개인정보 유출: Difference between revisions
From CS Wiki
(개인정보 유출 사고에 대한 넘겨주기를 제거함) Tags: Removed redirect Visual edit |
|||
(2 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
[[개인정보]] | '''개인정보 유출이란 주로 [[개인정보]]를 다루는 기업이나 서비스에서 침해사고를 통해 개인정보가 탈취 당하거나 보안상의 문제로 개인정보가 열람 권한 없는 자들에게 노출되는 상황을 말한다. 꼭 기업이 아니더라도 개인이 가진 개인정보가 유·노출 되는 상황도 포괄한다.''' | ||
* [[한국인터넷진흥원]]의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다. | *[[한국인터넷진흥원]]의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다. | ||
** 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 | **1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 | ||
** 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 | **2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 | ||
** 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우 | **3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우 | ||
** 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우 | **4. 기타 권한이 없는 자에게 개인정보가 전달된 경우 | ||
== 관련 법률 == | ==관련 법률== | ||
=== 개인정보 유출 관련 법률 체계 === | ===개인정보 유출 관련 법률 체계=== | ||
{| class="wikitable" | {| class="wikitable" | ||
! colspan="4" |개인정보 보호법(일반법) | ! colspan="4" |개인정보 보호법(일반법) | ||
Line 27: | Line 27: | ||
|} | |} | ||
=== 개인정보 유출 관련 법 적용 비교 === | ===개인정보 유출 관련 법 적용 비교=== | ||
{| class="wikitable" | {| class="wikitable" | ||
! colspan="2" |근거 법률 | ! colspan="2" |근거 법률 | ||
Line 69: | Line 69: | ||
|- | |- | ||
|'''기관''' | |'''기관''' | ||
| colspan=" | | colspan="2" |개인정보보호위원회 또는 한국인터넷진흥원 | ||
| | |||
|- | |- | ||
| rowspan="4" |'''유출''' | | rowspan="4" |'''유출''' | ||
Line 88: | Line 89: | ||
|'''항목''' | |'''항목''' | ||
| colspan="3" | | | colspan="3" | | ||
* 유출된 개인정보 항목 | *유출된 개인정보 항목 | ||
* 유출된 시점과 그 경위 | *유출된 시점과 그 경위 | ||
* 정보주체 피해 최소화 조치 | *정보주체 피해 최소화 조치 | ||
* 개인정보처리자 대응조치 및 피해 구제절차 | *개인정보처리자 대응조치 및 피해 구제절차 | ||
* 피해 신고·상담 부서 및 연락처 | *피해 신고·상담 부서 및 연락처 | ||
|} | |} | ||
== 법적 의무사항 == | ==법적 의무사항== | ||
'''개인정보 유출 사고 대응 계획 수립·시행''' | '''개인정보 유출 사고 대응 계획 수립·시행''' | ||
* “개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행<ref>근거 : 「개인정보 보호법」제29조 및 동법 시행령 제30조, “개인정보의안전성 확보조치 기준” 제4조제1항제11호 및 “개인정보의 기술적․관리적보호조치 기준 제3조제1항제6호</ref> | *“개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행<ref>근거 : 「개인정보 보호법」제29조 및 동법 시행령 제30조, “개인정보의안전성 확보조치 기준” 제4조제1항제11호 및 “개인정보의 기술적․관리적보호조치 기준 제3조제1항제6호</ref> | ||
'''개인정보 유출 사고 대응 매뉴얼 마련''' | '''개인정보 유출 사고 대응 매뉴얼 마련''' | ||
* 개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련<ref>근거 : 「개인정보 보호법」 제12조, “표준 개인정보 보호지침” 제29조제1항</ref> | *개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련<ref>근거 : 「개인정보 보호법」 제12조, “표준 개인정보 보호지침” 제29조제1항</ref> | ||
'''개인정보 유출 통지 및 신고<ref>근거 : 「개인정보 보호법」 제34조 및 제39조의4, 동법 시행령 제39조, 40조, 제48조의4, “표준 개인정보 보호지침” 제26조부터 제28조 그리고 「신용정보법」제39조의4 및 동법 시행령 제34조의4, 신용정보업감독규정 제43조의5, 제43조의6</ref>''' | '''개인정보 유출 통지 및 신고<ref>근거 : 「개인정보 보호법」 제34조 및 제39조의4, 동법 시행령 제39조, 40조, 제48조의4, “표준 개인정보 보호지침” 제26조부터 제28조 그리고 「신용정보법」제39조의4 및 동법 시행령 제34조의4, 신용정보업감독규정 제43조의5, 제43조의6</ref>''' | ||
* 개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지 | *개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지 | ||
* 또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고 | *또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고 | ||
== [[개인정보 유출 통지]] == | ==[[개인정보 유출 통지]]== | ||
개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다. | |||
== [[개인정보 유출 사고]] == | '''개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항''' | ||
{| class="wikitable" | |||
!개인정보처리자 | |||
!정보통신서비스 제공자 | |||
|- | |||
| | |||
* 1. 유출된 개인정보의 항목 | |||
* 2. 유출된 시점과 그 경위 | |||
* 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 | |||
* 4. 개인정보처리자의 대응조치 및 피해 구제절차 | |||
* 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 | |||
| | |||
* 1. 유출 등이 된 개인정보 항목 | |||
* 2. 유출 등이 발생한 시점 | |||
* 3. 이용자가 취할 수 있는 조치 | |||
* 4. 정보통신서비스 제공자 등의 대응 조치 | |||
* 5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처 | |||
|} | |||
'''개인정보 유출 신고 기준''' | |||
{| class="wikitable" | |||
!구분 | |||
!개인정보처리자 | |||
!정보통신서비스 제공자 | |||
! | |||
|- | |||
|신고 대상 건수 | |||
| | |||
* 1천 명 이상 정보주체에 관한 개인정보 유출 시 | |||
| | |||
* 유출 건수와 무관 | |||
| | |||
|- | |||
|신고 시점 | |||
| | |||
* 지체 없이(5일 이내) | |||
| | |||
* 정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내 | |||
| | |||
|- | |||
|신고 기관 | |||
| colspan="2" | | |||
* 개인정보보호위원회 또는 KISA | |||
| | |||
|} | |||
==[[개인정보 유출 사고]]== | |||
== 관련 링크 == | ==관련 링크== | ||
* [https://privacy.go.kr/wcp/dcl/spl/splRptInfo.do 개인정보 침해 및 유출 신고] | *[https://privacy.go.kr/wcp/dcl/spl/splRptInfo.do 개인정보 침해 및 유출 신고] | ||
* [https://privacy.go.kr/inf/gdl/selectBoardArticle.do?bbsId=BBSMSTR_000000000049&nttId=11719&bbsTyCode=BBST01&bbsAttrbCode=BBSA03 개인정보 유출 대응 메뉴얼] | *[https://privacy.go.kr/inf/gdl/selectBoardArticle.do?bbsId=BBSMSTR_000000000049&nttId=11719&bbsTyCode=BBST01&bbsAttrbCode=BBSA03 개인정보 유출 대응 메뉴얼] | ||
== 참고 문헌 == | ==참고 문헌== | ||
* 개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.) | *개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.) | ||
<references /> |
Latest revision as of 01:47, 24 September 2023
개인정보 유출이란 주로 개인정보를 다루는 기업이나 서비스에서 침해사고를 통해 개인정보가 탈취 당하거나 보안상의 문제로 개인정보가 열람 권한 없는 자들에게 노출되는 상황을 말한다. 꼭 기업이 아니더라도 개인이 가진 개인정보가 유·노출 되는 상황도 포괄한다.
- 한국인터넷진흥원의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다.
- 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
- 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
- 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
- 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우
관련 법률[edit | edit source]
개인정보 유출 관련 법률 체계[edit | edit source]
개인정보 보호법(일반법) | |||
---|---|---|---|
개인정보 보호법(특례) | 신용정보법(특별법) | ||
개인정보처리자 | 정보통신서비스제공자등 | 신용정보회사등
(상거래기업 및 법인) |
신용정보회사등
(그 외) |
개인정보 보호위원회 소관 | 금융위원회 소관 |
개인정보 유출 관련 법 적용 비교[edit | edit source]
근거 법률 | 개인정보 보호법 | 신용정보법 | ||
---|---|---|---|---|
법률간의 관계 | 일반법 | 일반법(특례) | 특별법 | |
적용 대상 | 개인정보처리자 | 정보통신서비스제공자등 | 신용정보회사등에서의 상거래기업 및 법인 | |
적용 범위 | 개인정보 유출 | 개인정보 분실·도난·유출 | 개인신용정보 누설 | |
의무 사항 | 통지 및 신고 | |||
벌칙 규정 | 3천만원 이하의 과태료 | |||
유출
신고 의무 |
규모 | 1천명 이상 | 1명 이상 | 1만명 이상 |
시점 | 5일 이내 | 24시간 이내 | 5일 이내 | |
기관 | 개인정보보호위원회 또는 한국인터넷진흥원 | |||
유출
통지 의무 |
규모 | 1명 이상 | ||
시점 | 5일 이내 | 24시간 이내 | 5일 이내 | |
방법 | 홈페이지, 전화, 팩스, 이메일, 우편 등으로 개별 통지 | |||
항목 |
|
법적 의무사항[edit | edit source]
개인정보 유출 사고 대응 계획 수립·시행
- “개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행[1]
개인정보 유출 사고 대응 매뉴얼 마련
- 개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련[2]
개인정보 유출 통지 및 신고[3]
- 개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지
- 또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고
개인정보 유출 통지[edit | edit source]
개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.
개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항
개인정보처리자 | 정보통신서비스 제공자 |
---|---|
|
|
개인정보 유출 신고 기준
구분 | 개인정보처리자 | 정보통신서비스 제공자 | |
---|---|---|---|
신고 대상 건수 |
|
|
|
신고 시점 |
|
|
|
신고 기관 |
|
개인정보 유출 사고[edit | edit source]
관련 링크[edit | edit source]
참고 문헌[edit | edit source]
- 개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.)