싱가포르 데이터 유출 통지 의무: 3일 규칙 완전 해설
싱가포르 PDPA에 따른 의무적 데이터 유출 통지 요건을 이해하세요. 3일 규칙, 통지 대상 유출 기준, 필수 절차를 설명합니다.
싱가포르 데이터 유출 통지 의무: 3일 규칙
2021년 2월 1일부터 싱가포르의 모든 조직은 특정 데이터 유출 발생 시 PDPC(개인정보보호위원회)에 통지할 법적 의무가 있습니다. 이는 개정된 PDPA에 따른 의무 사항입니다.
미준수 시 싱가포르 내 연매출의 10% 또는 S$100만 중 큰 금액의 과징금이 부과될 수 있습니다.
어떤 유출이 통지 대상인가?
모든 데이터 유출에 통지 의무가 발생하는 것은 아닙니다. 다음 두 조건 중 하나를 충족하면 통지 대상입니다:
| 조건 | 기준 |
|---|---|
| 심각한 피해 | 유출로 인해 개인에게 심각한 피해가 발생했거나 발생할 가능성이 있는 경우 |
| 규모 | 피해 여부와 관계없이 500명 이상의 개인에게 영향을 미치는 경우 |
"심각한 피해"란?
- 신원 도용 또는 사기
- 재정적 손실
- 신체 안전 위협
- 협박 또는 갈취
- 괴롭힘
- 취업 기회 상실
- 명예 훼손
3일 통지 타임라인
유출이 통지 대상이라고 평가한 후 3일(캘린더 기준) 이내에 PDPC에 통지해야 합니다. 영업일이 아닌 캘린더 일수입니다.
단계별 절차
| 단계 | 조치 | 시기 |
|---|---|---|
| 1 | 유출 차단 — 누출 중단, 시스템 격리 | 즉시 |
| 2 | 유출 평가 — 통지 대상 여부 판단 | 가능한 빨리 |
| 3 | PDPC 통지 — 통지 양식 제출 | 평가 후 3일 이내 |
| 4 | 피해자 통지 — 심각한 피해 우려 시 | 가능한 빨리 |
| 5 | 문서화 및 검토 — 재발 방지 개선 | 지속적 |
PDPC 통지에 포함할 내용
- 유출 성격 — 무엇이 발생했는가
- 영향받은 개인정보 유형 — NRIC, 금융 정보, 건강 기록 등
- 유출 발생 시점 — 날짜와 시간
- 영향받은 개인 수 — 정확한 수 또는 추정치
- 시정 조치 — 취한 조치 또는 계획
- 연락처 — 후속 문의용 담당자
실제 사례와 과징금
- SingHealth (2018): 150만 명 환자 데이터 유출로 SingHealth와 IHIS에 각각 S$250,000
- Grabcar (2019): 데이터 노출로 S$10,000
유출 보고서 안전하게 공유하기
유출 발생 시 사고 대응팀은 민감한 평가 보고서, 포렌식 결과, 개선 계획을 이해관계자들과 공유해야 합니다. 카카오톡이나 일반 이메일로 보내는 것은 위험합니다.
LOCK.PUB의 비밀번호 보호 메모를 사용하면 유출 평가 문서를 안전하게 공유할 수 있습니다. 만료 시간을 설정하여 접근을 제한할 수 있습니다.
유출 전 준비 사항
- 대응 계획 문서화
- 통지 담당팀 지정 (DPO, 법무, IT, 커뮤니케이션)
- 통지 양식 사전 작성
- 모의 훈련 실시
- 연간 검토 및 업데이트
유출 관련 문서를 안전하게 공유해야 할 때 LOCK.PUB을 활용하세요. 유출이 발생하기 전에 대응 계획을 준비하세요.
관련 키워드
다른 글도 읽어보세요
싱가포르 DPO 지정 의무: 모든 기업이 알아야 할 사항
싱가포르의 모든 조직은 데이터보호책임자(DPO)를 지정해야 합니다. PDPA 요건, DPO 책임, 자격 요건, 외주 옵션을 알아보세요.
싱가포르 HealthHub와 NEHR: 내 의료 기록은 어떻게 관리되고 있을까?
싱가포르 국가전자건강기록(NEHR) 시스템에서 의료 데이터가 어떻게 저장·공유·보호되는지 알아보고, 민감한 의료 정보를 안전하게 공유하는 방법을 소개합니다.
싱가포르 PDPA 중소기업 컴플라이언스 체크리스트 (2026년 가이드)
싱가포르 중소기업을 위한 PDPA 준수 체크리스트. 9가지 핵심 의무, 2021년 개정 사항, 과징금 사례까지 실무 가이드를 제공합니다.