[이데일리 안유리 기자] 앞으로 기업의 실무자가 아닌 대표가 개인정보 처리·보호에 대한 최종 책임을 맡게 된다. 개인정보 보호 투자와 의사결정이 현업 부서에만 맡겨지는 것이 아니라 경영진이 직접 관리하도록 하겠다는 방침이다. 개인정보 유출 가능성이 있는 경우, 신속히 알리는 통지제도 도입된다.

먼저 9월 11일부터 개인정보처리자(기업·기관)의 대표자(CEO)가 개인정보 처리·보호에 대한 최종 책임을 지도록 하는 ‘총괄 관리 의무’가 법제화된다. 지금까지는 개인정보 보호책임자(CPO)가 개인정보 처리 업무를 총괄하는 구조였지만, 앞으로는 CEO가 개인정보 보호 예산과 전문 인력 확보, 안전관리 체계 구축 등 전반적인 관리 의무를 수행해야 한다. CPO는 기존처럼 개인정보 처리 업무를 총괄하지만, 최종 책임은 대표자가 맡는 구조로 바뀐다.

같은 날 ‘개인정보 유출 가능성 통지제’도 시행된다. 현행 제도는 개인정보가 실제로 유출됐음을 개인정보처리자가 인지한 경우에만 정보주체에게 통지하도록 규정하고 있다. 앞으로는 개인정보의 분실·도난·유출·위조·변조·훼손 가능성을 인지한 단계에서도 정보주체에게 관련 사실과 피해 최소화 방안을 알려야 한다.

이에 따라 이용자는 실제 유출 사실이 확인되기 전이라도 비밀번호 변경, 계정 잠금, 금융거래 모니터링 등 필요한 대응 조치를 보다 신속하게 취할 수 있게 된다. 개인정보위는 사고 초기 단계부터 국민에게 정보를 제공함으로써 2차 피해를 줄이고 이용자의 불안을 최소화하는 효과가 있을 것으로 보고 있다.

이보다 앞선 8월 20일부터는 본인전송요구권이 전 분야로 확대 시행된다. 의료·통신 등 일부 분야에 적용되던 마이데이터 제도가 일정 규모 이상의 개인정보처리자와 공공시스템 운영기관 등으로 확대되는 것이다. 정보주체는 기관 홈페이지 등을 통해 자신의 개인정보 전송을 요구할 수 있으며, 전송받은 정보를 직접 관리하거나 데이터 기반 서비스 기업에 제공해 맞춤형 서비스를 받을 수 있다.

다만 평균매출액과 정보주체 수 기준을 적용받는 일부 본인대상정보전송자는 2027년 2월 20일부터 제도를 적용받는다. 개인정보위는 “이번 제도 확대를 통해 국민이 자신의 정보를 보다 쉽게 관리·활용할 수 있는 마이데이터 생태계가 본격적으로 구축될 것으로 기대한다”고 밝혔다.