SBS Biz

이동통신사나 공공기관, 본인확인기관 등 공공·민간 분야에서 파급력이 큰 주요 개인정보처리자에 대해 개인정보 보호 인증(ISMS-P)이 의무화됩니다. 또 개인정보처리시스템에 대한 불법적 접근을 인지해도 72시간 내로 정보주체에 통지하도록 개선됩니다.



개인정보보호위원회는 이같은 내용의 개인정보 보호법 시행령 일부개정령안을 오늘(2일)부터 입법예고한다고 밝혔습니다.

오는 9월 11일 시행되는 개정 개인정보보호법 후속조치입니다. 개정 법은 개인정보 보호책임자(CPO)의 권한과 독립성을 강화하기 위해 일정 규모 이상의 개인정보처리자에 대해서는 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보위에 신고하는 내용을 규정합니다. 또 공공·민간 분야에서 파급력이 큰 주요 개인정보처리자의 ISMS-P 인증 의무화와, 개인정보 유출 가능성 단계부터 정보주체에게 이를 지체없이 통지하는 내용을 담고 있습니다.

시행령 개정을 통해선 요건을 구체화했습니다.

CPO 지정·변경·해제 시 이사회 의결과 개인정보위 신고 의무 대상 기준으로는 현행법상 전문 CPO 지정 의무 대상과 동일하게 규정했습니다. 연 매출액·수입이 1천800억 원 이상이면서 5만 명 이상 민감·고유식별정보 또는 100만 명 이상 개인정보처리자, 재학생 수 2만 명 이상인 대학, 상급종합병원, 공공시스템운영기관이 그 대상이 됩니다. 이들은 CPO 지정·변경·해제 시 1달 내로 개인정보위에 신고해야 합니다.



ISMS-P 인증 의무 대상이 되는 범위도 구체화 했습니다. 공공시스템운영기관 중 개인정보위가 정해 고시하는 곳, 이동통신사업자, 본인확인기관이 의무 대상입니다. 이 외에도 전년도 매출액이 1조 원 이상이고 정보통신서비스 부문 전년도 매출액이 100억 원 이상이며 전년도 말 기준 직전 3개월 간 개인정보가 저장·관리되는 국내 정보주체 수가 일일 평균 3천만 명 이상이면 2028년 12월 31일까지 ISMS-P 인증을 취득해야 합니다.

끝으로 개인정보처리시스템에 대한 불법적 접근을 알게되었거나, 개인정보가 불법적으로 거래·유통되고 있음을 알게된 때에는 이를 72시간 이내 정보주체에 통지하도록 했습니다. 개인정보 분실·도난·유출 뿐만 아니라 위조·변조·훼손의 경우에도 통지·신고하도록 개선했습니다.

과태료 부과 기준도 정비했습니다. 우선 경미한 위반행위에 대해 과태료를 면제하고 경고를 한 경우 향후 동일한 위반행위 재발 시 과태료 가중 횟수에 반영되도록 하는 한편, 위반 횟수별 과태료 부과금액을 법제처 지침에 맞춰 정비했습니다.

개인정보위는 7월 13일까지 의견을 받은 뒤 법 시행 전 시행령 개정령안 절차를 마칠 계획입니다.