[뉴스토마토 전연주 기자] 개인정보보호위원회(개보위)가 개인정보 유출 사고를 사전에 막기 위한 관리·감독 체계를 강화합니다. 일정 규모 이상의 기업과 기관은 개인정보보호책임자(CPO)를 지정하거나 바꿀 때 이사회 의결을 거쳐야 하고, 대형 개인정보처리자는 개인정보 보호 인증도 의무적으로 받아야 합니다.
개보위는 2일 개인정보 사전예방 강화를 위한 개인정보 보호법 시행령 개정안을 마련해 이날부터 다음 달 13일까지 입법예고한다고 밝혔습니다.
이번 시행령 개정안은 지난 3월 공포된 개인정보 보호법 개정의 후속 조치입니다. 개정 법은 CPO의 권한과 독립성을 강화하고, 주요 개인정보처리자에 대한 개인정보 보호 인증을 의무화하는 내용을 골자로 하고 있습니다.
대표적인 변화는 CPO 선임 절차입니다. 개정안에 따르면 일정 규모 이상의 개인정보처리자는 CPO를 지정하거나 변경·해제할 때 이사회 의결을 거쳐야 합니다. 또 의무가 발생한 날부터 1개월 이내 개보위에 신고해야 합니다. 부득이한 사유가 있으면 신고 기한은 1개월 연장할 수 있습니다.
신고 의무 대상은 현행법상 전문 CPO 지정 의무가 있는 개인정보처리자와 동일합니다. 연 매출액이나 수입이 1800억원 이상이면서 일정 규모 이상의 개인정보를 처리하는 사업자, 재학생 수 2만명 이상 대학, 상급종합병원, 공공시스템 운영기관 등이 해당됩니다.
개보위는 이사회 의결과 신고 절차를 두면 개인정보 보호 책임자의 독립성과 조직 내 위상이 강화될 것으로 보고 있습니다. 개인정보 보호를 실무 부서 업무에 그치지 않고 경영진이 책임지고 관리하는 영역으로 끌어올리겠다는 취지로 풀이됩니다.
개인정보 보호 인증인 ISMS-P 인증 의무 대상도 구체화됐습니다. 공공시스템 운영기관 가운데 개보위가 고시하는 기관, 이동통신사업자, 본인확인기관 등이 대상입니다. 전년도 전체 매출액이 1조원 이상이고 정보통신서비스 부문 매출액이 100억원 이상인 대형 사업자 가운데 국내 정보주체의 개인정보를 대규모로 저장·관리하는 경우도 포함됩니다.
해당 사업자는 2028년 12월 31일까지 ISMS-P 인증을 받아야 합니다. ISMS-P 인증은 개인정보 보호 관리체계와 정보보호 관리체계를 함께 점검하는 제도인데요. 대규모 개인정보를 다루는 기업과 기관의 보호 수준을 일정 기준 이상으로 끌어올리기 위한 장치입니다.
개인정보 유출 통지·신고 기준도 넓어집니다. 개인정보처리시스템에 불법적 접근이 있었다는 사실을 알게 됐거나, 개인정보가 불법적으로 거래·유통되고 있음을 알게 된 경우에는 정보주체에게 알려야 합니다.
그동안에는 개인정보가 실제로 분실·도난·유출된 뒤 통지와 신고가 이뤄지는 데 초점이 맞춰졌다면, 앞으로는 유출 우려가 확인된 단계에서도 이용자가 대응할 수 있도록 통지 대상을 넓히겠다는 것입니다. 또 개인정보 분실·도난·유출뿐 아니라 위조·변조·훼손이 발생한 경우에도 통지와 신고 의무가 적용됩니다.
개보위는 입법예고 기간 동안 기관·단체와 개인 의견을 수렴한 뒤 시행령 개정을 마무리할 계획입니다. 개정 시행령은 개인정보 보호법 시행일인 오는 9월11일에 맞춰 시행될 예정입니다.
전연주 기자 kiteju1011@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김충범 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지