개인정보처리자 또는 정보통신서비스제공자가 정보통신망을 이용하여 개인정보를 수집, 보관, 이용하여 서비스를 제공하던 중 개인정보 유출, 침해사고 등이 발생했을 때에는 신고, 통지를 하여야 합니다.
하지만 대상 기관별로 사고 유형에 따라 신고 기관과 기준, 기한 등이 다소 상이하지만 이 차이를 구별하지 않고 관리하는 경우 법률 위반이 될 수 있으므로 주의해야 합니다.
1. 클라우드컴퓨팅서비스제공자의 개인정보 유출 또는 침해사고 발생 시
클라우드컴퓨팅서비스제공자의 경우 대부분 정보통신서비스제공자이므로 개인정보유출 및 침해사고 등이 발생했을 때 개인정보보호위원회 또는 한국인터넷진흥원의 보호나라 등에 신고하는 것으로만 알고 있으나 클라우드컴퓨팅법에 따라 클라우드인증팀에도 별도 신고를 하여야 함을 숙지하고 있어야 합니다.
2. 개인정보 유출 건수
개인정보처리자(공공기관 및 민간기업)의 경우에는 1천 명 이상의 정보주체의 개인정보 유출 시 신고 대상이나 정보통신서비스제공자와 클라우드컴퓨팅서비스제공자의 경우 단 1건이라도 유출되었을 시 신고하여야 합니다.
3. 적용 대상 법률
개인정보보호법과 정통망법의 개정으로 개인정보의 유출 사고의 경우에는 모두 개인정보보호법을 적용받으며 침해사고는 정보통신망법을 적용받습니다.
4. 즉시와 지체없이
법에서 즉시 처리 또는 지체 없이 처리하라는 규정이 존재합니다. 이에 대한 이해도 매우 중요합니다.
-즉시 : 정당한 사유가 있는 경우를 제외하고 3 근무시간 이내에 처리하여야 합니다.
-지체 없이 : 합리적인 이유에 의해 허락되는 한도 내에서 가장 신속하게 처리하여야 합니다.
1) 사고 유형 :
-개인정보의 유출
-침해사고
2) 신고 대상 :
-개인정보처리자 (공공 및 민간기업)
-정보통신서비스제공자
-제공자로부터 개인정보를 제공받은 자
-집적정보통신시설 사업자
-클라우드컴퓨팅서비스 제공자
3) 신고 기관 :
-개인정보보호위원회
-한국인터넷진흥원(과기정통부)
4) 신고 기준 :
-1천 명 이상의 정보주체의 개인정보 유출 시
-1건 이상 정보주체의 개인정보 유출 시
-침해사고, 개인정보유출, 서비스 중단
5) 신고 기한 :
-지체 없이
-즉시
'(부제) 나는 CISO 이다 > CSAP 인증심사' 카테고리의 다른 글
(CSAP) 고집불통 정보보호 담당 (0) | 2021.03.28 |
---|---|
(CSAP) 20년도 정보보호 실태조사 결과 요약정리 (0) | 2021.03.28 |
(CSAP) 보안사고 정말 없었다? 믿어져? (0) | 2021.03.27 |
(CSAP) 문서 중앙화 (0) | 2021.03.27 |
(CSAP) 물리적 보호구역 지정 (0) | 2021.03.27 |
댓글