개인정보보호위원회가 올 하반기부터 개인정보 침해 위험 수준에 따른 맞춤형 실태점검을 본격 시행한다. 개인정보 침해 위험 수준에 따라 개인정보 처리 분야를 고·중·저 위험군으로 나눠 관리에 나설 방침이다.
22일 개인정보위는 경제장관회의에서 '예방 중심 개인정보 관리체계 전환계획'을 이같이 발표했다. 지난 12일 국무회의에 보고한 계획의 후속조치로, 개인정보 침해·유출 위험을 사전에 식별하고 관리하는 예방 중심 보호체계 전환을 본격 추진하기 위해 마련됐다.
핵심은 개인정보 처리 분야를 위험 수준에 따라 고·중·저로 구분하고 차등 점검·관리하는 체계다. 고위험군에 대해서는 점검 분야를 사전에 공개하고 정기·수시 점검을 통해 내부통제 운영 실태를 집중 점검한다.
특히 국민 생활과 밀접하고 대규모 개인정보·민감정보를 처리하거나, 신기술기반 서비스 제공하는 등 집중점검이 필요한 분야 중심으로 평가를 실시한다. 올해 평가 대상에는 공공 앱, 대학교, 해외 명품 브랜드, 채용 플랫폼, 만남 중개 서비스, 프랜차이즈, 팬덤 플랫폼이 포함될 예정이다. 특히 팬덤 플랫폼은 아동·청소년의 민감정보를 많이 보관하는 기업이기 때문에 고위험으로 판단하고 살펴볼 예정이다. 고위험군이 아닌 분야는 개인정보 영향평가를 실시하고 개인정보 보호 중심 설계 원칙(PbD) 준수 등을 유도할 계획이다.
다만 이번 실태 점검은 과징금·과태료 부과를 전제로 한 조사와는 다르다. 점검 과정에서 개선이 필요한 사항 확인 시 시정 권고를 통해 조치를 유도하고 고위험 분야의 경우 이행 여부를 일정 기간 지속 관리할 계획이다. 고낙준 개인정보위 예방조정심의관은 "고위험 같은 경우는 공공시스템 중심으로 먼저 하려고 하고 있다"며 "공공 분야에 대해서는 오는 6월부터 바로 점검에 들어갈 것"이라고 말했다.
사물인터넷(IoT) 기기, 에이전트 AI 등 신기술 분야에 대해서도 침해 우려사항을 선제적으로 점검한다. 그간 처리 규모나 업종에 관계 없이 일률적으로 적용되던 안전성 확보조치 기준은 위험 분석을 기반으로 처리자 스스로 안전조치 적용 여부와 적용 수준을 달리 할 수 있도록 중장기 개정방안을 마련할 계획이다.
아울러 개인정보 보호를 서비스 기획·설계·개발 단계부터 기본값으로 반영하는 개인정보 보호 중심 설계 원칙(PbD)을 제도화한다. 그간 개인정보위는 아이피(IP) 카메라, 로봇청소기 등 일부 제품을 대상으로 PbD 인증제를 운영해왔으나, 적용 범위가 특정 제품군에 제한된 한계가 있었다. 이를 위해 '개인정보 보호법' 개정과 함께 ISMS-P 인증 등 기존 평가·인증 기준에도 PbD 원칙을 반영할 계획이다.
또 기업이 보호법에서 정한 최소기준을 충족하는 수준에 그치지 않고 실질적인 보호투자를 확대하도록 정보보호 공시 등을 통해 적극적인 개인정보 보호활동 공개 방안을 마련한다. 기존 정보보호 공시 항목 중 보호활동 내용에 추가 보호조치 내역, CPO 내부통제 프로세스 등을 공개하도록 유도하고, 이를 통해 추가적인 보호조치의 실효적 적용·운영 사실이 확인될 경우 과징금 감경 등 인센티브를 부여할 계획이다. 또한 중소·영세 사업자의 경미한 법 위반은 기술지원 등을 통해 시정 시 처분을 경감하도록해 기업의 실질적인 보호 투자를 유도할 방침이다.
송경희 개인정보위 위원장은 "관계부처와 협력해 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하고, 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다"고 밝혔다.