개인정보 유출, CEO 책임 강화와 최대 매출 10% 과징금 도입

개인정보 유출에 대한 강력한 제재와 책임 강화

정부는 반복적이거나 중대한 개인정보 유출 사고에 대해 기업의 전체 매출액 최대 10%까지 징벌적 과징금을 부과하는 방안을 도입했습니다. 이와 함께 대표자(CEO)와 개인정보 보호책임자(CPO)의 책임을 대폭 강화하는 내용을 담은 '개인정보 보호법' 개정안을 2026년 6월 10일 공포했습니다. 개정 법은 9월 11일부터 시행될 예정입니다.

징벌적 과징금과 사전 예방 투자 인센티브

기존에는 개인정보 침해에 대해 전체 매출액의 3% 이하 과징금만 부과할 수 있었으나, 이번 개정으로 최근 3년간 고의 또는 중대한 과실로 위반행위를 반복하거나, 1000만 명 이상의 대규모 피해를 초래한 경우, 시정명령 불이행으로 인한 사고 발생 시 최대 10%까지 과징금을 부과할 수 있게 되었습니다. 또한 개인정보 보호를 위한 예산, 인력, 설비, 장치 등에 투자한 경우에는 과징금을 감경하는 인센티브도 도입해 사전 예방적 투자를 촉진합니다.

유출 가능성 통지 의무화

기존 법은 개인정보 유출 사실을 알았을 때만 정보주체에게 통지하도록 했으나, 앞으로는 유출 가능성을 인지한 즉시 지체 없이 통지해야 합니다. 이로써 정보주체가 신속하게 대응할 수 있도록 하며, 개인정보 위조·변조·훼손도 통지 대상에 포함됩니다. 또한 유출 통지 시 손해배상 청구 및 분쟁조정 신청 등 피해구제 방법도 함께 안내하도록 했습니다.

CEO와 CPO 책임 강화

개인정보 보호를 위한 기업 차원의 인식과 관리체계 강화를 위해 CEO에게 개인정보 처리 및 보호의 최종 책임과 관리·감독 의무를 명확히 부여했습니다. 일정 규모 이상의 개인정보처리자는 CPO 지정·변경·해제 시 이사회 의결을 거쳐 개인정보보호위원회에 신고해야 하며, CPO는 전문 인력 관리와 예산 확보 업무를 수행하고 대표자 및 이사회에 개인정보 보호 관련 사항을 보고해야 합니다.

ISMS-P 인증 의무화

주요 기업과 기관에 대해 자율적으로 운영되던 개인정보보호 관리체계 인증인 ISMS-P 인증을 의무화했습니다. 이 제도는 정보자산 유출 및 피해 예방을 위해 기업과 기관이 스스로 정보보호 및 개인정보보호 관리체계를 구축·운영하는지를 인증하는 제도입니다. ISMS-P 인증 의무화는 2027년 7월 1일부터 시행될 예정입니다.

향후 계획

개인정보보호위원회는 개정 법률의 차질 없는 시행을 위해 후속 시행령 개정을 신속히 추진하고, 산업계와 공공기관과의 소통을 강화해 제도 개선 사항이 현장에서 안정적으로 운영될 수 있도록 할 계획입니다.