정부가 내년 개인정보 영향평가를 수행할 기관으로 6개 업체를 선정했다. 정부는 이들 기업을 이달 내 관보에 공식 발표할 예정이다.
14일 업계에 따르면 총 27개 업체가 공공기관 개인정보 영향평가 수행기관 선정심사에 지원한 가운데 정부는 이중 6개 업체를 선정, 내년 개인정보보호 영향평가에 본격적으로 나설 예정이다. 선정된 6개 업체는 이달 내 정식 발표된다.
하지만 이 같은 정부 방침에 업계는 동요하는 분위기다. 전체 통과는 어렵더라도 최소 절반 이상은 통과할 것으로 예상했기 때문이다. 개인정보를 취급하는 공공기관 수에 비해 영향평가 수행기관 수가 너무 적어 영향평가 사업 수행을 제대로 할 수 있을지 우려하는 분위기가 역력했다.
업계 관계자는 “공공기관당 개인정보 영향평가 사업을 수행하는데 평균 2개월가량이 걸린다”며 “한 기관이 2개월씩 6개 사업자가 900여개 개인정보 보유 공공기관을 모두 평가하려면 10년은 족히 소요될 것”이라고 지적했다.
개인정보보호법에 따르면 해당 공공기관은 올해 말까지 영향평가 계획을 수립하고 내년 9월 30일까지 계획을 이행해야 한다. 하지만 현재 상태라면 내년 9월 30일까지 이행은 커녕 수행기관 구경조차 어려운 실정이다. 공공기관에서 자칫하면 개인정보보호법을 지키기 어려운 상황이 펼쳐질지도 모른다.
정태명 한국CPO포럼 회장은 “가뜩이나 영향평가 수행이 가능한 ‘개인정보관리사(CPPG)’ 등 관련 인력도 모자라는 상황에서 영향평가 수행기관이 넉넉하지 않으면 전체적인 영향평가 자체의 품질저하로 이어질 수 있다”고 경고했다.
이에 대해 행안부 관계자는 “인력, 자본금, 수행능력 등 다방면에 걸쳐 엄중한 심사를 거쳤다”며 “선정된 6개 업체의 활동 상황을 지켜본 후 부족하다고 판단되면 내년 추가 지정에 들어갈 것”이라고 밝혔다. 구체적인 추가 지정 시기, 방법 등은 언급하지 않았다.
업계 전문가는 “지경부의 정보보호컨설팅 전문업체 지정은 규제완화 측면에서 신고제를 채택하고 있는 반면에 행안부는 지나치게 높은 기준을 채택해 규제를 강화했다”며 “개인정보보호법이 원활하게 진행되기 위해서는 현실에 맞는 요건 적용이 시급하다”고 지적했다.
정부는 개인정보 영향평가로 인해 270억원 규모 신규 시장이 열릴 것으로 기대했다. 현재 공공 기관당 최소 3000만원의 예산이 책정됐으며 900여개 대상 기업 수를 감안하면 270억원 이상 신규 시장이 생길 전망이다.
<용어설명> 개인정보영향평가제도=개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론이고 국민의 프라이버시에 미칠 영향에 대해 미리 조사·분석·평가하는 체계적인 절차를 지칭한다. 개인정보파일을 구축·운용 또는 변경하거나 연계하려는 공공기관은 의무적으로 개인정보 영향평가를 수행해야 하며 개인정보보호법(제33조제1항)과 동법 시행령(제35조)에서 이를 규정하고 있다.
장윤정기자 linda@etnews.com
