개인정보 보호를 서비스 기획·설계·개발 단계부터 기본값으로 반영하는 위험 기반 맞춤형 실태점검이 하반기부터 본격화된다. 플랫폼·금융 등 대규모 개인정보를 처리하는 분야가 집중 점검 대상이 된다. Korea
올해 개인정보위 조사 방향의 키워드는 '위험 기반(Risk-based)'이다. 모든 조직을 동일한 기준으로 점검하는 대신, 위험이 높은 분야와 구조에 자원을 집중하겠다는 방식이다. 이 접근이 실무에서 무엇을 의미하는지를 정확히 이해해야 한다.
위험 기반 접근이 기존 점검과 다른 점
기존 정기 점검은 사전에 공지된 항목을 체크리스트 방식으로 확인하는 구조였다. 준비된 조직은 심사 전에 맞출 수 있었다.
위험 기반 점검은 다르다. 조직의 서비스 특성, 처리 데이터의 민감도, 기존 사고 이력, 내부통제 체계 수준을 종합해서 위험도를 산정하고, 위험도가 높다고 판단되면 예고 없이 수시 점검이 이루어질 수 있다. 준비된 척할 수 있는 구조가 아니다.
실무적으로 위험도가 높게 평가될 수 있는 조직의 특징
과거 과징금 처분 이력이 있는 경우, 대규모 개인정보를 처리하면서 안전조치 수준이 처리 규모에 비해 낮은 경우, AI·자동화 기반 서비스를 운영하면서 처리 투명성이 확보되지 않은 경우, 다수의 수탁사를 두고 있지만 수탁 관리가 형식적인 경우가 여기에 해당한다.
이 중 하나라도 해당된다면 하반기 점검의 잠재 대상이 될 수 있다는 전제로 내부 점검을 시작하는 것이 맞다.
지금 해두면 실제로 도움이 되는 것
내부통제 체계가 문서로만 존재하는지, 실제 시스템 설정과 일치하는지를 먼저 확인하는 것이다. 위험 기반 점검에서 가장 먼저 드러나는 것이 이 불일치다.
그리고 수탁사 관리 현황을 정리해두는 것이다. 위탁 계약서가 있는지, 재위탁이 발생하는지, 수탁사 점검 이력이 남아 있는지. 점검이 들어왔을 때 바로 제출할 수 있는 상태로 만들어두는 것과 그렇지 않은 것은 대응 여유가 다르다.