전문성 강화된 CPO 지정 요건, 개인정보보호 최소 2년+보안 경력= 총 4년 이상 경력 요건
연매출 1,500억원 이상, 100만명 이상 정보주체, 5만명 이상 민감정보 보유기업 등 대상
종합적 역량 교육 추진중...CPO협의회 출범, CPO 직무 가이드라인 발간 등 계획
[보안뉴스 김경애 기자] 오는 3월 15일부터 전문성과 독립성이 강화된 개인정보보호책임자 CPO 지정요건 제도가 본격 시행된다. ①일정 규모 이상의 기관, 기업의 CPO라면 전문성을 갖춰야 한다는 것과 CPO 독립성 강화를 위한 ②개인정보처리자의 준수의무 규정 ③CPO협의회가 수행하는 공동사업의 범위 등이 규정됐다.
[이미지 = gettyimagesbank]
기존의 경우 개인정보보호법 제31조에 따라 개인정보처리자(개인정보 취급 기관 및 기업)는 개인정보 처리에 관한 업무를 총괄하고 책임지는 CPO를 지정해야 한다. 공공기관의 경우 CPO의 지정요건은 4급 이상, 민간기업은 대표 또는 임원이다. 소상공인의 경우 소상공인법 제2조에 따라 사업주 또는 대표자를 CPO로 지정한 것으로 본다.
①연간매출액 1500억원 이상 CPO, 개인정보보호 최소 2년+보안= 총 4년 이상 경력
그러나 앞으로는 일정 규모 이상의 경우 전문성이 요구된다. 일정 규모 이상의 기준은 △연간 매출액 또는 수입이 1,500억원 이상 △100만명 이상의 정보주체 △5만명 이상의 민감정보 또는 고유식별정보를 보유한 기업과 기관 △대학원 재학생 수를 포함해 학생수 2만명 이상 대학교 △상급종합병원 △공공시스템 운영기관 등이 적용 대상이다. 단, 순환보직 등으로 자격요건 적용이 곤란한 중앙행정기관, 자치단체, 각급 학교는 제외된다.
전문성을 갖춘 CPO 자격요건으로는 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합해 총 4년 이상 보유해야 하고, 그중 개인정보보호 경력을 최소 2년 이상 보유해야 한다.
CPO의 전문성이 요구되는 만큼 전문관리자 교육에도 관심이 모아지고 있다. CPO 전문관리자 교육에 대해 개인정보보호위원회 윤여진 자율보호정책과장은 “개인정보위는 공공·민간에서 개인정보보호 관리·감독 역할을 수행할 수 있는 현장 전문관리자 및 예비 전문인력 양성을 위한 법·제도, 기술 등 종합적 역량 교육을 추진 중에 있다”고 밝혔다.
주요 내용으로는 국내외 법제도 변경사항, 신기술 기반 개인정보 보호·활용 이슈 등 최신 트렌드 및 변화를 반영한 교육과정 개선과 신규 교재 개발 등이다.
그러면서 윤여진 과장은 “조직의 CPO와 개인정보보호 업무경력 보유자 대상으로 업무에 필요한 지식과 현장 활용도 높은 현장실습, 토론 등 심화교육을 운영 중에 있다”고 말했다.
②개인정보처리자의 준수의무 규정
CPO의 독립성 강화를 위한 개인정보처리자의 준수의무도 규정됐다. 규정된 사항은 ①개인정보 처리 관련 정보 접근보장 ②대표자 또는 이사회에 직접 보고 체계 구축 ③업무수행에 적합한 조직체계 및 인적·물적 자원 제공이다.
이는 CPO의 독립성 강화를 위한 것으로 개인정보보호법 제31조에 따라 개인정보처리자의 내부관리체계를 강화하고 자율규제를 활성화하기 위해 마련됐다.
이와 관련 윤여진 과장은 “개인정보보호책임자가 업무수행을 위해 필요한 경우에는 개인정보의 처리현황, 처리체계 등에 대해 수시로 조사하거나 관련 당사자로부터 보고를 받을 수 있고, 위반 사실을 인지한 경우 즉시 개선조치를 해야 한다”며 “필요하면 소속기관 또는 단체의 장에게 개선조치를 보고해야 한다”고 설명했다.
이어 윤여진 과장은 “처리자의 부당한 지시에 대한 CPO의 불이행을 이유로 한 불이익을 금지하고, CPO가 처리자의 입장과 반대되는 의견을 제시하더라도 정당한 이유없이 인사상 불이익을 받지 않도록 하는 등 처리자에게 CPO 업무수행의 독립성을 보장할 의무를 부과하고 있다”고 덧붙였다.
개인정보위 자율보호정책과에서는 CPO의 전문성과 독립성 강화를 위한 지원 정책으로 CPO 직무 가이드라인(가칭)을 상반기 중 발간할 계획이다. 또한 윤 과장은 “CPO 제도 시행 과정에서 홍보·교육 등을 병행하고, 이해관계자 의견을 적극 수렴하면서 개선사항을 발굴해 나갈 것”이라고 밝혔다.
③CPO협의회가 수행하는 공동사업의 범위 규정
다음으로 CPO협의회가 수행하는 공동사업의 범위가 규정됐다. ①CPO 지정·운영 등 현황 파악 및 제도 개선 ②대표자 또는 이사회에 직접 보고 체계 구축 ③업무 수행에 적합한 조직체계 및 인적·물적 자원 제공이다.
개인정보보호법 제31조제7항에서는 개인정보처리자가 개인정보의 안전한 처리 및 보호, 정보 교류 등을 위해 CPO를 구성원으로 하는 CPO협의회를 구성·운영할 수 있도록 규정하고 있다.
이에 따라 CPO협의회 구성·운영과 출범에도 관심이 높아지고 있다. 이에 대해 윤여진 과장은 “시행령 개정을 통해 개인정보위의 CPO협의회 운영과 사업에 필요한 행정적·기술적 지원 근거를 마련했다”며, “올 상반기 중 CPO협의회 출범을 목표로 속도감 있게 협의를 진행하겠다”고 밝혔다.
또한 전문 CPO 제도가 최초 시행되는 만큼 현실적인 문제점 등을 고려한 향후 계획에 대해 윤여진 과장은 “업계 의견을 반영하고, 전문 CPO 지정대상과 자격요건에 대해 합리적으로 조정할 방침”이라며 “지정된 CPO에 대해서는 시행 후 2년 이내에 개정 규정에 따른 자격요건을 갖출 수 있도록 유예기간을 부여할 계획”이라고 말했다.
[김경애 기자(boan3@boannews.com)]
연매출 1,500억원 이상, 100만명 이상 정보주체, 5만명 이상 민감정보 보유기업 등 대상
종합적 역량 교육 추진중...CPO협의회 출범, CPO 직무 가이드라인 발간 등 계획
[보안뉴스 김경애 기자] 오는 3월 15일부터 전문성과 독립성이 강화된 개인정보보호책임자 CPO 지정요건 제도가 본격 시행된다. ①일정 규모 이상의 기관, 기업의 CPO라면 전문성을 갖춰야 한다는 것과 CPO 독립성 강화를 위한 ②개인정보처리자의 준수의무 규정 ③CPO협의회가 수행하는 공동사업의 범위 등이 규정됐다.
[이미지 = gettyimagesbank]
기존의 경우 개인정보보호법 제31조에 따라 개인정보처리자(개인정보 취급 기관 및 기업)는 개인정보 처리에 관한 업무를 총괄하고 책임지는 CPO를 지정해야 한다. 공공기관의 경우 CPO의 지정요건은 4급 이상, 민간기업은 대표 또는 임원이다. 소상공인의 경우 소상공인법 제2조에 따라 사업주 또는 대표자를 CPO로 지정한 것으로 본다.
①연간매출액 1500억원 이상 CPO, 개인정보보호 최소 2년+보안= 총 4년 이상 경력
그러나 앞으로는 일정 규모 이상의 경우 전문성이 요구된다. 일정 규모 이상의 기준은 △연간 매출액 또는 수입이 1,500억원 이상 △100만명 이상의 정보주체 △5만명 이상의 민감정보 또는 고유식별정보를 보유한 기업과 기관 △대학원 재학생 수를 포함해 학생수 2만명 이상 대학교 △상급종합병원 △공공시스템 운영기관 등이 적용 대상이다. 단, 순환보직 등으로 자격요건 적용이 곤란한 중앙행정기관, 자치단체, 각급 학교는 제외된다.
전문성을 갖춘 CPO 자격요건으로는 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합해 총 4년 이상 보유해야 하고, 그중 개인정보보호 경력을 최소 2년 이상 보유해야 한다.
CPO의 전문성이 요구되는 만큼 전문관리자 교육에도 관심이 모아지고 있다. CPO 전문관리자 교육에 대해 개인정보보호위원회 윤여진 자율보호정책과장은 “개인정보위는 공공·민간에서 개인정보보호 관리·감독 역할을 수행할 수 있는 현장 전문관리자 및 예비 전문인력 양성을 위한 법·제도, 기술 등 종합적 역량 교육을 추진 중에 있다”고 밝혔다.
주요 내용으로는 국내외 법제도 변경사항, 신기술 기반 개인정보 보호·활용 이슈 등 최신 트렌드 및 변화를 반영한 교육과정 개선과 신규 교재 개발 등이다.
그러면서 윤여진 과장은 “조직의 CPO와 개인정보보호 업무경력 보유자 대상으로 업무에 필요한 지식과 현장 활용도 높은 현장실습, 토론 등 심화교육을 운영 중에 있다”고 말했다.
②개인정보처리자의 준수의무 규정
CPO의 독립성 강화를 위한 개인정보처리자의 준수의무도 규정됐다. 규정된 사항은 ①개인정보 처리 관련 정보 접근보장 ②대표자 또는 이사회에 직접 보고 체계 구축 ③업무수행에 적합한 조직체계 및 인적·물적 자원 제공이다.
이는 CPO의 독립성 강화를 위한 것으로 개인정보보호법 제31조에 따라 개인정보처리자의 내부관리체계를 강화하고 자율규제를 활성화하기 위해 마련됐다.
이와 관련 윤여진 과장은 “개인정보보호책임자가 업무수행을 위해 필요한 경우에는 개인정보의 처리현황, 처리체계 등에 대해 수시로 조사하거나 관련 당사자로부터 보고를 받을 수 있고, 위반 사실을 인지한 경우 즉시 개선조치를 해야 한다”며 “필요하면 소속기관 또는 단체의 장에게 개선조치를 보고해야 한다”고 설명했다.
이어 윤여진 과장은 “처리자의 부당한 지시에 대한 CPO의 불이행을 이유로 한 불이익을 금지하고, CPO가 처리자의 입장과 반대되는 의견을 제시하더라도 정당한 이유없이 인사상 불이익을 받지 않도록 하는 등 처리자에게 CPO 업무수행의 독립성을 보장할 의무를 부과하고 있다”고 덧붙였다.
개인정보위 자율보호정책과에서는 CPO의 전문성과 독립성 강화를 위한 지원 정책으로 CPO 직무 가이드라인(가칭)을 상반기 중 발간할 계획이다. 또한 윤 과장은 “CPO 제도 시행 과정에서 홍보·교육 등을 병행하고, 이해관계자 의견을 적극 수렴하면서 개선사항을 발굴해 나갈 것”이라고 밝혔다.
③CPO협의회가 수행하는 공동사업의 범위 규정
다음으로 CPO협의회가 수행하는 공동사업의 범위가 규정됐다. ①CPO 지정·운영 등 현황 파악 및 제도 개선 ②대표자 또는 이사회에 직접 보고 체계 구축 ③업무 수행에 적합한 조직체계 및 인적·물적 자원 제공이다.
개인정보보호법 제31조제7항에서는 개인정보처리자가 개인정보의 안전한 처리 및 보호, 정보 교류 등을 위해 CPO를 구성원으로 하는 CPO협의회를 구성·운영할 수 있도록 규정하고 있다.
이에 따라 CPO협의회 구성·운영과 출범에도 관심이 높아지고 있다. 이에 대해 윤여진 과장은 “시행령 개정을 통해 개인정보위의 CPO협의회 운영과 사업에 필요한 행정적·기술적 지원 근거를 마련했다”며, “올 상반기 중 CPO협의회 출범을 목표로 속도감 있게 협의를 진행하겠다”고 밝혔다.
또한 전문 CPO 제도가 최초 시행되는 만큼 현실적인 문제점 등을 고려한 향후 계획에 대해 윤여진 과장은 “업계 의견을 반영하고, 전문 CPO 지정대상과 자격요건에 대해 합리적으로 조정할 방침”이라며 “지정된 CPO에 대해서는 시행 후 2년 이내에 개정 규정에 따른 자격요건을 갖출 수 있도록 유예기간을 부여할 계획”이라고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
