[개인정보보호법] 개인정보 관리 및 유출

1 개인정보 관리 수준에 대한 평가/개선

 

| 제32조의 2 개인정보 보호 인증

• ISMS-P : 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
  • ISMS : 정보보호, 정보통신망법 제47조
  • PIMS : 개인정보보호, 개인정보 보호법 제32조의2
• 인증 : 인증 대상이 인증 기준을 충족하는지 심사하는 행위 또는 결과
  • 인증 심사원 > 인증 기관(위원회) > 정책 기관(과기정통부/개인정보보호위원
• ISO27018 : 클라우드 관련 체계 인증 / ISO 27001 : 정보보안 경영 시스템

 

| 제33조 개인정보 영향평가

• 영향평가 대상 : 하나라도 해당 할 경우
  • 5만명 이상의 민감정보/고유식별정보
  • 개인정보파일을 다른 외부 개인정보파일과 연계하여 연계 후 50만명 이상
  • 100만 명 이상의 개인정보
• 영향평가 시기 : 개인정보파일을 운용, 변경하기 전
• 공공기관 범위
  • 국회, 법원, 헌재, 선관위의 행정사무 처리 기관, 중앙행정기관 및 소속기관(지방자치단체 등)
  • 국가인법위, 지방공기업, 특수법인, 학교

 

2 개인정보 유출/노출 시 대응

 

| 제34조 개인정보 유출 등의 통지, 신고

(1) 통지

• 근거 : 법 제34조, 시행령 제39조(개인정보 유출 통지의 방법 및 절차)
• 개인정보 유출 등 : 개인정보의 분실, 도난, 유출
• 통지 요건 : 몇 명에 대한 기준이 없으므로 1명이라도 유출되면 통지해야 함
• 통지 기한 : 정당한 사유 없으면 72시간 이내
  • 예외 : 추가 확산 및 유출을 막기 위한 조치가 필요할 경우
• 통지 방법 : 개별 통지(서면)
  • 예외 : 연락처가 없으면 30일 이상 인터넷 홈페이지, 사업장 게시
  • 우선순위 : 개별통지 > 인터넷 > 사업장 게시
• 통지 내용
  • 우선통지 : 3 피해 최소화를 위해 주체가 할 수 있는 방법, 4 피해 구제 절차, 5 신고 등을 접수할 수 있는 담당 부서 및 연락처
  • 추후통지 가능 : 1 항목, 2 경위

(2) 신고

• 근거 : 법 제34조, 시행령 제40조(개인정보 유출 등의 신고)
• 개인정보 유출 등 : 개인정보의 분실, 도난, 유출
• 신고 요건 : 다음 중 하나에 해당 될 경우
  • 1천명 이상의 정보주체, 민감/고유식별정보, 해킹에 의한 유출
  • 신고하지 않을 요건 : 경로가 확인되어 회수/삭제 조치를 통해 권익 침해 가능성이 현저히 낮은 경우
• 신고 기한 : 72시간 내, 예외 규정 X
• 신고 내용
  • 우선통지 : 3 피해 최소화를 위해 주체가 할 수 있는 방법, 4 피해 구제 절차, 5 신고 등을 접수할 수 있는 담당 부서 및 연락처
  • 추후통지 가능 : 1 항목, 2 경위
• 신고처 : 개인정보보호위원회, 한국인터넷진흥원

| 제34조의2 노출된 개인정보의 삭제, 차단

• 개인정보 전송 시 암호화를 통해 통신망을 통하여 공중에서 노출되지 않도록 해야 함
• 보호위원회/대통령령으로 지정한 전문기관의 요청이 있을 경우 해당 정보를 삭제/차단해야 함
• 현행법 정보통신서비스 제공자 등 특례를 일반 개인정보처리자에게 확대 적용
• 위반에 대한 제재조항 없음