정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 함)는 개인정보의 분실·도난·유출(이하 "유출등"이라 함) 사실을 안 때에는 지체 없이 다음의 사항을 해당 이용자에게 알리고 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지·신고해서는 안 됩니다(「개인정보 보호법」 제39조의4제1항 본문, 「개인정보 보호법 시행령」 제48조의4제1항 및 제2항).
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 서면등의 방법으로 지체 없이 「개인정보 보호법」 제34조제1항 각 호의 사항을 정보주체에게 알려야 합니다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있습니다(「개인정보 보호법 시행령」 제40조제1항).
위에도 불구하고 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때나 유출 사실을 알고 긴급한 조치를 한 후에도 「개인정보 보호법」 제34조제1항제1호 및 제2호의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있습니다(「개인정보 보호법 시행령」 제40조제2항)
1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 「개인정보 보호법」 제34조제1항 각 호의 사항을 7일 이상 게재해야 합니다. 다만, 인터넷 홈페이지를 운영하지 않는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 「개인정보 보호법 제34조제1항 각 호의 사항을 7일 이상 게시해야 합니다(「개인정보 보호법 시행령」 제40조제3항).
위반 시 제재
이를 위반하여 정보주체에게 사실을 알리지 않거나 조치 결과를 신고하지 않은 자에게는 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제2항제8호).
개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 해야 합니다. 또한 개인정보처리자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 위에 따른 통지 및 조치 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야 합니다(「개인정보 보호법」 제34조2항·제3항 및 「개인정보 보호법 시행령」 제39조).
√ 정보통신서비스 제공자등의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 "개인정보취급자"라 함)의 교육에 관한 사항
√ 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항
개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
√ 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 "개인정보처리시스템"이라 한다)에 대한 접근 권한의 부여·변경·말소 등에 관한 기준의 수립·시행
√ 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영
√ 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다]
√ 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영
√ 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치
개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
√ 비밀번호의 일방향 암호화 저장
√ 주민등록번호, 계좌정보 및 제18조제3호에 따른 정보 등 보호위원회가 정하여 고시하는 정보의 암호화 저장
√ 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치
√ 그 밖에 암호화 기술을 이용한 보안조치
개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
√ 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인·감독
√ 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관
개인정보에 대한 보안프로그램의 설치 및 갱신
√ 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신·점검 조치
개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
위반 시 제재
이를 위반하여 안전성 확보에 필요한 조치를 하지 않은 자에게는 3천만원 이하의 과태료가 부가됩니다(「개인정보 보호법」 제75조제2항제6호).