“개인정보 유출 정황만 있어도 ‘72시간 내’ 고객에 통지 해야”

보호법 시행령 개정안 입법예고
‘개인정보 보호 인증’ 의무화 대상에
통신사·공공기관·본인확인기관 등
CPO 지정·해제 시 이사회 의결 필요

송경희 개인정보보호위원장이 지난달 27일 서울 종로구 정부서울청사에서 개최된 2026년 제10회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. <사진=개인정보보호위원회>

앞으로 대형 기업과 기관은 개인정보 보호책임자(CPO)를 임명하거나 해임할 때 이사회 의결을 거쳐야 하며, 해킹 등 개인정보 유출 가능성이 확인되면 반드시 72시간 이내에 이 같은 정황을 이용자에게 알려야 한다. 또 이동통신사와 본인확인기관 등 개인정보 유출 사고의 파급력이 큰 기업·기관들은 개인정보보호 관리체계(ISMS-P) 인증을 무조건 받아야 한다.

개인정보보호위원회는 이러한 내용을 담은 ‘개인정보 보호법 시행령’ 일부개정령안을 마련해 다음달 13일까지 입법예고한다고 2일 밝혔다.

오는 9월 11일부터 시행되는 개정 개인정보 보호법은 CPO의 권한과 독립성을 강화하기 위해 일정 규모 이상 개인정보처리자에 대해선 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보위에 신고하도록 했으며, 공공·민간 분야에서 파급력이 큰 주요 개인정보처리자에 대해 개인정보 보호 인증(ISMS-P 인증)을 의무화했다. 또 개인정보 유출 가능성 단계부터 정보주체에게 이를 지체없이 통지해 신속히 대응하도록 했다.

우선 CPO를 지정하거나 그 지정을 변경·해제하는 경우 이사회 의결을 거치고 개인정보위에 신고해야 하는 의무 대상이 되는 기준을 마련했다. CPO의 독립성과 신분 보장을 강화하기 위해 이사회 의결, 신고 의무 대상을 현행법상 전문 CPO 지정 의무 대상과 동일하게 규정했다. 여기엔 연 매출액·수입이 1800억원 이상이면서, 5만명 이상의 민감·고유식별정보 또는 100만명 이상 개인정보처리자, 재학생 수 2만명 이상인 대학, 상급종합병원, 공공시스템 운영기관이 포함됐다.

또한 CPO 지정·변경·해제 시 신고 방법·절차를 구체화해 신고 의무 대상인 개인정보처리자는 의무가 발생한 날로부터 1개월 이내(부득이한 사유 시 1개월 연장 가능) 신고서를 개인정보위에 제출하도록 했다.

ISMS-P 인증 의무 대상이 되는 범위도 구체화했다.

크게 △공공시스템운영기관 중 보호위원회가 정해 고시하는 자 △이동통신사업자 △본인확인기관 △전년도 매출액이 1조원 이상이고 정보통신서비스 부문 전년도 매출액이 100억원 이상이며, 전년도 말 기준 직전 3개월 간 개인정보가 저장·관리되는 국내 정보주체 수가 일일평균 3000만명 이상인 자는 2028년 12월 31일까지 ISMS-P 인증을 받도록 했다.

개인정보 유출 통지·신고에 관한 규정도 강화했다. 개인정보처리시스템에 대한 불법적 접근을 알게됐거나 개인정보가 불법적으로 거래·유통되고 있음을 알게된 때에는 이를 72시간 이내 정보주체에 통지하도록 했다. 또한 개인정보 분실·도난·유출 뿐만 아니라 위조·변조·훼손의 경우에도 통지·신고하도록 했다.

제재의 실효성을 높이기 위해 과태료 부과기준도 개선·정비했다. 경미한 위반행위에 대해선 과태료를 면제하고, 경고를 한 경우 향후 동일한 위반행위 재발할 경우에는 과태료 가중 횟수에 반영되도록 했다. 아울러 위반 횟수별 과태료 부과금액을 법제처 지침에 맞춰 정비했다.