개인정보 유출: Difference between revisions
From CS Wiki
(개인정보 유출 사고 문서로 넘겨주기) |
|||
(3 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
'''개인정보 유출이란 주로 [[개인정보]]를 다루는 기업이나 서비스에서 침해사고를 통해 개인정보가 탈취 당하거나 보안상의 문제로 개인정보가 열람 권한 없는 자들에게 노출되는 상황을 말한다. 꼭 기업이 아니더라도 개인이 가진 개인정보가 유·노출 되는 상황도 포괄한다.''' | |||
*[[한국인터넷진흥원]]의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다. | |||
**1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 | |||
**2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 | |||
**3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우 | |||
**4. 기타 권한이 없는 자에게 개인정보가 전달된 경우 | |||
==관련 법률== | |||
===개인정보 유출 관련 법률 체계=== | |||
{| class="wikitable" | |||
! colspan="4" |개인정보 보호법(일반법) | |||
|- | |||
| colspan="2" |개인정보 보호법(특례) | |||
| colspan="2" |신용정보법(특별법) | |||
|- | |||
|개인정보처리자 | |||
|정보통신서비스제공자등 | |||
|신용정보회사등 | |||
(상거래기업 및 법인) | |||
|신용정보회사등 | |||
(그 외) | |||
|- | |||
| colspan="2" |개인정보 보호위원회 소관 | |||
| colspan="2" |금융위원회 소관 | |||
|} | |||
===개인정보 유출 관련 법 적용 비교=== | |||
{| class="wikitable" | |||
! colspan="2" |근거 법률 | |||
! colspan="2" |개인정보 보호법 | |||
!신용정보법 | |||
|- | |||
| colspan="2" |'''법률간의 관계''' | |||
|일반법 | |||
|일반법(특례) | |||
|특별법 | |||
|- | |||
| colspan="2" |'''적용 대상''' | |||
|개인정보처리자 | |||
|정보통신서비스제공자등 | |||
|신용정보회사등에서의 상거래기업 및 법인 | |||
|- | |||
| colspan="2" |'''적용 범위''' | |||
|개인정보 유출 | |||
|개인정보 분실·도난·유출 | |||
|개인신용정보 누설 | |||
|- | |||
| colspan="2" |'''의무 사항''' | |||
| colspan="3" |통지 및 신고 | |||
|- | |||
| colspan="2" |'''벌칙 규정''' | |||
| colspan="3" |3천만원 이하의 과태료 | |||
|- | |||
| rowspan="3" |'''유출''' | |||
'''신고''' | |||
'''의무''' | |||
|'''규모''' | |||
|1천명 이상 | |||
|1명 이상 | |||
|1만명 이상 | |||
|- | |||
|'''시점''' | |||
|5일 이내 | |||
|24시간 이내 | |||
|5일 이내 | |||
|- | |||
|'''기관''' | |||
| colspan="2" |개인정보보호위원회 또는 한국인터넷진흥원 | |||
| | |||
|- | |||
| rowspan="4" |'''유출''' | |||
'''통지''' | |||
'''의무''' | |||
|'''규모''' | |||
| colspan="3" |1명 이상 | |||
|- | |||
|'''시점''' | |||
|5일 이내 | |||
|24시간 이내 | |||
|5일 이내 | |||
|- | |||
|'''방법''' | |||
| colspan="3" |홈페이지, 전화, 팩스, 이메일, 우편 등으로 개별 통지 | |||
|- | |||
|'''항목''' | |||
| colspan="3" | | |||
*유출된 개인정보 항목 | |||
*유출된 시점과 그 경위 | |||
*정보주체 피해 최소화 조치 | |||
*개인정보처리자 대응조치 및 피해 구제절차 | |||
*피해 신고·상담 부서 및 연락처 | |||
|} | |||
==법적 의무사항== | |||
'''개인정보 유출 사고 대응 계획 수립·시행''' | |||
*“개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행<ref>근거 : 「개인정보 보호법」제29조 및 동법 시행령 제30조, “개인정보의안전성 확보조치 기준” 제4조제1항제11호 및 “개인정보의 기술적․관리적보호조치 기준 제3조제1항제6호</ref> | |||
'''개인정보 유출 사고 대응 매뉴얼 마련''' | |||
*개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련<ref>근거 : 「개인정보 보호법」 제12조, “표준 개인정보 보호지침” 제29조제1항</ref> | |||
'''개인정보 유출 통지 및 신고<ref>근거 : 「개인정보 보호법」 제34조 및 제39조의4, 동법 시행령 제39조, 40조, 제48조의4, “표준 개인정보 보호지침” 제26조부터 제28조 그리고 「신용정보법」제39조의4 및 동법 시행령 제34조의4, 신용정보업감독규정 제43조의5, 제43조의6</ref>''' | |||
*개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지 | |||
*또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고 | |||
==[[개인정보 유출 통지]]== | |||
개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다. | |||
'''개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항''' | |||
{| class="wikitable" | |||
!개인정보처리자 | |||
!정보통신서비스 제공자 | |||
|- | |||
| | |||
* 1. 유출된 개인정보의 항목 | |||
* 2. 유출된 시점과 그 경위 | |||
* 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 | |||
* 4. 개인정보처리자의 대응조치 및 피해 구제절차 | |||
* 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 | |||
| | |||
* 1. 유출 등이 된 개인정보 항목 | |||
* 2. 유출 등이 발생한 시점 | |||
* 3. 이용자가 취할 수 있는 조치 | |||
* 4. 정보통신서비스 제공자 등의 대응 조치 | |||
* 5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처 | |||
|} | |||
'''개인정보 유출 신고 기준''' | |||
{| class="wikitable" | |||
!구분 | |||
!개인정보처리자 | |||
!정보통신서비스 제공자 | |||
! | |||
|- | |||
|신고 대상 건수 | |||
| | |||
* 1천 명 이상 정보주체에 관한 개인정보 유출 시 | |||
| | |||
* 유출 건수와 무관 | |||
| | |||
|- | |||
|신고 시점 | |||
| | |||
* 지체 없이(5일 이내) | |||
| | |||
* 정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내 | |||
| | |||
|- | |||
|신고 기관 | |||
| colspan="2" | | |||
* 개인정보보호위원회 또는 KISA | |||
| | |||
|} | |||
==[[개인정보 유출 사고]]== | |||
==관련 링크== | |||
*[https://privacy.go.kr/wcp/dcl/spl/splRptInfo.do 개인정보 침해 및 유출 신고] | |||
*[https://privacy.go.kr/inf/gdl/selectBoardArticle.do?bbsId=BBSMSTR_000000000049&nttId=11719&bbsTyCode=BBST01&bbsAttrbCode=BBSA03 개인정보 유출 대응 메뉴얼] | |||
==참고 문헌== | |||
*개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.) | |||
<references /> |
Latest revision as of 01:47, 24 September 2023
개인정보 유출이란 주로 개인정보를 다루는 기업이나 서비스에서 침해사고를 통해 개인정보가 탈취 당하거나 보안상의 문제로 개인정보가 열람 권한 없는 자들에게 노출되는 상황을 말한다. 꼭 기업이 아니더라도 개인이 가진 개인정보가 유·노출 되는 상황도 포괄한다.
- 한국인터넷진흥원의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다.
- 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
- 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
- 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
- 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우
관련 법률[edit | edit source]
개인정보 유출 관련 법률 체계[edit | edit source]
개인정보 보호법(일반법) | |||
---|---|---|---|
개인정보 보호법(특례) | 신용정보법(특별법) | ||
개인정보처리자 | 정보통신서비스제공자등 | 신용정보회사등
(상거래기업 및 법인) |
신용정보회사등
(그 외) |
개인정보 보호위원회 소관 | 금융위원회 소관 |
개인정보 유출 관련 법 적용 비교[edit | edit source]
근거 법률 | 개인정보 보호법 | 신용정보법 | ||
---|---|---|---|---|
법률간의 관계 | 일반법 | 일반법(특례) | 특별법 | |
적용 대상 | 개인정보처리자 | 정보통신서비스제공자등 | 신용정보회사등에서의 상거래기업 및 법인 | |
적용 범위 | 개인정보 유출 | 개인정보 분실·도난·유출 | 개인신용정보 누설 | |
의무 사항 | 통지 및 신고 | |||
벌칙 규정 | 3천만원 이하의 과태료 | |||
유출
신고 의무 |
규모 | 1천명 이상 | 1명 이상 | 1만명 이상 |
시점 | 5일 이내 | 24시간 이내 | 5일 이내 | |
기관 | 개인정보보호위원회 또는 한국인터넷진흥원 | |||
유출
통지 의무 |
규모 | 1명 이상 | ||
시점 | 5일 이내 | 24시간 이내 | 5일 이내 | |
방법 | 홈페이지, 전화, 팩스, 이메일, 우편 등으로 개별 통지 | |||
항목 |
|
법적 의무사항[edit | edit source]
개인정보 유출 사고 대응 계획 수립·시행
- “개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행[1]
개인정보 유출 사고 대응 매뉴얼 마련
- 개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련[2]
개인정보 유출 통지 및 신고[3]
- 개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지
- 또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고
개인정보 유출 통지[edit | edit source]
개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.
개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항
개인정보처리자 | 정보통신서비스 제공자 |
---|---|
|
|
개인정보 유출 신고 기준
구분 | 개인정보처리자 | 정보통신서비스 제공자 | |
---|---|---|---|
신고 대상 건수 |
|
|
|
신고 시점 |
|
|
|
신고 기관 |
|
개인정보 유출 사고[edit | edit source]
관련 링크[edit | edit source]
참고 문헌[edit | edit source]
- 개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.)