개인정보 유출 72시간 통지 입법예고: 쇼핑몰 운영자가 준비할 사고 대응 기록

한 줄 결론

고객 개인정보 유출(위조·변조·훼손 포함) 가능성을 인지한 경우 72시간 내에 통지해야 하며, 대규모 쇼핑몰은 개인정보 보호책임자(CPO) 지정 및 변경 시 이사회 의결과 위원회 신고가 의무화됩니다.

적용 대상 빠른 판별

공식 자료로 확인된 변경 내용

1. 개인정보 유출 통지 및 신고 제도 강화

• 유출 가능성 통지 기한 신설: 개인정보처리시스템에 대한 불법적 접근이나 개인정보의 불법 거래·유통 사실을 통해 유출 ‘가능성’을 인지한 때로부터 72시간 이내에 정보주체에게 통지해야 합니다.
• 유출 범위 확대: 기존의 분실, 도난, 유출뿐만 아니라 개인정보가 위조, 변조, 훼손되었음을 알게 된 때에도 통지 및 신고 의무가 발생합니다.
• 통지 항목 추가: 유출 통지 시 비밀번호 변경 방법 등 피해 최소화를 위해 정보주체가 할 수 있는 계정 보호조치를 반드시 포함해야 합니다.

2. 대규모 사업자의 개인정보 보호책임자(CPO) 관리 강화

• 이사회 의결 및 신고 의무: 연 매출액 1,800억 원 이상이면서 100만 명 이상의 개인정보를 처리하는 사업자 등은 CPO 지정, 변경, 해제 시 이사회 의결을 거쳐야 합니다.
• 신고 기한: 의무가 발생한 날부터 1개월 이내에 개인정보보호위원회에 신고서를 제출해야 합니다.

3. 과태료 부과기준 정비

• 과태료를 부과하지 않고 시정조치 또는 경고로 끝난 경우라도 이를 위반 횟수에 포함하도록 개정되어, 사고 재발 시 과태료가 가중 부과됩니다.

실무자가 오해하기 쉬운 부분

• 유출 확정 전이라도 통지 필요: 유출이 최종적으로 ‘확정’된 시점이 아니라, 불법적 접근이나 불법 거래 정황 등 유출 ‘가능성’을 인지한 시점부터 72시간이 기산되므로 초기 대응 속도가 매우 중요해집니다.
• 데이터 훼손도 유출에 해당: 외부로 정보가 빠져나가지 않았더라도, 랜섬웨어 해킹 등으로 인해 고객 정보가 ‘위조, 변조, 훼손’된 경우에도 동일하게 유출 통지 및 신고 의무가 발생합니다.

지금 할 일

• 대응 매뉴얼 개정: 내부 개인정보 침해 사고 대응 매뉴얼을 점검하여 ‘유출 가능성 인지 시 72시간 내 통지’ 프로세스를 반영해야 합니다.
• 통지문 템플릿 수정: 고객 대상 유출 통지문 양식에 ‘비밀번호 변경 안내’ 등 피해 최소화 조치 문구를 선제적으로 추가해 두어야 합니다.
• CPO 인사 프로세스 점검: 대규모 사업자(매출 1,800억 이상 등)에 해당하는 경우, CPO 인사 발령 시 이사회 안건 상정 및 1개월 내 위원회 신고 프로세스를 사내 규정에 명문화해야 합니다.