개인정보 유출, 이제 CEO가 직접 책임진다…매출 10% 징벌적 과징금 도입

반복되는 대규모 개인정보 유출 사고에 대한 국민의 불안감이 커지는 가운데, 기업의 책임을 근본적으로 강화하는 해결책이 나왔다. 정부가 개인정보 보호법 개정안을 공포하고, 반복적이고 중대한 개인정보 유출 기업에 전체 매출액의 최대 10%에 달하는 징벌적 과징금을 부과한다. 또한, 최종 책임자로 대표이사(CEO)의 관리·감독 의무를 명시해 실질적인 변화를 유도한다.

이번 개정안의 핵심은 강력한 제재를 통한 사전 예방이다. 기존 과징금 제도가 실효적인 억지력 확보에 한계가 있다는 지적에 따라, 고의나 중대한 과실로 위반 행위를 반복하거나 천만 명 이상의 대규모 피해를 유발한 경우 제재 수위를 대폭 높였다. 반면, 개인정보 보호를 위해 예산, 인력, 설비 등에 선제적으로 투자한 기업은 과징금을 감경받는 인센티브를 도입해 자발적인 투자를 장려한다.

정보주체의 권리 보호도 강화된다. 이제 기업은 개인정보가 유출된 것이 확인됐을 때뿐만 아니라, ‘유출 가능성’이 인지된 초기 단계부터 정보주체에게 사실을 통지해야 한다. 랜섬웨어 공격 등으로 인한 정보의 위조, 변조, 훼손까지 통지 대상에 포함시켜 정보주체가 신속하게 대응할 수 있도록 했다. 통지 시에는 손해배상 청구와 분쟁조정 신청 등 구체적인 피해 구제 방법도 함께 안내해야 한다.

기업의 개인정보 보호 체계는 대표이사와 개인정보 보호책임자(CPO)를 중심으로 재편된다. CEO는 개인정보 처리 및 보호의 최종 책임자로서 명확한 관리·감독 의무를 진다. 일정 규모 이상 기업의 CPO는 이사회 의결을 거쳐 임명되며, 개인정보 보호에 필요한 예산과 인력을 확보하고 관련 사항을 대표이사와 이사회에 직접 보고하는 등 독립성과 전문성이 강화된다.

마지막으로, 주요 기업과 기관을 대상으로 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증이 의무화된다. 이를 통해 기업이 스스로 정보보호 수준을 객관적으로 점검하고 실효성 있는 관리 체계를 구축하도록 유도한다.

이러한 구조적 해결책은 기업의 개인정보 보호 인식을 ‘비용’에서 ‘필수 투자’로 전환시키는 효과를 낳는다. CEO부터 시작되는 명확한 책임 구조는 형식적인 보안 대책을 넘어 전사적인 관리 체계 강화를 이끌 것이다. 결과적으로 개인정보 유출 사고 발생률을 낮추고, 사고 발생 시에도 신속한 대응과 투명한 정보 공개를 통해 국민의 피해를 최소화하는 사회적 안전망이 구축될 것으로 기대된다.