연합뉴스개인정보보호위원회는 개인정보 유출사고 예방과 대응을 강화하기 위한 개인정보 보호법 시행령 일부개정령안을 2일부터 다음달 13일까지 입법예고한다고 밝혔다.
우선 최고개인정보보호책임자(CPO)를 지정하거나 변경·해제하는 경우 이사회 의결을 거치고 개인정보위에 신고해야 하는 기준을 마련했다.
CPO의 독립성과 신분 보장을 강화하기 위해 이사회 의결, 신고 의무 대상을 현행법상 전문 CPO 지정 의무 대상과 동일하게 규정했다.
또 CPO 지정·변경·해제 시 신고 방법·절차를 구체화해 개인정보처리자는 의무가 발생한 날로부터 1개월 이내 신고서를 개인정보위에 제출하도록 했다.
'ISMS-P(정보보호 및 개인정보보호 관리체계 인증)' 의무 대상이 되는 범위도 구체화했다.
앞으로 △공공시스템운영기관 중 보호위원회가 고시하는 대상 △이동통신사업자 △본인확인기관 △매출액 1조 이상, 정보통신서비스 매출액 100억 이상이며 3개월 간 개인정보가 저장·관리 수가 일평균 3천만명 이상인 경우 2028년 12월 31일까지 ISMS-P 인증을 받도록 했다.
유출 가능성 통지의 요건·시기·항목도 구체화했다.
개인정보처리시스템에 대한 불법적 접근을 알게 됐거나 개인정보가 불법적으로 거래·유통되고 있음을 알게된 경우 72시간 이내 정보주체에 통지하도록 했다. 개인정보 분실·도난·유출 뿐만 아니라 위조·변조·훼손의 경우에도 통지·신고해야 한다
제재 실효성을 높이기 위해 과태료 부과기준 개선·정비했다.
경미한 위반행위에 대해서는 과태료를 면제하고, 향후 동일한 위반행위 재발 시 과태료 가중 횟수에 반영한다. 또 위반 횟수별 과태료 부과금액을 법제처 지침에 맞춰 정비했다.