7. 개인정보의 안전 조치 의무
- 시행령에서는 개인정보의 유출 등 피해를 막기위해 관리적, 기술적, 물리적 보호조치를 규정
| 개인정보보호법 제29조(안전조치의무) |
| 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24.> |
| 개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치) |
① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.
1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.> |
8. 개인정보취급자에 대한 감독
| 개인정보보호법 제28조(개인정보취급자에 대한 감독) |
① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다)에 대하여 적절한 관리ㆍ감독을 행하여야 한다.
② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다. |
- 개인정보취급자와 개인정보처리자의 차이
| 구분 |
개인정보처리자 |
개인정보취급자 |
| 정의 |
업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자 |
개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 자 |
| 대상 |
공공기관, 법인, 단체 및 개인 |
임직원, 파견근로자, 시간제근로자 |
| 유의사항 |
- 개인정보취급자에 대한 관리, 감독 의무
- 개인정보취급자에 대한 정기적 교육 의무
- 대표자, 개인정보보호책임자가 아닌 조직체 |
- 정규직, 비정규직, 하도급, 시간제 등 모든 근로형태를 불문
- 고용관계가 없더라도 개인정보취급자에 포함됨
- 개인정보 처리업무 등을 수탁받아 처리하고 있는 수탁자 포함 |
9. 가명정보 처리
| 개인정보보호법 제28조의2(가명정보의 처리 등) ~ 제28조의7(적용범위) |
제28조의2(가명정보의 처리 등)
① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.
제28조의3(가명정보의 결합 제한)
① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.
③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 대통령령으로 정한다. [본조신설 2020. 2. 4.]
제28조의4(가명정보에 대한 안전조치의무 등)
① 개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
② 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 한다. [본조신설 2020. 2. 4.]
제28조의5(가명정보 처리 시 금지의무 등)
① 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
② 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다. [본조신설 2020. 2. 4.]
제28조의6(가명정보 처리에 대한 과징금 부과 등)
① 보호위원회는 개인정보처리자가 제28조의5제1항을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 또는 자본금의 100분의 3 중 큰 금액 이하로 과징금을 부과할 수 있다.
② 과징금의 부과ㆍ징수 등에 필요한 사항은 제34조의2제3항부터 제5항까지의 규정을 준용한다.
제28조의7(적용범위)
가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다. |
- 가명정보 처리에 대한 기록, 보관
① 가명정보 처리의 목적
② 가명처리한 개인정보의 항목
③ 가명정보의 이용내역
④ 제3자 제공 시 제공받는 자
⑤ 그 밖에 가명정보의 처리 내용을 관리하기 위하여 보호위원회가 필요하다고 인정하여 고시하는 사항
- 개인정보 비식별화
> 데이터 내에 개인을 식별할 수 있는 경우, 이의 일부 또는 전부를 삭제, 또는 일부를 속성 정보로 대체 처리하여 다른 정보와 결합하여도 특정 개인을 식별하기 어렵도록 하는 조치
| 구분 |
개인정보 |
가명정보 |
익명정보 |
| 개념 |
특정 개인에 관한 정보, 개인을 알아볼 수 있게 하는 정보 |
추가정보의 사용 없이는 특정 개인을 알아볼 수 없게 조치한 정보 |
더 이상 개인을 알아볼 수 없게(복원 불가능할 정도로) 조치한 정보 |
| 활용 범위 |
사전적이고 구체적인 동의를 받은 범위 내 활용 가능 |
통계작성(상업적 목적 포함)
과학적 연구(산업적 연구 포함)
공익적 기론 보존 |
개인정보가 아니기 때문에 제한 없이 자유롭게 활용 |
- 가명정보 결합체계
> 사전준비 - 가명처리 - 적정성검토 및 추가 가명처리 - 활용 및 사후관리
- 개인정보의 가명, 익명처리 기술 종류
① 개인정보 삭제: 삭제기술, 부분삭제, 행 항목 삭제, 로컬삭제, 마스킹
② 개인정보 일부 또는 전부 대체: 마스킹, 통계도구(총계처리, 부분총계), 일반화(일반, 랜덤, 제어 라운딩, 상하단코딩, 로컬 일반화, 범위방법, 문자데이터 범주화), 암호화(양방향, 일방향, 순서보존, 형태보존, 동형, 다형성), 무작위화(잡읍추가, 순열, 토큰화, 난수생성)
③ 기타기술: 표본추출, 해부화, 재현데이터, 동형비밀분산, 차분프라이버시
10. 개인정보 처리방침
| 개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개) |
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.>
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.> |
- 개인정보 처리방침 포함 사항(시행령 31조)
> 처리하는 개인정보의 항목, 제30조 또는 제48조의2에 따른 개인정보의 안전성 확보 조치에 관한 사항
- 개인정보 처리방침 공개 방법
| 개인정보보호법 시행령 제31조(개인정보 처리방침의 내용 및 공개방법 등) |
② 개인정보처리자는 법 제30조제2항에 따라 수립하거나 변경한 개인정보 처리방침을 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재하여야 한다.
③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 수립하거나 변경한 개인정보 처리방침을 공개하여야 한다.
1. 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법
2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법 |
- 공공기관 개인정보 처리방침 등록 면제가 가능한 경우
| 개인정보보호법 제32조(개인정보파일의 등록 및 공개) |
② 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 아니한다.
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일 |
| 개인정보보호법 제58조(적용의 일부 제외) |
① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다.
1. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보
2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보
3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보
4. 언론, 종교단체, 정당이 각각 취재ㆍ보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집ㆍ이용하는 개인정보 |
| 표준 개인정보 보호지침 제50조(적용제외) |
1. 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속기관을 포함한다)에서 관리하는 개인정보파일
4. 영상정보처리기기를 통하여 처리되는 개인영상정보파일
5. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일
6. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위해 보유하는 개인정보파일 |
11. 개인정보보호책임자
| 개인정보보호법 제31조(개인정보 보호책임자의 지정) |
① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.
⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.
⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다. |
| 개인정보보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등) |
① 법 제31조제2항제7호에서 “대통령령으로 정한 업무”란 다음 각 호와 같다.
1. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행
2. 개인정보 보호 관련 자료의 관리
3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 |
- 개인정보 보호책임자의 자격 요건
| 구분 |
자격요건 (시행령 제32조 제2항) |
관련 근거 |
| 민간기업 |
사업주 또는 대표자, 임원(임원이 없는 경우에는 개인정보 처리 관련 업무 담당 부서의 장)
※ 중소기업기본법따른 소기업 중 업종별 상시근로자수 5명 미만(광업, 제조업, 건설업, 운수업: 10명 미만)시 지정하지 않을 수 있으며 대표자가 CPO가 됨 |
개인정보보호법 |
| 공공기관 |
국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당하는 공무원 |
시행령 제32조 제2항 |
| 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원 |
| 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원 |
| 기타 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장 |
| 시, 도 및 시, 도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원 |
| 시, 군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원 |
| 각급 학교: 해당 학교의 행정사무를 총괄하는 사람 |
| 기타 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다. |
- 개인정보 보호책임자와 정보보호 최고책임자의 업무 비교
| 개인정보 보호책임자 업무(법 제31조 제2항, 영 제32조 제1항) |
정보보호 최고책임자의 지정 등(망법 제45조의3) |
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
8. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행
9. 개인정보 보호 관련 자료의 관리
10. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 |
1. 정보보호 관리체계의 구축 및 관리⋅운영
2. 정보보호 취약점 분석⋅평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계⋅구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 |
12. 개인정보 유출통지 및 신고
| 개인정보보호법 제34조 |
개인정보보호법 제39조의4 |
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. |
① 제34조제1항 및 제3항에도 불구하고 정보통신서비스 제공자와 그로부터 제17조제1항에 따라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 개인정보의 분실ㆍ도난ㆍ유출(이하 “유출등”이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 사항을 해당 이용자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.
1. 유출등이 된 개인정보 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
② 제1항의 신고를 받은 대통령령으로 정하는 전문기관은 지체 없이 그 사실을 보호위원회에 알려야 한다.
③ 정보통신서비스 제공자등은 제1항에 따른 정당한 사유를 보호위원회에 소명하여야 한다.
④ 제1항에 따른 통지 및 신고의 방법ㆍ절차 등에 필요한 사항은 대통령령으로 정한다.
[본조신설 2020. 2. 4.] |
- 개인정보 유출 신고기준
| 구분 |
개인정보처리자 |
정보통신서비스제공자 등 |
| 신고 대상 건수 |
1천명 이상 |
유출 건수 무관 |
| 신고 시점 |
유출되었음을 알게 되었을 때 지체 없이 5일 이내 |
정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내 |
| 신고기관 |
보호위원회 또는 KISA |
| 통지 |
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 |
1. 유출등이 된 개인정보 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처 |
| 신고방법 |
전자우편, 팩스, 인터넷사이트를 통해 유출사고 신고 및 신고서 제출
시간적 여유가 없거나 특별한 사정이 있는 경우에는 전화를 통하여 통지내용을 신고한 후, 유출 신고서를 제출할 수 있음 |
| 인터넷 홈페이지 |
7일 이상 게재(홈페이지 미운영시 사업장 등에 게시 가능) |
30일 이상 게시(이용자 연락처를 알 수 없는 등 정당한 사유가 있는 경우) |
- 개인정보 유출 기준
① 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
② 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
③ 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
④ 기타 권한이 없는 자에게 개인정보가 전달된 경우
- 유출 통지 관련 주의사항
> 유출된 개인정보의 수량, 종류, 시기 등은 따지지 않으므로, 단 1건의 개인정보가 유출되었더라도 통지해야 함
> 유출이 발생한 즉시가 아닌 유출 사실을 알게 되었을 때 통지 의무가 발생
> 가명정보 유출의 경우 적용되지 않음
13. 개인정보파일 등록 및 공개
| 개인정보보호법 제32조(개인정보파일의 등록 및 공개) |
① 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 보호위원회에 등록하여야 한다. 등록한 사항이 변경된 경우에도 또한 같다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
7. 그 밖에 대통령령으로 정하는 사항
② 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 아니한다.
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일
③ 보호위원회는 필요하면 제1항에 따른 개인정보파일의 등록사항과 그 내용을 검토하여 해당 공공기관의 장에게 개선을 권고할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
④ 보호위원회는 제1항에 따른 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
⑤ 제1항에 따른 등록과 제4항에 따른 공개의 방법, 범위 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
⑥ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정한다. |
| 개인정보보호법 시행령 제33조(개인정보파일의 등록사항) 및 제34조(개인정보파일의 등록 및 공개 등) |
제33조(개인정보파일의 등록사항)
법 제32조제1항제7호에서 “대통령령으로 정하는 사항”이란 다음 각 호의 사항을 말한다.
1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
3. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
4. 제41조에 따른 개인정보의 열람 요구를 접수ㆍ처리하는 부서
5. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유
제34조(개인정보파일의 등록 및 공개 등)
① 개인정보파일을 운용하는 공공기관의 장은 그 운용을 시작한 날부터 60일 이내에 보호위원회가 정하여 고시하는 바에 따라 보호위원회에 법 제32조제1항 및 이 영 제33조에 따른 등록사항(이하 “등록사항”이라 한다)의 등록을 신청하여야 한다. 등록 후 등록한 사항이 변경된 경우에도 또한 같다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
② 보호위원회는 법 제32조제4항에 따라 개인정보파일의 등록 현황을 인터넷 홈페이지에 게재해야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
③ 보호위원회는 제1항에 따른 개인정보파일의 등록사항을 등록하거나 변경하는 업무를 전자적으로 처리할 수 있도록 시스템을 구축ㆍ운영할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.> |
