"3개년 평균"으로 과징금 낮추는 꼼수 막힌다 — 개보위, 산정 기준 전면 강화

핵심 요약

• 5월 19일부터 시행: 과징금 기준을 "직전 3개년 평균" vs "직전 사업연도" 중 높은 금액 적용
• 빠르게 성장하는 플랫폼·정보통신 기업의 "평균 낮추기" 전략 차단
• 매우 중대한 위반에 대해 조사 협조 등에 따른 감경 불허 조항 신설

개보위 개정 내용

5월 18일, 개인정보보호위원회는 「개인정보 보호법 시행령」과 과징금 부과기준 고시를 개정해 5월 19일부터 즉시 시행했다.

① 매출액 산정 기준 이원화

기존에는 "위반행위 발생 사업연도 직전 3개 사업연도의 연평균 매출액"만 기준이었다. 스타트업이 급성장한 경우, 과징금 기준이 실제 경제력보다 훨씬 낮게 잡히는 문제가 있었다.

개정안은 두 값 중 높은 쪽을 적용한다.

| 구분 | 기존 | 개정 |

|------|------|------|

| 기준 매출액 | 직전 3개년 연평균 | 직전 3개년 연평균 또는 직전 사업연도 중 높은 금액 |

② 중대 위반 시 감경 제한

기존에는 조사 협조, 자율보호 활동, 피해 회복 노력 등이 있으면 일률적으로 과징금 감경이 가능했다. 개정안은 위반의 중대성이 "매우 중대한 위반행위"에 해당할 경우 감경의 전부 또는 일부를 적용하지 않을 수 있다.

적용 기준: 「행정기본법」 제14조에 따라 시행 이후 발생한 위반행위부터 적용.

전문가 시각 — 이 개정이 진짜 무서운 이유

개정 자체는 기술적으로 단순하다. 그런데 이것이 왜 중요한가?

실제 심사 현장에서 자주 보는 패턴이 있다. 법 위반을 인지한 기업 법무팀이 가장 먼저 하는 계산이 "과징금이 얼마나 나올까?"다. 과거 3개년 평균이 낮으면, 리스크를 감수하고 위반을 묵인하는 사례도 있었다.

이번 개정은 그 계산을 흔든다. 특히 매년 2~3배씩 성장하는 플랫폼 기업이 직격탄을 맞는다. 직전 사업연도 매출이 300억이면, 3개년 평균(100억)이 아닌 300억이 기준이 된다.

컴플라이언스 담당자가 지금 당장 해야 할 것

자사의 개인정보처리 현황 전수 점검

위반 가능성이 있는 항목 우선 정비

ISMS-P 인증 취득 또는 유지 — 인센티브(과징금 감경) 활용

역설적으로, 개정법은 ISMS-P 인증 받은 기업에 대한 감경 여지는 여전히 남겨뒀다. 인증이 단순한 자격이 아니라 법적 방어막이 되는 시대다.

위반 조항 / 관련 법령

• 개인정보보호법 제64조의2 (과징금 부과): 전체 매출액의 3% 이하
• 동법 시행령 제59조 (과징금 산정 기준): 이번 개정 핵심 조항
• 과징금 부과기준 고시: 2026.5.19 개정·시행

CPPG·ISMS-P 시험 연계 포인트

• CPPG 필수: 과징금 산정 기준 변경 사항은 2026년 하반기 시험 출제 가능성 매우 높음
• "직전 3개년 연평균"만 외웠다면 답이 틀린다 — 두 값 중 높은 금액으로 업데이트 필요
• ISMS-P: 법적 제재 리스크 관리가 정보보호 거버넌스의 핵심 요소로 강화

관련 서비스

→ TechFi 정보보호 공시·ISMS-P 컨설팅 — 위반 리스크 사전 진단