개인정보위, 시행령 개정안 입법 예고…CPO 변경 시 이사회 의결 및 신고 의무화
연 매출 1800억원 이상·100만 명 정보 처리 대기업 적용…인사·예산 독립성 보장
유출 확인 전 '가능성 단계'부터 72시간 내 통지 의무…위·변조와 훼손도 신고해야
![[서울=뉴시스] 개인정보보호위원회 CI. (사진=개인정보보호위원회 제공) 2026.04.30. photo@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2026/04/30/NISI20260430_0002125693_web.jpg?rnd=20260430212847)
[서울=뉴시스] 개인정보보호위원회 CI. (사진=개인정보보호위원회 제공) 2026.04.30. [email protected] *재판매 및 DB 금지
[서울=뉴시스]윤정민 기자 = 앞으로 대기업이나 기관이 개인정보보호책임자(CPO)를 임명하거나 바꿀 때 이사회 의결을 거쳐야 한다. CPO를 단순한 실무자로 두지 않고, 개인정보 보호 의사결정의 핵심 책임자로 올려 독립성을 강화하겠다는 취지다.
개인정보보호위원회는 이 같은 내용을 담은 '개인정보 보호법' 시행령 일부개정령안을 다음 달 13일까지 입법예고한다고 2일 밝혔다.
이번 개정은 오는 9월 11일 시행되는 개정 개인정보 보호법의 후속 조치다. 개정법은 CPO 권한 강화, 정보보호 관리체계(ISMS-P) 의무화, 개인정보 유출 가능성 통지제 도입 등을 핵심으로 한다.
그동안 CPO는 기업 내 개인정보 보호를 총괄하면서도 인사나 예산 권한이 없어 제 역할을 하기 어렵다는 지적이 많았다. 이에 정부는 일정 규모 이상 기업의 CPO 인사를 이사회 의결과 개인정보위 신고 대상으로 못 박아 신분 보장을 강화하기로 했다.
매출 1800억 대기업 타깃… 한 달 내 신고해야
구체적인 대상은 연 매출액 또는 수입이 1800억원 이상이면서 5만명 이상의 민감정보를 처리하는 곳이다. 또는 100만명 이상의 일반 개인정보를 처리하는 기업도 포함된다. 재학생 2만 명 이상 대학과 상급종합병원, 공공시스템 운영기관도 대상이다.
조건에 해당하느냐에 따라 기업들은 CPO를 임명하거나 해임한 날부터 1개월 이내에 개인정보위에 신고서를 내야 한다. 부득이한 사정이 있다면 신고 기한을 1개월 더 연장할 수 있다.
![[서울=뉴시스] '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증 (사진=한국인터넷진흥원 제공) *재판매 및 DB 금지](https://img1.newsis.com/2026/03/12/NISI20260312_0002081800_web.jpg?rnd=20260312091339)
[서울=뉴시스] '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증 (사진=한국인터넷진흥원 제공) *재판매 및 DB 금지
네이버·카카오 등 대형 플랫폼, ISMS-P 인증 의무화
민간 정보통신서비스 사업자의 경우 전년도 매출액이 1조원 이상이고 정보통신서비스 부문 전년도 매출액이 100억원 이상이면서 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되는 국내 정보주체 수가 일평균 3000만명 이상인 자가 포함된다. 해당 사업자는 2028년 12월31일까지 ISMS-P 인증을 받아야 한다.
개인정보 유출 가능성 통지 요건도 마련됐다. 개인정보처리자가 개인정보처리시스템에 대한 불법적 접근을 알게 됐거나 개인정보가 불법적으로 거래·유통되고 있음을 알게 된 경우 72시간 안에 정보주체에게 알려야 한다.
개인정보 분실·도난·유출뿐만 아니라 위조·변조·훼손이 발생한 경우에도 통지·신고 의무가 부과된다. 실제 유출이 확인된 이후가 아니라 유출 가능성이 있는 단계부터 정보주체가 신속히 대응할 수 있도록 하겠다는 취지다.
과태료 부과 기준도 정비된다. 경미한 위반행위에 대해 과태료를 면제하고 경고한 경우에도 향후 같은 위반행위가 다시 발생하면 과태료 가중 횟수에 반영한다. 예컨대 경고를 1회 위반 이력으로 산정해 같은 위반행위가 재발하면 2회차 기준을 적용하는 방식이다.
◎공감언론 뉴시스 [email protected]
