개인정보보호위원회(이하 개인정보위)는 경제장관회의에서 '예방 중심 개인정보 관리체계 전환계획'을 발표했다고 22일 밝혔다.
이번 계획은 지난 12일 국무회의에 보고한 계획의 후속조치다. 개인정보 침해·유출 위험을 사전에 식별하고 관리하는 예방 중심 보호체계 전환을 본격 추진하기 위해 마련됐다.
우선 개인정보 처리 규모, 민감도, 산업별 특성을 고려해 개인정보 처리 분야를 고·중·저 위험군으로 구분하고, 차등적 점검과 관리를 실시한다. 고위험군에 대해서는 점검 분야를 사전에 공개한 뒤 정기·수시 점검을 통해 내부통제 운영 실태를 중점적으로 살펴 사고 위험을 최소화할 방침이다. 올해는 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 개인정보 또는 민감정보를 처리하는 분야를 중심으로 실태점검을 추진한다.
고위험군이 아닌 분야는 개인정보 영향평가 실시, 개인정보 보호 중심 설계 원칙(PbD) 준수 등을 유도할 계획이다. 또한 주요 관계부처가 참여하는 범정부 정책협의체를 운영해 부처별 소관 분야의 개인정보 관리 실태와 위험 해소방안을 공유하고 협력할 계획이다.
아울러 개인정보 처리 현황과 위험요인을 분석해 기초 위험지도를 마련하고, 점검 대상 선정에 활용할 계획이다. 민관 개인정보 위협 조기경보 연락체계도 운영한다. 오는 9월부터 개인정보보호책임자(CPO) 지정 신고제가 도입된다.
개인정보 보호를 서비스 기획·설계·개발 단계부터 기본값으로 반영하는 개인정보 보호 중심 설계 원칙(PbD)을 제도화한다. PbD 원칙 확산을 위해 '개인정보 보호법'(이하 보호법) 개정과 함께 기획·설계시 참고할 수 있는 안내서와 우수사례를 마련, 보급하고, ISMS-P 인증 등 기존 평가·인증 기준에도 PbD 원칙을 반영할 계획이다.
또 기업이 보호법에서 정한 최소기준을 충족하는 수준에 그치지 않고 실질적인 보호투자를 확대하도록 정보보호 공시 등을 통해 적극적인 개인정보 보호활동 공개 방안을 마련한다. 추가적인 보호조치의 실효적 적용·운영 사실이 확인될 경우 과징금 감경 등 인센티브를 부여할 계획이다.
대량의 개인정보가 집중되는 서비스형 소프트웨어(SaaS), 클라우드, 전문수탁자 등 공급망 전반에 대한 관리도 강화한다.
송경희 개인정보위 위원장은 “관계부처와 협력하여 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하고, 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다”고 말했다.
강성전 기자 castlekang@etnews.com
