CPO 독립성 강화·ISMS-P 의무화... 개인정보법 개정안 입법예고 작성일 06-02 35 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="2cI6b8e4EV"> <p contents-hash="12cf77fb2fb702adf0f2b31c40750f57eb5b4675b7be8773ac3a1c123ea560f0" dmcf-pid="VkCPK6d8D2" dmcf-ptype="general"><strong>주요 개인정보처리자, ‘CPO’ 지정 시 이사회 의결 및 1개월 내 신고 의무<br>매출 1조원 이상 대기업 및 공공시스템 등 2028년까지 ISMS-P 인증 필수<br>사후 수습 관행 깨고 유출 ‘가능성’ 인지 즉시 72시간 내 통지 의무화</strong></p> <p contents-hash="a239b30a654e0398c6a01ab21f5b67878ff240b014427464d0c802716a8d4f8e" dmcf-pid="fEhQ9PJ6m9" dmcf-ptype="general">[보안뉴스 조재호 기자] 개인정보보호위원회는 개인정보 유출 사고에 대한 예방과 대응을 강화하고 국민의 권리를 보다 두텁게 보호하기 위한 ‘개인정보 보호법 시행령’ 일부개정령안을 마련해 6월 2일부터 7월 13일까지 입법예고 한다고 밝혔다.</p> <figure class="figure_frm origin_fig" contents-hash="82aa1e2afb290bb8afa4caa08715ced9d8b703ca79e9b22b155313464573fa33" dmcf-pid="4QL0H3qFwK" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/02/552815-KkymUii/20260602103153045lqad.jpg" data-org-width="750" dmcf-mid="9Okb0B4qmf" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/02/552815-KkymUii/20260602103153045lqad.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [출처: 생성형 AI 활용 이미지] </figcaption> </figure> <div contents-hash="3ca34a9a68237956d11631ad58882adc4e2a01424c26ae5565a9b4fb00255953" dmcf-pid="8xopX0B3Db" dmcf-ptype="general"> <br>이번 시행령 개정은 지난 3월 공포돼 9월 11일 시행을 앞둔 ‘개인정보 보호법’의 후속 조치다. 당국은 이번 개정을 통해 개인정보보호책임자(CPO)의 독립성을 강화하고, 파급력이 큰 기관에 대한 개인정보 보호인증(ISMS-P) 의무화를 명문화했으며, 유출 가능성 단계부터 정보 주체에 대해 지체 없이 통지하도록 제재 실효성을 높였다. </div> <p contents-hash="25a8bf3ad180ec2dd9ee88328e614b8ad9f0c8433a1a8401b137eb5ec3e4f9f6" dmcf-pid="6MgUZpb0EB" dmcf-ptype="general">이번 시행령 개정은 데이터 경제 시대에 맞춰 개인정보 보호의 패러다임을 사후 수습에서 ‘사전 예방’과 ‘경영진의 책임 감시 체계’로 전환하는 분수령으로 읽힌다.</p> <p contents-hash="8bbb5cf57f126638461b84ba9abbe9d287c296d2e472f3fca9e402ebc82df134" dmcf-pid="PRau5UKpmq" dmcf-ptype="general"><strong>CPO 이사회 의결 및 당국 신고 의무 대상 구체화</strong><br>CPO의 독립성과 신분 보장을 강화하기 위해 이사회 의결 및 신고 의무 대상 기준이 마련됐다. 연 매출액이나 수입이 1800억원 이상이면서 5만명 이상의 민감 및 고유식별정보를 처리하거나 100만명 이상의 개인정보를 보유한 자, 재학생 수 2만명 이상인 대학, 상급종합병원, 공공시스템운영기관 등이 그 대상이다. 의무 발생일로부터 1개월 이내에 ‘개인정보위’에 신고서를 제출해야 하며 부득이한 사유 발생 시 1개월 연장이 가능하다.</p> <p contents-hash="2ddfcd52731b715bfd32cca95456b113a6c5b50714882b92370096730964f52b" dmcf-pid="QeN71u9Umz" dmcf-ptype="general"><strong>ISMS-P 인증 의무 대상 및 시한 확정</strong><br>대규모 데이터를 취급하는 핵심 기관 및 기업의 ‘ISMS-P’ 인증이 필수 요건으로 격상됐다. 공공시스템운영기관 중 보호위원회가 정해 고시하는 자, 이동통신사업자, 본인확인기관을 비롯해 전년도 매출액이 1조원 이상이고 정보통신서비스 부문 매출액 100억원 이상이며 일일 평균 3000만명 이상의 개인정보를 저장하고 관리하는 자는 오는 2028년 12월 31일까지 ‘ISMS-P’ 인증을 받아야 한다.</p> <p contents-hash="b1dd5e0b6010c246f01c77b35d615befd05cd0cdbdb2534cca89661718606b29" dmcf-pid="xdjzt72us7" dmcf-ptype="general"><strong>유출 가능성 선제 통지제 신설 및 과태료 가중 처분 정비</strong><br>유출 가능성 통지의 요건과 시기가 엄격해졌다. 개인정보처리시스템에 대한 불법적 접근을 알게 되었거나 개인정보가 불법으로 거래 및 유통되고 있음을 인지한 때에는 실제 유출이 확인되지 않았더라도 72시간 이내에 정보주체에게 통지해야 한다. 개인정보의 분실이나 도난, 유출뿐 아니라 위조·변조·훼손의 경우에도 통지 및 신고 대상에 포함된다. 또, 제재 실효성을 높이기 위해 경미한 위반으로 과태료가 면제되고 경고만 받았더라도, 향후 동일한 위반 행위 재발 시 이를 가중 횟수 1회로 산정하여 2회차 과태료 기준을 엄격하게 적용하도록 부과 기준을 정비했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 [테크데이, '판'이 바뀐다]<11>인텍플러스, 반도체 기판·패키징 검사 장비로 글로벌 공략 강화 06-02 다음 삼성 파운드리, 미세공정 우위·전력 비용 효율 '투트랙' 공략 나섰다 06-02 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
