[보안뉴스]‘개인정보 보호체계 확립’ 국정과제 채택...조사 비협조 시 강제력 강화 등

내용 요약

이재명 정부가 국무회의에서 ‘개인정보 보호체계 확립’을 핵심 국정과제로 채택, 개인정보 유출 조사의 강제력·과징금 가중·즉시 공지·전담인력·예산 확보·CPO 법적 지위·보호 관리체계 인증 강화가 주요 내용이다.

핵심 포인트

• 유출 조사의 강제력 및 과징금 가중
• CPO(Chief Privacy Officer) 법적 지위 확립
• 개인정보 보호 관리체계(PMS) 인증 강화

기술 세부 내용

1️⃣ Privacy Management System (PMS) 인증

• 목적: 조직 전반의 개인정보 처리 프로세스를 외부 독립 기관이 검증해, Compliance와 Risk Management를 보장.
• 프로세스
  1. 자체 진단 – 개인정보 위험도(PI Risk Assessment)와 처리 현황(Processing Inventory) 파악.
  2. 외부 인증 신청 – ISO/IEC 27701, NIST SP 800‑53 같은 국제 표준에 기반한 인증기관에 제출.
  3. 현장 감사 – 인증기관이 내부 문서·프로세스·시스템을 검토, 샘플 데이터 추출.
  4. 인증서 발급 – 인증 기준 충족 시 ‘PMS 인증서’ 부여, 연간 재인증 필요.
• 효과
  • 거버넌스 강화: 책임자와 절차를 명확히 정리.
  • 신뢰성 확보: 외부 고객·파트너에게 데이터 보안 수준을 입증.

2️⃣ Chief Privacy Officer (CPO) 법적 지위 확립

• 역할
  • 개인정보 보호 정책 수립·실행 책임.
  • Data Protection Impact Assessment (DPIA) 수행 및 위험 대응.
  • Data Subject Rights 요청 처리 및 통지.
• 법적 근거
  • 개인정보보호법 개정에 따라 CPO를 ‘법정 직위’로 지정, 조직 내 독립적 권한 부여.
• 자격 요건
  • 최소 5년 이상의 개인정보보호/보안 경력, 관련 인증(ISO 27001 Lead Implementer 등) 보유.
  • 정기 교육 및 전문성 인증이 필수.
• 운영 지침
  • 전담 인력·예산: 최소 1인·연간 예산 30% 증액(예산 대비 인력 비율 1:10 이상).
  • 보고 체계: CPO는 직접 국무총리·민정부 장관에 보고, 데이터 유출 시 즉시 공지.

이 두 핵심 기술은 개인정보 유출을 예방하고, 법적·조직적 기반을 강화해 국가 차원의 데이터 보안 체계를 완성하는 데 핵심적이다.

 

출처: http://www.boannews.com/media/view.asp?idx=139392&kind=&sub_kind=