3월 15일, ‘자격요건 갖춘 CPO’ 지정제 시행…대규모, 민감 개인정보 처리자 CPO 지정해야
전문 CPO…개인정보보호 및 정보보호 경력 등 4년 이상, 개인정보보호 경력 2년 이상 자격
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 ‘개인정보 보호책임자’(이하 CPO)의 전문성 강화를 위해 ‘자격요건을 갖춘 CPO’(이하 전문CPO) 지정 제도를 본격적으로 시행하면서 ‘개인정보 보호책임자 경력 인정에 관한 고시’(이하 고시)를 마련했다.
▲개인정보보호위원회 로고[로고=개인정보위]
개인정보 보호법 개정으로 올해 3월 15일부터 전문CPO 지정 제도가 시행됨에 따라 대규모 또는 민감한 개인정보를 처리하는 개인정보처리자는 일정 자격을 갖춘 CPO를 반드시 지정해야 한다.
전문 CPO 지정 적용 대상은 △연 매출액 또는 수입이 1,500억원 이상인 자로서, 100만명 이상 개인정보 또는 5만명 이상 민감·고유식별정보를 처리하는 자 △재학생 수 2만 명 이상인 대학(대학원 재학생 수 포함) △대규모 민감정보(건강정보)를 처리하는 상급종합병원 △공공시스템운영기관 등이다. 전문 CPO의 자격요건은 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합해 총 4년 이상의 기간이면 가능하고, 그 가운데 개인정보보호 경력을 최소 2년 이상 보유하고 있어야 한다.
▲전문 CPO 지정 적용대상[자료=개인정보위]
이번에 마련한 고시에서는 전문CPO 경력으로 인정될 수 있는 자격범위를 구체화했다. 시행령에서 개인정보보호 및 정보보호·정보기술 분야별 학위의 종류에 따라 6개월~2년의 경력 인정기간을 명시했다. 이어 고시에서는 자격현황 및 검정수준 등을 고려해 경력으로 인정이 가능한 자격과 인정기간을 정했다. 또한 개인정보위가 실시하는 CPO 교육과정을 이수한 경우에는 최대 3개월의 범위에서 개인정보보호 경력으로 인정하도록 해, 이수교육의 근거도 마련했다.
이번 고시는 4월 2일자로 시행될 예정이며, 개인정보위는 전문CPO 지정 제도의 안정적 정착을 위해 법령 개정 사항을 반영한 (가칭)‘CPO 업무 가이드라인’을 상반기 안에 발간할 계획이다.
▲전문 CPO 경력 인정 요건[자료=개인정보위]
개인정보위 양청삼 개인정보정책국장은 “CPO가 독립적으로 업무를 수행할 수 있도록 보장해 개인정보처리자가 사업기획 단계부터 프라이버시를 고려하도록 유도하고, 나아가 공공·민간 부문의 개인정보 거버넌스 체계에 실질적 변화를 불러올 수 있기를 기대한다”고 말했다.
[김영명 기자([email protected])]
