개인정보보호위원회가 2026년 개인정보 조사업무를 위험 기반 체계로 전환하고, 개인정보 침해 가능성이 높은 분야를 중심으로 집중 점검에 나선다.

개인정보위는 2026년 조사업무 추진 방향을 확정하고, 사고 발생 이후 제재 중심 대응에서 벗어나 사전 예방과 전주기 관리 강화에 초점을 맞추겠다고 밝혔다. 최근 인공지능과 플랫폼 서비스 확산, 클라우드 활용 증가로 개인정보가 대규모로 처리되면서 침해 위험이 구조적으로 커지고 있다는 판단에 따른 것이다.

개인정보위는 중점 조사 분야로 대규모 개인정보 처리 기업, 영상·생체정보 등 고위험 개인정보 처리, 다크패턴을 통한 개인정보 과잉수집, 인공지능 자동화 결정과 프로파일링 등 신기술 분야, 공공부문, 기업 인수합병이나 도산 과정에서의 개인정보 이전·파기 등을 제시했다.

대규모 개인정보 처리자의 경우 보유 규모와 사고 이력, 민감정보 처리 여부 등을 종합적으로 고려해 점검 대상을 선정하고, 해킹 대응 체계와 내부 통제 수준을 중점적으로 살필 계획이다. IP카메라 등 영상정보 처리 사업자와 생체정보 기반 인증 서비스도 주요 점검 대상에 포함된다.

또 웹과 모바일 서비스 전반에 확산되고 있는 다크패턴 등 이용자 선택을 왜곡하는 개인정보 처리 관행에 대해서도 개선을 유도할 방침이다. 인공지능과 블록체인, 분산신원인증(DID) 등 신기술 분야에서는 개인정보 처리의 적법성과 안전성 여부를 중점적으로 점검한다.

공공부문에 대해서는 주요 시스템을 대상으로 취약점 점검과 모의해킹을 강화하고, 반복적으로 발생하는 개인정보 유출 요인에 대한 개선을 추진한다. 이와 함께 기업결합이나 파산·회생 과정에서 발생하는 개인정보 이전과 파기 절차의 적정성도 살펴볼 예정이다.

개인정보위는 조사 실효성을 높이기 위해 조사 강제력 강화와 기술 분석 역량 확충도 병행할 계획이라고 밝혔다.