싱가포르 데이터 유출 통지 의무: 3일 규칙 완전 해설
싱가포르 PDPA에 따른 의무적 데이터 유출 통지 요건을 이해하세요. 3일 규칙, 통지 대상 유출 기준, 필수 절차를 설명합니다.

싱가포르 데이터 유출 통지 의무: 3일 규칙
2021년 2월 1일부터 싱가포르의 모든 조직은 특정 데이터 유출 발생 시 PDPC(개인정보보호위원회)에 통지할 법적 의무가 있습니다. 이는 개정된 PDPA에 따른 의무 사항입니다.
미준수 시 싱가포르 내 연매출의 10% 또는 S$100만 중 큰 금액의 과징금이 부과될 수 있습니다.
어떤 유출이 통지 대상인가?
모든 데이터 유출에 통지 의무가 발생하는 것은 아닙니다. 다음 두 조건 중 하나를 충족하면 통지 대상입니다:
| 조건 | 기준 |
|---|---|
| 심각한 피해 | 유출로 인해 개인에게 심각한 피해가 발생했거나 발생할 가능성이 있는 경우 |
| 규모 | 피해 여부와 관계없이 500명 이상의 개인에게 영향을 미치는 경우 |
"심각한 피해"란?
- 신원 도용 또는 사기
- 재정적 손실
- 신체 안전 위협
- 협박 또는 갈취
- 괴롭힘
- 취업 기회 상실
- 명예 훼손
3일 통지 타임라인
유출이 통지 대상이라고 평가한 후 3일(캘린더 기준) 이내에 PDPC에 통지해야 합니다. 영업일이 아닌 캘린더 일수입니다.
단계별 절차
| 단계 | 조치 | 시기 |
|---|---|---|
| 1 | 유출 차단 — 누출 중단, 시스템 격리 | 즉시 |
| 2 | 유출 평가 — 통지 대상 여부 판단 | 가능한 빨리 |
| 3 | PDPC 통지 — 통지 양식 제출 | 평가 후 3일 이내 |
| 4 | 피해자 통지 — 심각한 피해 우려 시 | 가능한 빨리 |
| 5 | 문서화 및 검토 — 재발 방지 개선 | 지속적 |
PDPC 통지에 포함할 내용
- 유출 성격 — 무엇이 발생했는가
- 영향받은 개인정보 유형 — NRIC, 금융 정보, 건강 기록 등
- 유출 발생 시점 — 날짜와 시간
- 영향받은 개인 수 — 정확한 수 또는 추정치
- 시정 조치 — 취한 조치 또는 계획
- 연락처 — 후속 문의용 담당자
실제 사례와 과징금
- SingHealth (2018): 150만 명 환자 데이터 유출로 SingHealth와 IHIS에 각각 S$250,000
- Grabcar (2019): 데이터 노출로 S$10,000
유출 보고서 안전하게 공유하기
유출 발생 시 사고 대응팀은 민감한 평가 보고서, 포렌식 결과, 개선 계획을 이해관계자들과 공유해야 합니다. 카카오톡이나 일반 이메일로 보내는 것은 위험합니다.
LOCK.PUB의 비밀번호 보호 메모를 사용하면 유출 평가 문서를 안전하게 공유할 수 있습니다. 만료 시간을 설정하여 접근을 제한할 수 있습니다.
유출 전 준비 사항
- 대응 계획 문서화
- 통지 담당팀 지정 (DPO, 법무, IT, 커뮤니케이션)
- 통지 양식 사전 작성
- 모의 훈련 실시
- 연간 검토 및 업데이트
유출 관련 문서를 안전하게 공유해야 할 때 LOCK.PUB을 활용하세요. 유출이 발생하기 전에 대응 계획을 준비하세요.
관련 키워드
다른 글도 읽어보세요
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
싱가포르 DPO 지정 의무: 모든 기업이 알아야 할 사항
싱가포르의 모든 조직은 데이터보호책임자(DPO)를 지정해야 합니다. PDPA 요건, DPO 책임, 자격 요건, 외주 옵션을 알아보세요.
싱가포르 HealthHub와 NEHR: 내 의료 기록은 어떻게 관리되고 있을까?
싱가포르 국가전자건강기록(NEHR) 시스템에서 의료 데이터가 어떻게 저장·공유·보호되는지 알아보고, 민감한 의료 정보를 안전하게 공유하는 방법을 소개합니다.