안녕하십니까? 개인정보보호위원회 예방조정심의관 고낙준입니다.
오늘 브리핑은 지난주 국무회의에 보고된 예방중심 개인정보 관리체계 전환계획에 대한 구체적인 후속 계획을 오늘 오전에 개최된 경제부총리 주재 경제관계장관회의에서 상정하여 논의한 결과를 설명드리도록 하겠습니다.
그 후속 계획으로 크게 세 가지가 논의되어 있는데 세 가지에 대해서 설명드리겠습니다.
첫 번째로, 위험도 기반의 예방 관리체계의 운영입니다.
올해 6월부터 개인정보 처리 규모, 민감도, 산업별 특성을 고려하여 개인정보 처리 분야를 고·중·저 위험군으로 구분하고 차등적 점검과 관리를 실시할 계획입니다.
대규모 개인정보를 보유하거나 고유식별정보·민감정보를 처리하는 고위험군에 대해서는 점검 분야를 사전에 공개한 뒤 정기·수시점검을 실시하고, 개인정보보호책임자를 중심으로 한 내부 운영 실태를 중점적으로 살펴볼 계획입니다.
특히 올해는 대형 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 개인정보 또는 민감정보를 처리하는 분야를 중심으로 실태점검을 추진할 계획입니다.
처리 규모, 유형 등 상대적으로 위험 수준이 낮으나 체계적 점검 관리가 필요한 중위험 분야는 개인정보위와 합동점검을 하되, 개인정보영향평가 실시, PbD 원칙 준수 등을 유도할 계획입니다.
이를 위해 주요 관계부처가 참여하는 범정부 정책협의체를 운영해 부처별 소관 분야의 개인정보 관리 실태와 위험 해소 방안을 공유하고 협력할 계획입니다.
아울러, 개인정보 처리 현황과 위험 요인을 분석해 기초위험지도를 마련하고 CPO협의회 등 협·단체 등과 협력을 강화하여 최신 위험정보를 조기에 전파하는 개인정보 위협 조기경보체계를 구축·운영할 계획입니다.
IoT 기기, 에이전틱 AI 등 신기술 분야에 대해서도 침해 우려를 선제적으로 점검해 개인정보 보호 사각지대가 발생하지 않도록 관리해 나가겠습니다.
그간 처리 규모나 업종에 관계없이 일률적으로 적용되던 안전 서포트 조치 기준은 위험 분석을 기반으로 적용 수준을 달리할 수 있도록 개선해 나가겠습니다.
두 번째입니다. 자발적 보호 투자의 조기 확대 유도입니다.
개인정보 보호를 서비스 기획, 설계 단계부터 기본값으로 반영하는 개인정보 보호 중심설계 원칙을 제도화하여 서비스 초기부터 개인정보 보호가 이루어질 수 있도록 하겠습니다.
이를 위해 참고할 수 있는 안내서와 우수 사례를 마련·보급하고 ISMS-P 인증 등 기존 평가 인증 기준에도 이 원칙을 반영하도록 유도하겠습니다.
아울러, 추가적인 보호 조치의 실효적 적용, 운영 사실이 확인될 경우에는 과징금 감면 등 인센티브를 부여할 계획입니다.
또한, 중소·영세사업자의 경미한 법 위반은 기술 지원 등을 통해 시정을 하는 경우 처분을 경감하도록 하여 기업의 실질적인 보호 투자를 유도할 방침입니다.
마지막으로, 개인정보 보호 생태계 활성화 및 신뢰문화 조성입니다.
대량의 개인정보가 집중되는 SaaS 등 클라우드, 전문수탁자 등 공급망 전반에 대한 관리를 강화하고, 개인정보 유출, 오남용 방지를 위한 예방형 개인정보 보호 강화 기술의 연구 개발과 인력 양성도 추진하겠습니다.
정보 주체의 생애주기에 맞추어 아동·청소년, 취약계층 대상 교육을 강화하고, 다크 패턴 등 정보 주체의 신뢰를 저해하는 관행도 개선하겠습니다.
이런 과제들을 통해 개인정보 보호가 기본이 되는 안심사회가 구성되도록 최선을 다하겠습니다.
감사합니다. [질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 안녕하십니까? 제가 붙임자료를 보니까 제재를 전제로 한 조사와 달리 과징금·과태료 부과 단계가 없다고 이렇게 내용이 있던데, 만약에 사전 실태점검 과정에서 이런 중대한 법 위반 사항이 발견될 수도 있지 않습니까? 그게 발견되면 어떻게 조사로 전환될 수 있는지가 궁금한 게 첫 번째 질문이고요.
두 번째 질문은 플랫폼, 금융·공공기관, 에듀테크 이런 곳을 꼽아 주셨는데 아무래도 사고가 있었던 곳이다 보니까 선정하시는 데 좀 고려하신 것 같아요. 그런데 플랫폼이 종류가 굉장히 많은데, 쇼핑도 있고 배달도 있고 SNS나 메신저도 있는데 혹시 어떤 특정 플랫폼을 고려하고 계신 게 있는지 궁금했습니다.
<답변> 첫 번째 먼저 말씀드리도록 하겠습니다. 저희가 사전 실태점검은 기본적으로 어떤 처리자의 협력적인, 협력을 통해서 이루어지는 절차입니다. 그러다 보니까 어떤 문제가 발생하기 전에 사전에 점검하는 부분이기 때문에 원칙적으로 거기서 나온 문제점에 대해서는 저희가 권고를 통해서 개선을 유도하고 개선이 끝나면 더 이상의 행정 절차나 이런 것들이 없습니다. 만약 개선이 이루어지지 않는다면 그다음에는 시정명령이나 어떤 조사 절차가 들어가게 돼 있고요. 그래서 기본적으로 이루어... 조사, 저희가 점검에 대해서 이행을 하게 된다면 큰 문제는 없게 됩니다.
다만, 저희가 점검 목적과 달리 점검 중에 아까 말씀드린 점검 목적과 다른 부분에서의 유출이라든지 아니면 은폐 행위라든지 이런 게 발견된 거는 점검 목적과 다르기 때문에 그 부분에 대해서는 필요한 경우 조사 전환할 수 있지만 현재로서는 그런 것이 발견된 상황이 아직 없기 때문에 그건 예단하기 어렵습니다.
그리고 두 번째, 여러 가지 플랫폼이나 이런 부분들을 말씀 주셨는데 플랫폼 종류가 상당히 많습니다. 아직 저희가 기초위험지도 분석을 통한 여러 가지 고위험·중위험·저위험을 나누는 부분도 저희가 아직 추진하고 있습니다. 그래서 구체적으로 실태점검에 뭐가 들어갈 거에 대해서는 아마 저희가 방향을 정한 다음에 케이스별로 아마 보도자료를 배포해서 저희가 그걸 알려드릴 계획입니다. 그래서 그때 아마 참고하시면 될 것 같습니다.
<질문> 그런데 올해 실태점검 한다고 하셨는데 아직 고·중·저도 구분하지 못하는 상황에서 실태점검을 다 완료할 수 있는 건지 궁금합니다.
<답변> 현재 저희가 고위험 같은 경우는 공공시스템 중심으로 먼저 하려고 하고 있습니다. 특히 민간 같은 경우는 워낙 사업자 분포가 많고 거의 처리자가 1,000만 가까이 됩니다, 전체적으로. 그러다 보니까 저희가 민간 같은 경우 좀 더 분류가 필요하겠지만 공공 같은 경우 저희가 현황이 다 파악이 되기 때문에, 특히 공공 분야에 387개 저희가 집중 관리하는 시스템도 있습니다. 이 부분에 대해서는 6월부터 바로 점검에 들어가고 공공 분야에 대해서는 충분히 할 여력이 된다고 생각합니다.
<질문> 질문 하나 더 여쭙겠습니다. 사전 점검 중에 좀 관심 있던 게, 보였던 게 채용 플랫폼이나 만남 중개 서비스, 팬덤 플랫폼도 집중, 생활 밀착형 서비스 관련해서 조사... 점검하시겠다고 이렇게 말씀 주셨는데 여기 팬덤 플랫폼이 아마 제가 봤을 때는 위버스나 버블 이런 곳인 것 같더라고요. 그런데 특별히 여기에 점검하신 계기가 있으신지 궁금했습니다.
<답변> 개별 건에 대해서는 저희가 확정 전에 검토 중에 있는 내용들입니다, 개별 건에 대해서는. 다만, 팬덤 같은 경우는 주로 청소년들이 많이 이용하고 있기 때문에 저희가 에듀테크 하는 부분도 아동·청소년 정보는 더 저희가 집중 관리해야 되기 때문에 그런 부분들을 고려하고 있는 상황입니다.
그래서 아까 말씀대로 고유식별정보라든지 민감정보 그리고 아동·청소년들의 정보들을 많이 보관하고 있는 기관·기업들에 대해서 저희가 많이 살펴볼, 중점적으로 우선 고위험으로 판단하고 있고 그런 부분들에 대해서 아마 살펴보기 위한 그런 내용으로 알고 있습니다.
<질문> 개인정보 예방을 위한 전문 인력 강화 내용이 있는데 이 부분은 어떤 곳과 협력해서 전문 인력을 강화하고 어디에 투입될 인력들인지도 궁금합니다.
<답변> 저희가 작년 2월에 한번 개인정보처리시스템을 담당하고 있는 공공기관들을 대상으로 중앙부처, 지자체... 아, 지방정부 그리고 공공기관들을 대상으로 한번 조사를, 인력이나 전담 인력을 한번 조사한 바가 있습니다. 거기서 기관들은 인력 부족이나 재원 확충에 대해서 어려움을 많이 호소하고 있습니다.
그래서 정부 공공 사이트에서 저희가 이 부분에 대해서 인력이나 예산을 확충하는 것들을 행안부하고 기획예산처하고 협의 중에 있습니다. 지난번 국무회의 때도 대통령께서 그 부분에 대해서 말씀 있으셨고, 아마 관련 부처와 저희 협력을 해서 필요한 인력과 재원이 확충될 수 있도록 지금 협의 중에 있습니다.
<질문> 자발적 보호 투자 조기 확대 유도 항목에 보면 정보보호 공시를 통해서 실효적인 보호조치를 했을 경우에 과징금 감경과 같은 인센티브를 부여하겠다고 해주셨는데, 그러면 이 보호 조치를 어떻게 평가할 것인지, 그리고 이에 따른 과징금 감경 같은 인센티브는 얼마나 줄 것인지가 혹시 언제쯤 확정이 될까요?
<답변> 지금 아마, 제 담당은 아니지만 조사국에서 지금 마련하고 있고요. 여러 가지 내용들을 지금 검토하고 있습니다. 그래서 동종업계 대비 우선 보안 투자라든지, 안전관리체계를 실효적으로 운영한다든지 여러 가지 지표를 가지고 있고요. 구체적인 내용들은 아마 보고를 거쳐서 아마 조만간 입법예고를 할 예정입니다. 그래서 입법예고를 참고하시면 될 것 같습니다.
<답변> (사회자) 그러면 이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해 주신 기자님들 감사드립니다.
<답변> 감사합니다. <끝>