획 수립·시행
- “개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행[1]
개인정보 유출 사고 대응 매뉴얼 마련
- 개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련[2]
개인정보 유출 통지 및 신고[3]
- 개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지
- 또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고
개인정보 유출 통지
개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.
개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항
| 개인정보처리자 | 정보통신서비스 제공자 |
|---|---|
|
|
개인정보 유출 신고 기준
| 구분 | 개인정보처리자 | 정보통신서비스 제공자 | |
|---|---|---|---|
| 신고 대상 건수 |
|
|
|
| 신고 시점 |
|
|
|
| 신고 기관 |
|
||
개인정보 유출 사고
관련 링크
참고 문헌
- 개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.)
