개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 중앙행정기관·지방자치단체·공기업 등 공공기관에 대해 ‘2025년 공공기관 개인정보 보호수준 평가’를 시행한다고 발표했다.

[블랙엣지뉴스=장우영 기자]  개인정보 보호수준 평가(이하 ‘보호수준 평가’)는 「개인정보 보호법」제11조의2(’24년 3월 시행)에 따라 공공기관의 개인정보 관련 법령상 의무 사항 준수 여부뿐 아니라, 개인정보 보호를 위한 기관의 노력 등을 평가하는 제도이다.

’25년 보호수준 평가 대상 기관은 1,445개로, ’24년 평가대상인 중앙행정기관 및 그 소속기관, 지방자치단체, 공공기관, 지방공사‧공단, 시도 교육청 및 교육지원청 외에 경북대학교, 세종사이버대학교, 숙명여자대학교, 한림성심대학교, 한국사회복지사협회, 한국교육방송공사, 한국방송공사, 한국과학기술원 등 8개의 ‘대학 및 특수법인’*이 추가되었다. 또한 공공시스템 운영기관에 대한 강화된 안전성 확보조치 제도를 본격 시행(’24.9월)함에 따라 작년에 평가대상이 아니었던 일부 공공시스템 운영기관(국군재정관리단, 한국장례문화진흥원, 한국지역정보개발원, 한국관세정보원)도 올해는 평가대상으로 포함되었다.

보호수준 평가는 법적 의무사항 준수 여부 등 정량지표 중심의 자체평가(60점)와 개인정보 보호 업무 추진 내용의 적절성·충실성을 반영한 정성지표 중심의 전문가 평가단 심층평가(40점)로 구성된다.

<2025년도 공공기관 개인정보 보호수준 평가 지표>

올해부터는 개인정보 보호책임자(CPO) 관련 지표를 개인정보보호 인력·조직 및 예산 평가 항목으로 포함하는 등 유사·중복 지표를 통합·연계하여 자체평가 지표를 43개에서 40개로, 심층평가 지표를 8개에서 7개로 축소하였다. 또한 지표 전반에서 공공시스템 운영기관에 대한 강화된 안전조치를 평가하도록 지표를 재설계하고, 지난해 평가 시 미흡하다고 지적된 사항을 자율적으로 개선하는 노력을 반영한다. 

또한, 신기술 관련 가점 지표에 인공지능(AI) 환경을 반영한 리스크 관리 체계를 포함하고, 공공기관의 안전한 개인정보 활용을 위한 중장기적 로드맵도 평가한다.

개인정보 관련 사건·사고 발생에 대해 감점을 적용할 때는, 유출 규모, 담당자의 고의·과실의 정도에 따라 사건의 경중을 구분하여 감점을 차등화하고, 위반 사실이 중대한 경우 공공기관 경영평가에서 강화된 페널티를 적용하는 규정도 적용할 계획이다.

아울러, 평가 결과가 우수한 기관 및 소속 직원에게는 표창을 수여하고, 미흡 기관 중 개인정보 보호에 대한 개선이 필요한 기관에 대해서는 개선 권고를 통해 기관의 개인정보 보호수준 개선으로 이어지도록 할 예정이다.

개인정보위는 올해 평가대상 전체 기관을 대상으로 6월 말부터 온·오프라인 설명회를 개최할 계획이다. 이어서 7월 중 ’24년 보호수준 평가 결과 미흡기관 및 ’25년 보호수준 평가 신규 기관 등을 대상으로 권역별 맞춤형 현장자문(컨설팅)을 실시한다. 아울러 평가 담당자들이 업무에 참고할 수 있도록 지난해 평가결과 우수 사례집을 올 하반기에 배포할 계획이다.

이정렬 개인정보위 사무처장은 “최근 각종 유출 사고에 대한 국민의 우려가 높아지고 있는 상황에서, 공공기관이 관리하는 개인정보에 대한 관심과 중요성이 더욱 높아졌다.”라며, “금년 보호수준 평가를 계기로 공공 분야에서 선도적으로 안전한 개인정보 보호체계를 만들어서 국민의 소중한 개인정보를 보다 안전하게 관리·활용하기를 바란다.”라고 말했다.

*출처: 개인정보보호위원회 보도자료

감사·내부통제 전문지 BLACK EDGE / 장우영 기자