정부가 올 하반기부터 개인정보 침해 위험 수준에 따라 개인정보 처리 분야를 고·중·저 위험군으로 나눠 관리에 나선다. 플랫폼·금융기관·공공기관 등 고위험 분야를 중심으로 사전 점검을 강화하고, 개인정보 보호를 서비스 기획 단계부터 반영하는 예방 중심 관리체계 전환을 본격화한다.
개인정보보호위원회는 22일 경제장관회의에서 이 같은 내용의 '예방 중심 개인정보 관리체계 전환 계획'을 발표했다. 지난 12일 국무회의에 보고한 계획의 후속 조치로, 개인정보 침해·유출 위험을 사전에 식별하고 관리하는 예방 중심 보호체계 전환을 추진하기 위해 마련됐다.
개인정보위는 개인정보 처리 규모와 민감도, 산업별 특성을 고려해 개인정보 처리 분야를 고·중·저 위험군으로 구분하고 차등 점검 및 관리를 실시한다. 고위험군은 점검 분야를 사전에 공개한 뒤 정기·수시 점검을 통해 내부통제 운영 실태를 점검할 방침이다. 올해는 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 개인정보 또는 민감정보를 처리하는 분야를 중심으로 실태점검을 추진한다.
고위험군이 아닌 분야는 개인정보 영향평가 실시, 개인정보 보호 중심 설계 원칙(PbD) 준수 등을 유도한다. 다만 필요할 경우 부처와 개인정보위가 합동 점검에 나설 예정이다.
또 9월에는 개인정보보호책임자(CPO) 지정 신고제가 도입되는 만큼, 협회·단체와 협력해 최신 위협 정보를 공유하는 민관 조기경보 체계와 핫라인도 운영한다. 사물인터넷(IoT) 기기와 에이전트 AI 등 신기술 분야에 대한 선제 점검도 강화할 계획이다.
개인정보위는 개인정보 보호를 서비스 기획·설계·개발 단계부터 기본값으로 반영하는 PbD 원칙도 제도화한다. 아이피(IP) 카메라, 로봇청소기 등 일부 제품을 대상으로 PbD 인증제를 운영해왔으나, 적용 범위가 특정 제품군에 제한된 한계가 있었다.
PbD 원칙 확산을 위해 기획·설계 단계에서 참고할 수 있는 안내서와 우수 사례를 마련해 보급할 예정이다. 또 ISMS-P 인증 등 기존 평가·인증 기준에도 PbD 원칙을 반영한다. 아울러 ISMS-P 인증 등 기존 평가·인증 기준에도 PbD 원칙을 반영할 계획이다.
이와 함께 서비스형 소프트웨어(SaaS), 클라우드, 전문 수탁자 등 공급망 전반에 대한 관리도 강화한다. 개인정보 유출·오남용을 막기 위한 예방형 개인정보 보호 강화기술(PET) 연구개발과 전문인력 양성도 추진할 계획이다.
송경희 개인정보위 위원장은 "관계부처와 협력하여 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하고, 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다"라고 밝혔다.