‘22년‘정보보호 공시 의무화’본격 시행, 국내 기업의 정보보호 수준 한층 높일 것으로 기대
- 일정규모 이상 기업의 정보보호 투자‧인력‧인증현황 등 정보보호 현황 공시 기준 신설 |
□ 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 정보보호 투자 활성화 및 이용자 보호를 위하여 정보보호 공시 의무화 등의 제도를 담은 「정보보호산업법」 시행령 개정안을 12월 7일(화) 국무회의를 통과하여 오는 12월 9일(목) 시행한다고 밝혔다.
□ 지난 6월 「정보보호산업법」이 일부개정(제13조제2항 신설)됨에 따라 법률에 위임을 받아 ▴의무대상 기준, ▴이행기한 등 제도시행에 필요한 내용을 담은 시행령을 마련했다.
ㅇ 정보보호 공시 의무 대상의 범위와 기준은 학계, 법조계, 사업자단체, 대·중견·중소기업(정보보호 최고책임자) 등 각계 전문가 의견과 이해관계자 의견을 종합적으로 반영하여 도출했다.
□ 이번 개정안의 주요 내용은 다음과 같다.
① 정보보호 공시 의무 부과 대상의 범위와 기준 신설(제8조제1항)
ㅇ 관계부처, 전문가 연구반, 이해관계자의 의견과 제도 개정 취지 및 기업 규제 부담 수준 등을 고려하여 ▴사업분야, ▴매출액, ▴이용자 수에 따른 의무대상 기준을 아래와 같이 신설하였다.
< 정보보호 공시 의무대상 기준 >
사업 분야 | ‣ 회선설비 보유 기간통신사업자 ※ 「전기통신사업법」 제6조제1항 |
‣ 집적정보통신시설 사업자 ※ 「정보통신망법」 제46조 | |
‣ 상급종합병원 ※ 「의료법」 제3조의4 | |
‣ 클라우드컴퓨팅 서비스제공자 ※ 「클라우드컴퓨팅법」 시행령 제3조제1호 | |
매출액 | ‣ 정보보호 최고책임자 지정·신고 상장법인 중 매출액 3,000억원 이상 |
이용자 수 | ‣ 정보통신서비스 일일평균 이용자 수 100만명 이상(전년도말 직전 3개월간) |
② 정보보호 공시 의무 예외 규정 신설(제8조제2항)
ㅇ 기업의 규제 부담 완화 등의 의견을 반영하여 ▴공공기관, ▴소기업, ▴금융회사, ▴정보통신업 또는 도‧소매업을 주된 업종으로 하지 않는 전자금융업자는 의무대상에서 제외하였다.
③ 정보보호 공시 이행 기한 신설(제8조제6항)
ㅇ 기업공시, 환경공시 등 타 공시제도의 이행 기간을 참고하여 6월 30일까지 기업별 정보보호 공시자료를 제출하도록 규정하였다.
□ 과기정통부는 새롭게 의무화되는 정보보호 공시가 국내 기업·기관의 정보보호 수준을 더욱 향상시키는 계기가 될 수 있도록 정보보호 공시 전 과정 컨설팅, 교육 등 다양한 정책적 지원을 마련할 계획이다.
ㅇ 또한, 기업들이 쉽게 정보보호 공시에 참여할 수 있도록 정보보호 투자, 인력 산출 방법, 정보보호 활동 대상 기준 등의 내용을 담은 ‘정보보호 공시 가이드라인’을 연내 개정할 예정이다.
□ 임혜숙 과기정통부 장관은 “4차산업혁명의 디지털 대전환이 진행되어 최근 KT네트워크 장애 사태에서 보듯이 디지털과 네트워크 의존도는 그 어느 때 보다도 높다.”면서,
o “이용자는 정보보호 공시를 통해 기업이 어느 정도 노력으로 정보보호에 투자하는지 알 필요가 있고, 이를 알리는 과정에서 경영진의 관심이 촉구되어 정보보호 투자가 자연스럽게 발생하는 선순환 구조가 모든 산업 분야에 정착되길 기대한다.”고 밝혔다.
