앞으로 일정 규모 이상 기업은 개인정보 보호책임자(CPO)를 임명할 때 이사회 의결을 거쳐야 하고, 개인정보 유출 가능성만 감지돼도 72시간 안에 이용자에게 알려야 한다.
개인정보보호위원회는 2일 개인정보 유출 사고의 사전 예방과 대응을 강화하는 내용의 '개인정보 보호법 시행령' 일부개정령안을 입법예고한다고 밝혔다. 개정안은 오는 9월 11일 시행되는 개정 개인정보 보호법의 후속 조치로, 7월 13일까지 의견 수렴을 거친다.
개정안에 따르면 CPO의 독립성과 신분 보장을 강화하기 위해 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보위에 신고해야 하는 의무 대상 기준이 마련됐다. 연 매출 1800억원 이상이면서 100만명 이상의 개인정보를 처리하는 기업, 재학생 2만명 이상 대학, 상급종합병원 등이 해당한다.
또한 공공·민간 분야에서 파급력이 큰 주요 개인정보처리자에 대해 개인정보 보호 인증(ISMS-P) 의무가 부과된다. 이동통신사업자, 본인확인기관, 전년도 매출 1조원 이상이면서 일일 평균 3000만명 이상의 개인정보를 처리하는 기업 등이 대상이다. 이들은 2028년 12월 31일까지 인증을 받아야 한다.
개인정보 유출 가능성 통지제도 신설된다. 개인정보처리시스템에 대한 불법적인 접근을 알게 되거나 개인정보가 불법 유통되는 것을 인지한 경우, 72시간 이내에 정보 주체에게 통지해야 한다. 기존의 분실·도난·유출 외에 위조·변조·훼손의 경우에도 통지 및 신고 의무가 적용된다.
이 밖에도 경미한 위반행위에 대해 과태료를 면제하고 경고 처분을 한 경우, 이를 위반 횟수에 포함해 다음 위반 시 가중된 과태료를 부과하도록 기준이 정비됐다.