기업 CEO엔 개인정보 관리·감독 의무 부여
개인정보보호위원회 중대한 개인정보 유출 사고가 발생한 기업에 대한 과징금 상한이 전체 매출액의 최대 10%로 상향된다.
개인정보보호위원회가 대규모 개인정보 유출 사고에 대한 기업 책임을 강화하기 위해 개정된 개인정보 보호법이 10일 공포된다고 9일 밝혔다. 개정 법률은 오는 9월 11일부터 시행된다.
우선 중대한 개인정보 유출 사고에 대한 처벌을 강화하기 위해 징벌적 과징금이 도입된다. 전체 매출액의 최대 3%를 과징금으로 부과하는 기존 제도로는 억지력 확보에 한계가 있다는 점을 고려해 반복적이거나 중대한 위반 행위에 대해 전체 매출액의 최대 10% 수준 과징금을 부과한다.
최근 3년간 고의 또는 중대한 과실로 위반행위를 반복하거나 과실로 1000만명 이상 피해를 초래한 경우,시정명령 불이행으로 개인정보 유출 사고가 발생한 경우 등이 징벌적 과징금 대상이 된다.
개인정보위는 인센티브 제도도 함께 도입함으로써 기업이 개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 경우 과징금을 필수 감경하도록 했다.
최고경영자(CEO)의 유출 사고 책임도 강화된다. 우선 CEO에 개인정보 처리·보호 최종책임자로서 관리와 감독 의무를 명확히 부여했으며,일정 규모 이상 기업은 개인정보보호책임자(CPO)를 임명하거나 해임할 때 반드시 이사회 의결을 거치고 개인정보위에 신고하도록 의무화했다.
또한 공공·민간 분야의 파급력이 큰 주요 기업과 기관에는 ISMS-P 인증을 의무화해 전반적인 보호 관리체계 수준을 높인다는 계획이다.
피해 확산을 막기 위한 유출 통지 의무도 대폭 강화한다. 앞으로 기업은 유출 사실이 확정된 때뿐만 아니라 ‘유출 가능성’을 알게 된 시점부터 지체 없이 정보 주체에게 알려야 한다.
또한 랜섬웨어 공격 등으로 데이터가 위조·변조·훼손된 경우도 유출 사고 범위에 포함해 신고 대상이 되도록 규정했다.
개정 법률은 오는 9월 11일부터 시행되며,ISMS-P 인증 의무화 규정은 관련 예산 확보 기간이 필요하다는 점을 감안해 내년 7월 1일부터 시행된다.
개인정보위 관계자는 “개정 법률이 차질 없이 시행될 수 있도록 위임규정 마련 등 후속 시행령 개정을 신속히 추진하는 한편,제도 개선 사항이 현장에서 안정적으로 운영될 수 있도록 산업계·공공기관 등과 소통을 강화해 나가겠다”고 밝혔다.