개인정보 유출이란 주로 개인정보를 다루는 기업이나 서비스에서 침해사고를 통해 개인정보가 탈취 당하거나 보안상의 문제로 개인정보가 열람 권한 없는 자들에게 노출되는 상황을 말한다. 꼭 기업이 아니더라도 개인이 가진 개인정보가 유·노출 되는 상황도 포괄한다.
- 한국인터넷진흥원의 개인정보 유출 대응 메뉴얼(20.12.)에 따르면 아래의 경우를 포함한다.
- 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
- 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
- 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
- 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우
관련 법률
개인정보 유출 관련 법률 체계
개인정보 보호법(일반법) | |||
---|---|---|---|
개인정보 보호법(특례) | 신용정보법(특별법) | ||
개인정보처리자 | 정보통신서비스제공자등 | 신용정보회사등
(상거래기업 및 법인) |
신용정보회사등
(그 외) |
개인정보 보호위원회 소관 | 금융위원회 소관 |
개인정보 유출 관련 법 적용 비교
근거 법률 | 개인정보 보호법 | 신용정보법 | ||
---|---|---|---|---|
법률간의 관계 | 일반법 | 일반법(특례) | 특별법 | |
적용 대상 | 개인정보처리자 | 정보통신서비스제공자등 | 신용정보회사등에서의 상거래기업 및 법인 | |
적용 범위 | 개인정보 유출 | 개인정보 분실·도난·유출 | 개인신용정보 누설 | |
의무 사항 | 통지 및 신고 | |||
벌칙 규정 | 3천만원 이하의 과태료 | |||
유출
신고 의무 |
규모 | 1천명 이상 | 1명 이상 | 1만명 이상 |
시점 | 5일 이내 | 24시간 이내 | 5일 이내 | |
기관 | 개인정보보호위원회 또는 한국인터넷진흥원 | |||
유출
통지 의무 |
규모 | 1명 이상 | ||
시점 | 5일 이내 | 24시간 이내 | 5일 이내 | |
방법 | 홈페이지, 전화, 팩스, 이메일, 우편 등으로 개별 통지 | |||
항목 |
|
법적 의무사항
개인정보 유출 사고 대응 계획 수립·시행
- “개인정보 유출 사고 대응 계획”에 관한 사항을 내부 관리계획에 포함하여 수립·시행[1]
개인정보 유출 사고 대응 매뉴얼 마련
- 개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 “개인정보 유출 사고 대응매뉴얼” 마련[2]
개인정보 유출 통지 및 신고[3]
- 개인정보가 유출되었음을 알게 되었을 때에는 해당 정보주체에게 유출사실 통지
- 또한, 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고
개인정보 유출 통지
개인정보 유출 사고
관련 링크
참고 문헌
- 개인정보 유출 대응 메뉴얼(한국인터넷진흥원, 20.12.)