개보위, 2026년 공공기관 개인정보 관리실태 현장점검 본격화...ISMS-P 연계 강화

핵심 요약

- 개인정보보호위원회가 2026년 공공부문 개인정보 관리실태 현장점검을 본격 시행 - 공공실태점검단 주관으로 공공기관의 개인정보 처리 전 과정에 대한 종합 점검 실시 - ISMS-P 인증기준과 개인정보보호법 준수 여부를 중점 확인하여 실질적 개선 유도

주요 내용

개인정보보호위원회(이하 개보위)는 2026년 6월 15일 공공부문을 대상으로 개인정보 관리실태에 대한 현장점검을 본격 추진한다고 밝혔다. 이번 점검은 공공실태점검단이 주관하며, 중앙행정기관, 지방자치단체, 공공기관 등을 대상으로 개인정보 처리 단계별 관리 실태를 종합적으로 점검하는 방식으로 진행된다.

개보위는 최근 공공부문에서 발생한 개인정보 유출사고와 부적절한 개인정보 처리 사례가 지속적으로 보고되고 있는 점을 감안하여, 이번 현장점검을 통해 공공기관의 개인정보보호 관리체계를 전면 재점검할 계획이다. 특히 개인정보의 수집·이용·제공·파기 등 전 생애주기에 걸친 처리 절차의 적법성과 안전성 확보 여부를 중점 확인한다.

점검 항목에는 △개인정보 보호책임자 및 담당자 지정·운영 현황 △개인정보 처리방침 수립·공개 적정성 △개인정보 영향평가 이행 실태 △개인정보 처리시스템 접근권한 관리 △개인정보 파기 절차 준수 여부 등이 포함된다. 이는 「개인정보 보호법」 제31조(개인정보 보호책임자의 지정), 제30조(개인정보 처리방침의 수립 및 공개), 제33조(개인정보 영향평가) 등 주요 법률 조항의 이행 상황을 종합 점검하는 것이다.

개보위는 점검 결과 법 위반사항이 확인될 경우 시정명령, 과태료 부과 등 행정처분을 진행하고, 중대한 위반의 경우 검찰 고발 등 형사처벌도 검토할 방침이다. 또한 우수 사례는 공유하여 공공부문 전체의 개인정보보호 수준을 상향 평준화한다는 계획이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 개보위의 공공부문 현장점검은 단순한 법률 준수 점검을 넘어 실질적인 정보보호 관리체계 수준을 평가하는 계기가 될 것으로 판단된다. 공공기관은 「개인정보 보호법」과 「정보통신망법」의 적용을 받으며, 일정 규모 이상 기관은 ISMS-P 인증 의무대상에 해당한다. 따라서 이번 점검은 법적 의무 이행뿐 아니라 ISMS-P 인증기준의 실질적 내재화 수준을 동시에 평가받는 기회로 인식해야 한다.

특히 주목할 부분은 개인정보 처리 전 생애주기 관리다. 많은 공공기관이 개인정보 수집 단계의 동의 절차는 비교적 잘 준수하지만, 보유기간 경과 후 파기, 제3자 제공 시 법적 근거 확보, 처리위탁 시 수탁자 관리·감독 등에서는 미흡한 경우가 많다. 공공기관은 이번 점검을 계기로 개인정보 처리대장을 전면 재점검하고, 개인정보 흐름도(data flow)를 재작성하여 사각지대가 없는지 확인해야 한다. 또한 개인정보보호 담당 인력의 전문성 강화를 위해 CPPG(개인정보관리사) 등 전문자격 취득을 적극 지원할 필요가 있다.

ISMS-P 심사원 체크포인트

1. 2.3.2 개인정보 수집·이용·제공 (ISMS-P 인증기준)

현장점검 시 가장 중점적으로 확인되는 항목이다. 공공기관은 개인정보를 수집할 때 「개인정보 보호법」 제15조(개인정보의 수집·이용), 제17조(개인정보의 제공) 등에 따른 법적 근거를 명확히 확보해야 한다. 특히 법령상 의무 수행을 위한 경우에도 최소 수집 원칙(제16조)을 준수해야 하며, 필수·선택 정보를 구분하여 수집해야 한다. 심사 시에는 개인정보 수집·이용 동의서, 개인정보 처리방침, 개인정보 처리대장의 일관성을 교차 검증한다.

2. 2.7.2 개인정보 파기 (ISMS-P 인증기준)

공공기관에서 가장 취약한 통제 영역 중 하나다. 「개인정보 보호법」 제21조(개인정보의 파기)는 보유기간 경과, 처리목적 달성 시 지체 없이 개인정보를 파기하도록 규정하고 있다. 심사 시에는 △파기 대상 개인정보의 선별 및 파기 계획 수립 △파기 방법의 적정성(전자파일은 복원 불가능한 방법, 종이문서는 파쇄·소각) △파기 이행 기록 및 증적 관리 등을 확인한다. 특히 위탁계약 종료 시 수탁자의 개인정보 파기 여부도 중요한 점검 포인트다.

3. 2.2.1 개인정보 보호조직 (ISMS-P 인증기준)

「개인정보 보호법」 제31조에 따라 개인정보 보호책임자(CPO)를 지정하고, 그 지정 사실을 개인정보 처리방침에 공개해야 한다. 심사 시에는 △보호책임자의 직급 및 권한의 적정성(임원급 또는 그에 준하는 지위) △개인정보 보호조직의 독립성 및 실효성 △보호책임자 및 담당자에 대한 정기 교육 이행 여부 등을 확인한다. 특히 공공기관의 경우 개인정보 보호책임자가 형식적으로 지정되어 실질적 역할을 수행하지 못하는 사례가 많아 중점 점검 대상이 된다.

위반 조항

이번 현장점검에서 주로 확인될 개인정보보호법 위반 조항은 다음과 같다:

• 제15조(개인정보의 수집·이용): 법적 근거 없이 개인정보를 수집하거나, 필요 최소한의 정보 이외 과도한 정보를 수집한 경우 → 5천만원 이하 과태료(제75조)
• 제17조(개인정보의 제공): 법적 근거 없이 개인정보를 제3자에게 제공한 경우 → 5년 이하 징역 또는 5천만원 이하 벌금(제71조)
• 제21조(개인정보의 파기): 보유기간 경과 후 개인정보를 파기하지 않은 경우 → 3천만원 이하 과태료(제75조)
• 제26조(업무위탁에 따른 개인정보의 처리 제한): 위탁계약 시 문서화 미비 또는 수탁자 관리·감독 소홀 → 3천만원 이하 과태료(제75조)
• 제29조(안전조치의무): 개인정보의 안전성 확보를 위한 기술적·관리적·물리적 조치 미흡 → 3천만원 이하 과태료(제75조)
• 제30조(개인정보 처리방침의 수립 및 공개): 처리방침 미공개 또는 법정 기재사항 누락 → 3천만원 이하 과태료(제75조)
• 제31조(개인정보 보호책임자의 지정): 보호책임자 미지정 또는 지정 사실 미공개 → 2천만원 이하 과태료(제75조)

CPPG·ISMS-P 연계 포인트

1. 개인정보 생애주기별 보호조치 (CPPG 핵심) 개인정보는 수집-이용-제공-보관-파기의 전 생애주기(Life Cycle)를 거친다. 각 단계별로 법적 요구사항이 다르며, ISMS-P 인증기준 2.3~2.8장이 이를 체계적으로 규정한다. CPPG 시험에서는 각 단계별 법적 근거, 정보주체 권리 보장 방법, 안전조치 요구사항을 종합적으로 평가한다. 특히 공공기관은 민간 부문과 달리 법령상 의무 수행을 위해 개인정보를 처리하는 경우가 많아, 법령 근거 명시와 최소 수집 원칙 준수가 더욱 중요하다.

2. 개인정보 영향평가(PIA) 제도 (ISMS-P 2.2.3) 「개인정보 보호법」 제33조는 공공기관이 대규모 개인정보를 처리하는 시스템을 구축·운영하는 경우 개인정보 영향평가를 의무적으로 실시하도록 규정한다. 평가 시기는 시스템 구축·운영 전이며, 5만명 이상의 정보주체에 관한 민감정보·고유식별정보 처리, 100만명 이상의 정보주체에 관한 개인정보 처리 시스템 등이 대상이다. ISMS-P 심사에서는 영향평가 이행 여부, 평가 결과 반영 실태, 사후관리 이행 여부를 점검하며, 이는 공공기관 현장점검에서도 핵심 항목으로 다뤄진다.

---

※ 본 기사는 ISMS-P 선임심사원 백남정 박사의 전문가 분석을 바탕으로 작성되었습니다.