속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

개인정보위 2026 하반기 업무계획, ISMS-P 인증 단계적 의무화 추진

개인정보보호위원회가 2026년 하반기 예방체계 강화와 ISMS-P 인증 의무화 확대, AI 기술 개발을 위한 원본 개인정보 활용 방안을 주요 업무로 추진한다.

백남정 기자
입력 2026년 7월 16일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/dd2eca

핵심 요약

- 개인정보보호위원회가 2026년 7월 16일 청와대 영빈관에서 하반기 업무계획 보고, ISMS-P 인증 단계적 의무화 방침 발표 - 공익·사회적 목적의 AI 기술 개발에 원본 개인정보 활용 허용 방안 포함 - 예방체계 구축, 권익 증진, 조사·제재 강화를 4대 핵심 축으로 설정

주요 내용

개인정보보호위원회는 2026년 7월 16일 청와대 영빈관에서 '2026년 하반기 업무계획'을 보고하며 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증의 단계적 의무화 방침을 밝혔다. 이는 최근 증가하는 개인정보 침해사고에 대응하고, 기업의 자율적 보호체계 구축을 제도적으로 뒷받침하기 위한 조치로 평가된다.

특히 주목할 부분은 공익 및 사회적 목적의 AI 기술 개발에 원본 개인정보를 활용할 수 있도록 하는 방안이다. 그간 AI 학습 데이터 확보를 위해 가명정보나 익명정보 활용이 권장되었으나, 기술 발전과 사회적 필요성을 고려해 원본 개인정보 활용 범위를 확대하는 것으로 해석된다. 다만 '공익'과 '사회적 목적'의 구체적 기준과 안전장치가 어떻게 마련될지가 실무적 쟁점이 될 전망이다.

하반기 업무는 예방체계 강화, AI 활용 확대, 국민 권익 증진, 조사·제재 내실화를 중심으로 추진된다. ISMS-P 의무화 확대는 예방체계 강화의 핵심 수단으로, 현재 일부 업종에 한정된 인증 의무를 점진적으로 확대해 더 많은 기업이 체계적인 개인정보 보호관리 체계를 갖추도록 유도할 계획이다.

이번 업무계획은 사후 제재 중심에서 사전 예방 중심으로의 정책 전환을 명확히 하면서도, 동시에 조사·제재 기능을 강화해 실효성을 확보하겠다는 양면 전략을 담고 있다. 특히 AI 시대에 맞춘 개인정보 활용과 보호의 균형점을 찾으려는 시도가 두드러진다.

전문가 시각

ISMS-P 인증 의무화 단계적 확대는 기업 입장에서 준비 기간 확보 측면에서 환영할 만하나, 구체적인 업종별·규모별 로드맵이 조속히 공개되어야 한다. 현재 매출액 또는 이용자 수 기준으로 의무 대상이 정해지는데, 단계적 확대 시 중견기업과 특정 업종(헬스케어, 핀테크 등)이 우선 포함될 가능성이 높다. 기업은 현재 자사의 개인정보 처리 규모와 민감도를 평가하고, 최소 6개월에서 1년의 준비 기간을 염두에 두고 내부 관리체계 정비에 착수해야 한다.

AI 개발을 위한 원본 개인정보 활용 허용은 기술 발전에 긍정적이나, 실무적으로는 '공익성 판단 기준', '목적 외 이용 방지 장치', '사후 감독 체계'가 명확히 설계되지 않으면 오용 우려가 크다. 기업은 개인정보처리방침 개정, 정보주체 고지 강화, 내부 AI 윤리위원회 구성 등 선제적 거버넌스 체계를 구축해야 하며, 특히 ISMS-P 인증 심사 시 AI 학습 데이터 관리 항목이 새롭게 강화될 가능성에 대비해야 한다.

ISMS-P 심사원 체크포인트

1. 인증 범위 및 관리체계 수립 (ISMS-P 인증기준 1.1.1, 1.1.2) - 의무 인증 대상 여부 확인: 정보통신서비스 부문 전년도 매출액 100억 원 이상 또는 직전 3개월간 일일평균 이용자 수 100만 명 이상 해당 여부 - 관련 법령: 「정보통신망법」 제47조(인증 의무 대상자), 「개인정보보호법」 제32조의2(인증 취득 권고) - 심사 포인트: 최고경영자의 관리체계 수립 의지 표명 문서, 정보보호 및 개인정보보호 조직 구성의 적정성, ISMS-P 적용 범위 설정의 타당성

2. 개인정보 처리단계별 보호조치 - 수집·이용 (ISMS-P 인증기준 3.1.1~3.1.4) - AI 학습 목적 개인정보 수집 시 법적 근거(동의, 법령, 정당한 이익 등) 적법성 확인 - 관련 법령: 「개인정보보호법」 제15조(수집·이용), 제17조(제공), 제28조의2(가명정보 처리 특례) - 심사 포인트: AI 개발 목적이 '공익·사회적 목적'에 해당하는지 판단 근거, 원본 개인정보 이용 시 목적 외 이용·제공 통제 장치, 개인정보 영향평가 수행 여부

3. 개인정보 처리 위탁 및 제3자 제공 관리 (ISMS-P 인증기준 3.1.7, 3.1.8) - AI 모델 개발·학습 과정에서 외부 기관(클라우드, AI 전문기업)에 개인정보 위탁 시 계약서 검토 - 관련 법령: 「개인정보보호법」 제26조(업무위탁), 제17조(제3자 제공) - 심사 포인트: 위탁계약서 내 개인정보 보호 조항 명시 여부, 수탁자 관리·감독 절차, 재위탁 통제 방안, AI 학습 완료 후 원본 데이터 파기 절차

CPPG·ISMS-P 연계 포인트

1. 정보보호 및 개인정보보호 관리체계(ISMS-P) 의무 인증 대상 ISMS-P 인증은 정보통신서비스 제공자 중 ①전년도 매출액 100억 원 이상 또는 ②직전 3개월 일일평균 이용자 100만 명 이상인 경우 의무 대상이다. 인증 유효기간은 3년이며, 매년 사후관리 심사를 받아야 한다. 단계적 의무화는 현재 기준을 점진적으로 확대(예: 매출액 50억 원 이상, 특정 업종 추가)하는 방식으로 추진될 가능성이 높으며, 기업은 정기적으로 자사의 해당 여부를 모니터링해야 한다.

2. 가명정보와 원본 개인정보의 AI 활용 구분 「개인정보보호법」 제28조의2는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 가명정보 처리를 허용하되, 특정 개인을 알아볼 수 없도록 조치해야 한다. 이번 업무계획의 '원본 개인정보 활용'은 가명처리 없이 식별 가능한 상태로 사용 가능함을 의미하므로, 별도의 법적 근거(제15조 제1항 각 호 또는 제17조) 또는 신설 규정이 필요하다. 실무자는 AI 프로젝트별로 가명정보 활용 가능 여부를 먼저 검토하고, 원본 정보가 필수적인 경우에만 예외적으로 적용해야 하며, 개인정보 영향평가(제33조) 수행이 권고된다.

#ISMS-P#개인정보보호위원회#인증의무화#AI개인정보#정보보호관리체계
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사