정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 함)는 개인정보의 분실·도난·유출(이하 "유출등"이라 함) 사실을 안 때에는 지체 없이 다음의 사항을 해당 이용자에게 알리고 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지·신고해서는 안 됩니다(「개인정보 보호법」 제39조의4제1항 본문, 「개인정보 보호법 시행령」 제48조의4제1항 및 제2항).
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 서면등의 방법으로 지체 없이 「개인정보 보호법」 제34조제1항 각 호의 사항을 정보주체에게 알려야 합니다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있습니다(「개인정보 보호법 시행령」 제40조제1항).
위에도 불구하고 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때나 유출 사실을 알고 긴급한 조치를 한 후에도 「개인정보 보호법」 제34조제1항제1호 및 제2호의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있습니다(「개인정보 보호법 시행령」 제40조제2항)
1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 「개인정보 보호법」 제34조제1항 각 호의 사항을 7일 이상 게재해야 합니다. 다만, 인터넷 홈페이지를 운영하지 않는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 「개인정보 보호법 제34조제1항 각 호의 사항을 7일 이상 게시해야 합니다(「개인정보 보호법 시행령」 제40조제3항).
위반 시 제재
이를 위반하여 정보주체에게 사실을 알리지 않거나 조치 결과를 신고하지 않은 자에게는 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제2항제8호).
개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 해야 합니다. 또한 개인정보처리자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 위에 따른 통지 및 조치 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야 합니다(「개인정보 보호법」 제34조2항·제3항 및 「개인정보 보호법 시행령」 제39조).
√ 정보통신서비스 제공자등의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 "개인정보취급자"라 함)의 교육에 관한 사항
√ 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항
개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
√ 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 "개인정보처리시스템"이라 한다)에 대한 접근 권한의 부여·변경·말소 등에 관한 기준의 수립·시행
√ 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영
√ 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다]
√ 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영
√ 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치
개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
√ 비밀번호의 일방향 암호화 저장
√ 주민등록번호, 계좌정보 및 제18조제3호에 따른 정보 등 보호위원회가 정하여 고시하는 정보의 암호화 저장
√ 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치
√ 그 밖에 암호화 기술을 이용한 보안조치
개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
√ 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인·감독
√ 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관
개인정보에 대한 보안프로그램의 설치 및 갱신
√ 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신·점검 조치
개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
위반 시 제재
이를 위반하여 안전성 확보에 필요한 조치를 하지 않은 자에게는 3천만원 이하의 과태료가 부가됩니다(「개인정보 보호법」 제75조제2항제6호).
개인정보 보호책임자의 지정 
지정 의무
개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정해야 합니다(
개인정보 보호 계획의 수립 및 시행