정부가 개인정보 손해배상보험 가입의무대상 기준을 완화하고 제도 실효성을 높인다. 의무를 광범위하게 부과하고 위반 시 제재하는 것보다 실질적인 피해구제를 위한 제도적 여건을 마련하는 데 집중한다는 방침이다.
개인정보보호위원회(개인정보위)는 '개인정보 손해배상책임 보장제도 합리화 방안'을 마련했다고 27일 밝혔다. 개인정보 손해배상책임 보장제도는 개인정보 유출 피해 발생 시 기업의 배상능력이 부족한 경우에도 피해구제가 가능하도록 보험·공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 의무화하는 제도다.
그동안 매출액이 10억원 이상이면서 시스템에 저장·관리하는 정보주체 수가 1만명 이상인 개인정보처리자를 의무대상으로 했다. 그러나 개인정보처리자별 저장·관리 정보주체 수를 비롯해 전체 의무대상 파악이 어려워 실질적 점검·관리가 어렵고, 보험료 납입 대비 보장 범위가 좁다는 지적이 제기돼왔다.
손해보험협회 자료에 따르면 최근 4년간 가입은 연간 1만건 이하, 보험금 지급 사례는 10건 미만에 불과하다. 이에 개인정보위는 정책 연구와 전문가·유관 협단체 의견수렴 등을 통해 개선방안을 마련, 전날 열린 2025년 제7회 전체회의에서 보고했다.
먼저, 가입의무대상을 매출액 1500억원 이상이면서 저장·관리 정보주체 수가 100만명 이상인 곳으로 조정하고 집중관리하기로 했다. 현재 8만~38만여곳으로 추산되는 기업·기관이 200여개로 축소될 것으로 예상된다.
개인정보보호책임자(CPO) 지정 기준 등 개인정보보호법상 타 제도의 기준 등을 고려한 조치로, 이를 위해 동법 시행령을 개정할 계획이다. 의무대상이 아닌 기업에 대해서는 인센티브 활성화 등을 통해 자발적으로 보험 가입 등 필요한 조치를 할 수 있도록 지원한다는 방침이다.
아울러, 손해보험 업계와 협의해 올해부터 보험료(율)을 약 50% 인하하고, 보험 보장범위를 확대하는 등 보험상품을 지속적으로 개선해나갈 계획이다. 구체적으로 단체 보험 활성화 등을 통해 보험료가 인하될 수 있도록 유도하고, 보험금이 지급되는 법률상 손해배상금 범위에 개인정보위 분쟁조정을 통한 합의금이 포함된다고 명시하는 등 보험 약관상 보장범위를 명확히 할 예정이다. 현재 일부에서만 취급하는 과징금 보험특약 상품을 확대하는 방안도 추진한다.
개인정보위는 손해배상책임 보장제도를 통하면 분쟁조정 손해배상금(합의금)이 보장되고 소송에 비해 시간과 비용을 아낄 수 있다는 점을 적극적으로 알릴 예정이다.
이정아 개인정보위 분쟁조정과장은 제도 개선 배경에 대해 "제도 취지는 개인정보 유출로 인한 국민 피해구제인데, 우리나라는 미국 등과 달리 집단소송제도가 없고 소송에 시간·비용이 많이 들어 그동안 이 제도를 활용해 보상을 받는 사례가 적었다"고 짚었다.
의무가입대상 축소에 따른 피해구제 관련 우려에 대해선 "보험 가입 등 의무 부과가 피해구제로 직결될 거란 인식이 있으나, 유출사고 발생 시가 아니라 손해배상 책임 입증 확정 시 보험금이 지급되므로 실질적 피해구제에 한계가 있었다"면서 "현재 기준으론 의무대상 파악과 실태점검이 어려워 부득이 기준을 조정할 예정이다. 업계 혼선이 없도록 개인정보처리방침 평가나 ISMS 인증 대상 등 타 제도와 유사한 수준으로 마련했다"고 답했다.
팽동현기자 dhp@dt.co.kr
고학수 개인정보보호위원장이 지난 26일 정부서울청사에서 개최된 2025년 제7회 위원회 전체회의에서 의사봉을 두드리고 있다. 개인정보위 제공
