(출처=개인정보위)

개인정보위, CPO 이사회 의결·ISMS-P 의무화 기준 마련

By곽중희

개인정보보호위원회(이하 개인정보위)는 개인정보 유출 예방과 대응을 강화하기 위한 ‘개인정보 보호법 시행령’ 일부개정령안을 6월 2일부터 7월 13일까지 입법예고한다고 2일 밝혔다.

이번 시행령 개정안은 지난 3월 10일 공포된 개정 개인정보 보호법의 후속조치다. 개정 개인정보 보호법은 개인정보 보호책임자(CPO)의 권한과 독립성을 강화하고, 주요 개인정보처리자의 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 의무화하는 내용을 담고 있다. 개인정보 유출 가능성이 확인된 단계부터 정보주체에게 통지하도록 하는 제도도 신설했다. 개정 법률은 오는 9월 11일 시행된다.

시행령 개정안은 크게 ▲CPO 이사회 의결·신고 의무 대상 ▲ISMS-P 인증 의무 대상 ▲개인정보 유출 가능성 통지 요건 ▲과태료 부과기준 정비로 나뉜다.

CPO 지정·변경·해제, 이사회 의결 거쳐야

개정안은 CPO를 지정하거나 변경·해제할 때 이사회 의결을 거치고 개인정보위에 신고해야 하는 대상을 정했다. CPO는 조직 안에서 개인정보 보호 업무를 총괄하는 책임자다. 개인정보 침해 예방, 내부 관리계획 수립, 개인정보 처리 실태 점검 같은 역할을 맡는다.

개인정보위는 CPO의 독립성과 신분 보장을 강화하기 위해 이사회 의결과 신고 의무 대상을 현행 전문 CPO 지정 의무 대상과 같게 정했다.

대상은 네 갈래다. 연 매출액이나 수입이 1800억원 이상이면서 5만명 이상의 민감정보·고유식별정보를 처리하거나 100만명 이상의 개인정보를 처리하는 곳이 포함된다. 재학생 수 2만명 이상인 대학, 상급종합병원, 공공시스템운영기관도 대상이다.

신고 절차도 정했다. 대상 개인정보처리자는 CPO 지정·변경·해제 의무가 발생한 날부터 1개월 안에 신고서를 개인정보위에 제출해야 한다. 부득이한 사유가 있으면 1개월 연장할 수 있다.

ISMS-P 인증 의무 대상 구체화

개정안은 ISMS-P 인증 의무 대상도 구체화했다. ISMS-P 인증은 정보보호 관리체계와 개인정보보호 관리체계를 함께 점검하는 인증이다. 기업이나 기관이 개인정보를 안전하게 관리하는 체계를 갖췄는지 확인하는 제도다.

대상은 공공시스템운영기관 중 개인정보위가 고시하는 기관, 이동통신사업자, 본인확인기관이다. 대형 정보통신서비스 제공자도 포함된다.

구체적으로는 전년도 전체 매출액이 1조원 이상이고, 정보통신서비스 부문 전년도 매출액이 100억원 이상이며, 전년도 말 기준 직전 3개월 동안 개인정보가 저장·관리되는 국내 정보주체 수가 하루 평균 3000만명 이상인 곳이 대상이다. 이들은 2028년12월31일까지 ISMS-P 인증을 받아야 한다.

유출 가능성만 알아도 72시간 안에 통지

개정안은 개인정보 유출 가능성 통지의 요건과 시기, 항목도 정했다. 지금까지는 개인정보가 실제로 분실·도난·유출된 뒤 통지·신고하는 구조가 중심이었다. 앞으로는 유출 가능성이 확인된 단계에서도 정보주체에게 알려야 한다.

개인정보처리자는 개인정보처리시스템에 불법 접근이 있었음을 알게 된 경우 정보주체에게 72시간 안에 통지해야 한다. 개인정보가 불법적으로 거래되거나 유통되고 있음을 알게 된 경우도 마찬가지다.

통지·신고 범위도 넓어진다. 개인정보 분실·도난·유출뿐 아니라 개인정보가 위조·변조·훼손된 경우에도 통지·신고 대상에 포함된다. 위조는 없는 정보를 사실처럼 만드는 행위다. 변조는 기존 정보를 바꾸는 행위다. 훼손은 정보를 사용할 수 없게 손상시키는 행위다.

경고도 과태료 가중 이력에 반영

개정안은 과태료 부과기준도 정비했다. 경미한 위반행위에 대해 과태료를 면제하고 경고를 한 경우, 같은 위반행위가 다시 발생하면 해당 경고를 과태료 가중 횟수에 반영한다.

예를 들어 같은 위반행위로 한 차례 경고를 받은 뒤 다시 위반하면, 향후 과태료 부과 때 2회차 기준을 적용할 수 있다. 위반 횟수별 과태료 부과금액도 법제처 지침에 맞춰 정비한다.

개인정보위는 이번 시행령 개정으로 개인정보 유출사고 예방과 대응을 강화하고, 정보주체 권리 보호를 두텁게 할 계획이다. 개정안에 대한 의견은 7월13일까지 제출할 수 있다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

곽중희

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40