유출 규모 1000만명 넘으면 정보보호인증 취소한다

앞으로 개인정보 유출로 과징금 처분을 받은 기업 중 유출 규모가 1000만 명을 넘는 기업에 대해서는 원칙적으로 정보보호 인증을 취소한다. 평소 연례 점검에서 서류를 내지 않거나 중대 결함이 드러나도 인증 취소 대상이 된다.

개인정보보호위원회와 과학기술정보통신부는 29일 관계기관 대책회의를 열고 이 같은 내용의 인증 취소 기준을 확정했다. 이날 회의는 국가 인증인 정보보호관리체계(ISMS)와 개인정보보호 관리 체계(ISMS-P)의 실효성 강화 방안을 확정하는 자리였다. 기존 법령에서 △사후 관리 거부·방해 △인증 기준 미달 △관련 법령의 중대한 위반 정도로 규정된 취소 기준을 보다 구체화했다. 특히 법령 위반과 관련 1000만 명 이상의 피해 발생이나 반복적이거나 고의·중과실 위반으로 사회적 영향이 큰 경우로 인증 취소 기준을 명확히 했다. 이번 기준 마련은 법 개정과 달리 기존 법의 적용 기준을 구체화한 차원이기 때문에 기존 사고 기업에도 즉시 적용 가능하다. 이를테면 쿠팡의 경우 10월 인증 사후 점검을 받았기 때문에 중대 결함이 있으면 취소 논의 테이블에 오를 수 있다. 개인정보위는 관계기관 협의를 통해 인증위원회 일정과 대상을 정할 예정이다. 정부는 “정보보호관리체계의 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시해 인증제의 실효성을 높이겠다”고 말했다.

김흥록 기자 rok@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]