개인정보 유출 신고 의무와 72시간 절차
최종 업데이트: 2026-06-13
개인정보가 유출되면 영향받은 이용자에게 지체 없이(72시간 이내) 통지해야 하며 (개인정보보호법 제34조), ①1천명 이상 ②민감정보·고유식별정보 포함 ③외부의 불법적 접근 중 하나라도 해당하면 72시간 이내에 개인정보보호위원회 또는 KISA에 신고해야 합니다(시행령 제40조).
1. 정보주체 통지 (제34조)
유출을 알게 된 때 지체 없이, 72시간 이내에 영향받은 이용자에게 알립니다. 통지 방법은 서면·전자우편·팩스· 전화·문자 등이 가능합니다. 연락처를 알 수 없으면 홈페이지에 30일 이상 게시하는 것으로 갈음할 수 있습니다 (홈페이지를 운영하지 않으면 사업장 게시). 항목·경위를 아직 확인하지 못했다면 확인된 사실을 먼저 통지하고 나머지는 추후 추가 통지할 수 있습니다.
2. 당국 신고 — 어떤 경우에 의무가 생기나
다음 세 가지 중 하나라도 해당하면 72시간 이내에 개인정보보호위원회 또는 KISA에 신고해야 합니다. 온라인 신고는 개인정보 포털(privacy.go.kr)에서 합니다.
| 신고 대상 기준 | 참고 |
|---|---|
| 정보주체 1천명 이상 유출 | 정확한 수를 모르면 추정 최대치 기준으로 판단합니다. |
| 민감정보 또는 고유식별정보 포함 | 주민등록번호·여권번호·운전면허번호·외국인등록번호 등. 1명분이라도 포함되면 해당. |
| 외부의 불법적 접근에 의한 유출 | 해킹·디도스 등. 경로가 불확실하면 보수적으로 "해당"으로 봅니다. |
3. 해킹 등 침해사고 신고 (정보통신망법 제48조의3)
해킹·디도스 등 외부의 침해사고가 원인이라면, 위 개인정보 유출 신고와 별개로 과학기술정보통신부 또는 KISA에 침해사고 신고가 필요할 수 있습니다. 두 신고는 목적이 다르므로 해당 여부를 각각 확인하세요.
통지·신고 공통 필수 5항목
- 유출된 개인정보 항목
- 유출 시점과 경위
- 피해를 최소화하기 위해 정보주체가 할 수 있는 방법
- 개인정보처리자의 대응조치 및 피해 구제절차
- 신고 접수 담당부서 및 연락처
우리 사고가 신고 대상인지 빠르게 판단하기
아래 세 질문에 답하면 신고 대상 여부를 가늠할 수 있습니다. 하나라도 “예”면 신고 대상이고, 확실치 않아 “모름”이 있으면 보수적으로 신고 대상으로 간주해 대상 여부를 먼저 확인하는 것이 안전합니다.
- 영향받은 정보주체가 1천명 이상인가요?
- 민감정보 또는 고유식별정보(주민등록번호 등)가 포함됐나요? (1명분이라도 포함되면 “예”)
- 해킹·디도스 등 외부의 불법적 접근에 의한 유출인가요?
신고 체크리스트를 자동으로 만들기
‘모두의 사과문’은 위 세 질문의 답을 바탕으로 신고 의무를 판단하고, 팀원에게 나눠 맡길 수 있는 신고·통지 작업 체크리스트를 생성합니다. 사고 개요만 입력하면 즉시 사용할 수 있습니다.
체크리스트 만들기이 글은 개인정보보호법 제34조·같은 법 시행령 제40조·정보통신망법 제48조의3(2026년 6월 기준)을 근거로 한 일반 정보 제공용이며 법률 자문이 아닙니다. 법령은 개정될 수 있으므로 실제 신고 시 개인정보 포털 (privacy.go.kr)에서 최신 요건과 기한을 확인하세요.