정부가 개인정보 유출 사고에 대해 사후 처벌에서 벗어나 위험도에 따라 기업을 분류하고 사전 예방·관리하는 체계로 전면 전환한다.
22일 관계부처가 합동으로 발표한 '예방 중심 개인정보 관리체계 전환 계획'에 따르면, 정부는 플랫폼·금융·공공 분야 등을 고위험군으로 지정해 정기적으로 집중 점검에 나선다. AI·플랫폼 경제 확산으로 데이터 처리 환경이 복잡해지면서 기존의 사후 대응만으로는 한계가 있다는 판단에서다.
정부는 앞으로 개인정보 처리 규모와 유형, 민감도 등을 기준으로 기업을 고·중·저 위험군으로 분류해 차등 관리한다. 100만명 이상의 개인정보나 고유식별정보·민감정보를 처리하는 기업이 고위험군에 해당한다.
올해 첫 고위험군 점검 대상에는 플랫폼, 은행·보험·카드 등 금융사, 공공기관, 요양병원 등이 포함됐다. 개인정보보호위원회는 이들 분야를 대상으로 개인정보보호 최고책임자(CPO) 중심의 내부통제 실태를 중점 점검하고, 미흡 사항에 대해서는 시정 권고 후 이행 여부를 2년간 추적 관리할 방침이다.
중위험군은 각 주무 부처가 자체 점검을 실시하고, 저위험군은 자율 점검을 원칙으로 한다. 정부는 이를 통해 산업 전반의 개인정보 보호 수준을 상향 평준화하겠다는 목표다.
자발적인 보호 투자를 유도하기 위한 '당근'도 제시됐다. 기업이 보호 관련 인력·예산 투자 노력을 입증하면 과징금을 감경받을 수 있도록 제도를 정비한다. 중소·영세사업자의 경미한 법 위반은 기술 지원을 통한 시정 시 처분을 경감해 실질적인 보호 투자를 유도하기로 했다.
이와 함께 서비스 기획·설계 단계부터 개인정보 보호를 고려하는 '개인정보 보호 중심 설계(PbD)' 원칙을 법제화하고, 최고경영자(CEO)와 CPO의 책임경영을 강화해 관련 활동을 ESG 평가 지표에 반영하도록 유도할 계획이다.
정부는 이번 관리체계 전환이 최근 5년간 개인정보 유출 신고 건수가 2배 이상, 유출 규모는 8.6배 급증하는 등 사고가 빈번해지는 상황에 대응하기 위한 조치라고 설명했다. 실제로 유출 사고는 정보·통신 분야뿐만 아니라 유통·물류, 제조, 보건·복지 등 산업 전반으로 확산하는 추세다.