GS25, 이벤트 당첨자 2,000명 발표하며 개인정보 노출... 홈피에 공지 안해
(21-07-09)
GS25, 이벤트 당첨자 2,000명 발표하며 개인정보 노출... 홈피에 공지 안해
GS25가 고객 대상 이벤트를 진행하면서 2,000명의 당첨자 개인정보를 노출한 것으로 알려져 문제가 되고 있다. 특히, GS25는 해당 문제를 인지하고도 별도의 공지 없이 개인정보가 노출된 피해자에
www.boannews.com
GS25, 피해 고객에게 문자로 유출 사실 통보
일각에서는 개인정보보호법 시행령 제40조 ③항 ‘1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조 ①항 각 호의 사항을 7일 이상 게재해야 한다’고 나와 있음에도 불구하고 홈페이지에 공지하지 않았다고 지적했다.
이와 관련 <보안뉴스>가 개인정보보호위원회에 직접 알아본 결과, GS25는 정보통신서비스제공자로서 개인정보보호법 제39조의4(개인정보 유출등의 통지·신고에 대한 특례)항에 먼저 적용받기 때문에 홈페이지 공지의 의무는 없는 것으로 확인됐다.
즉, 개인정보를 수집 및 관리하는 ‘정보통신서비스제공자’의 경우 관리하는 개인정보를 노출 및 유출할 경우 24시간 이내 피해자에게 개별적으로 통지하고 관련 기관에 신고해야 하며, ‘일반 기업’의 경우 인터넷 홈페이지에 공지하면 된다는 설명이다. 때문에 정보통신서비스제공자인 GS25는 관련 사실을 직접 알리면 된다.
개인정보보호법 시행령 제40조 ③항
1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조 ①항 각 호의 사항을 7일 이상 게재해야 한다.
단, 개인정보를 수집 및 관리하는 ‘정보통신서비스제공자’의 경우 관리하는 개인정보를 노출 및 유출할 경우 24시간 이내 피해자에게 개별적으로 통지하고 관련 기관에 신고해야 하며, ‘일반 기업’의 경우 인터넷 홈페이지에 공지하면 된다
'Security Script' 카테고리의 다른 글
| [보안 뉴스 스크립트] 14. 타이포스쿼팅(Typosquatting) (0) | 2021.06.23 |
|---|---|
| [보안 뉴스 스크립트] 14. APT 공격 (0) | 2021.06.21 |
| [보안 뉴스 스크립트] 13. 제로 데이(Zero-Day) (0) | 2021.06.18 |
| [보안 뉴스 스크립트] 12. BEC 공격 (0) | 2021.06.17 |
| [보안 뉴스 스크립트] 11. 카카오톡 지갑 QR + 출입보안솔루션 (0) | 2021.06.16 |