최근 개인정보·데이터 보안 위기가 심화되면서 개인정보보호위원회는 개인정보·데이터 관련 리스크에 체계적으로 대응할 수 있는 조직 내부의 개인정보 보호 업무의 중요성을 강조하고 있습니다. 구체적으로 조직 차원의 데이터 보안 역량 강화를 위해 개인정보 보호법령을 개정하고 CPO의 독립성 보장 및 CPO에 의한 내부통제 강화, CPO협의회를 통한 상호 간 협력 확대, 개인정보 거버넌스 구축 및 운영 등을 주문하고 있습니다. 

CPO 제도와 관련한 주요 정책 수립 동향 등은 아래에서 더 자세히 살펴보도록 하겠습니다. 

1. CPO 관련 개인정보 보호법령의 개정

CPO는 개인정보 보호 계획의 수립 및 시행, 개인정보 처리 실태조사, 개인정보 관련 고충처리 등 조직 내 개인정보 처리에 관한 업무를 총괄해서 책임지는 자입니다.  최근 데이터 유출 등 사고로 인해 부수적인 피해가 심화되면서 조직 내 CPO의 전문성 강화가 필요하다는 지적이 꾸준히 제기되어 왔고, 이에 개인정보보호위원회는 2024년 3월 개인정보 보호법 시행령을 개정하여 CPO의 자격요건을 도입하였습니다. 

개정 개인정보 보호법 시행령에 의하면 일정 기준 이상의 개인정보처리자는 개인정보 보호 경력, 정보보호 경력, 정보기술 경력을 합하여 총 4년 이상의 경력을 보유한 자를 CPO로 지정하여야 합니다(제32조제4항). CPO는 각각의 경력을 모두 보유해야 하는 것은 아니나 2년 이상의 개인정보 보호 경력은 반드시 보유하고 있어야 합니다.¹  

또한, 2023년 3월 개인정보 보호법 개정을 통하여 개인정보처리자에게 CPO가 업무를 독립적으로 수행할 수 있도록 보장하여야 할 의무가 새롭게 부과되었으며, CPO 간 교류협력을 활성화하기 위한 개인정보 보호책임자 협의회의 구성·운영 근거 및 이에 대한 개인정보보호위원회의 지원 근거도 마련되었습니다. 관련하여 시행령은 개인정보처리자가 CPO의 독립성을 보장하기 위해 준수하여야 하는 사항으로 ① 개인정보 처리 관련 정보에 대한 접근 보장, ② CPO가 개인정보 보호 계획의 수립·시행 및 그 결과에 관하여 정기적으로 대표자 또는 이사회에 직접 보고할 수 있는 체계의 구축, ③ 업무수행에 적합한 조직체계 마련 및 인적·물적 자원의 제공을 명시하고 있습니다.

2. 제재 사례를 통한 CPO 역할 강화 요구

개인정보보호위원회는 2024년 12월 11일 적법한 동의 없이 개인정보를 마케팅에 이용한 사안에 대하여 제재 처분을 하면서 “개인정보 보호책임자(CPO)의 내부통제 미흡”을 지적한 바 있습니다. 동 사안에서는 마케팅 부서에서 개인정보 수집·이용에 관한 동의 절차를 기획하면서, CPO의 검토 등 내부통제가 제대로 작동하지 않은 것이 확인되었으며 이에 따라 CPO의 내부통제 절차가 적정하게 이루어지고 독립적인 역할을 수행할 수 있도록 하는 내용의 시정명령이 부과되었습니다. 이와 같은 제재 처분 사례는 CPO가 개인정보 유출을 방지하기 위한 안전조치뿐만 아니라 적법한 개인정보 처리를 위한 내부통제 시스템 구축 등도 책임지고 수행하여야 한다는 점을 개인정보보호위원회가 분명히 밝힌 것으로 평가됩니다.

뿐만 아니라, 랜섬웨어를 통한 개인정보 유출 사고가 발생한 사안에 대하여 개인정보보호위원회는 2024년 5월 8일 제재처분을 하면서 “회사 내 처리되는 개인정보 처리 흐름을 면밀히 분석하여 내부관리계획을 재정립하고, 공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 제반 안전조치의무를 준수하는 한편 피심인이 관리하는 개인정보가 안전하게 처리될 수 있도록 개인정보 보호책임자의 위상과 역할을 강화할 것“을 시정명령에 포함한 바 있습니다. 

3. 한국개인정보보호책임자협의회의 출범 및 CPO 핸드북의 발간

앞서 살펴본 바와 같이 개인정보 보호법령에 CPO 간 교류협력을 활성화하기 위한 개인정보 보호책임자 협의회의 구성·운영 근거가 마련된 이후 2024년 9월 12일 민·관 107개 기관 소속 CPO가 참여한 한국개인정보보호책임자협의회가 출범하였습니다. 

이에 더해 개인정보보호위원회와 한국개인정보보호책임자협의회는 2024년 11월 19일 개인정보 보호 및 활용에 필요한 법적 의무 이행 시 CPO가 고려해야 할 사항과 대응 방안에 대한 이해를 돕기 위해 CPO 핸드북을 발간하였습니다. CPO 핸드북은 CPO의 역할과 업무는 기업·기관의 규모 및 조직형태, 산업 분야 및 사업부문 등에 따라 상이할 수 있으므로 기업은 동 핸드북을 탄력적으로 활용할 필요가 있다고 설명하고 있으며, CPO가 업무를 수행하면서 참고할 수 있는 업무 수행 지침으로서 실질적 역할을 할 수 있을 것이라고 평가되고 있습니다.

4. 시사점

• CPO의 역할 및 책임을 강화하려는 정부기관의 정책 수립 동향을 살펴볼 때, 기업은 데이터 관련 리스크의 효율적 관리를 위하여 CPO가 개인정보 처리에 관한 총괄책임자로서 실질적 역할을 수행할 수 있도록 보장할 필요가 있으며, 개인정보 유출·침해사고의 효과적인 예방과 대응을 위해 경영진의 합리적 의사결정을 유도할 수 있는 개인정보 처리 업무의 개선이 필요합니다.
   
• 개정 법에 따른 CPO의 독립성 강화는 전사 차원의 조직 개편이 필요한 사안으로 조직 자체적으로 개인정보 보호를 위한 의사 결정 및 책임에 관한 프레임워크를 구축할 필요가 있음이 강조되고 있으므로, 기업은 CPO가 독립적인 권한과 책임을 통해 개인정보 보호 관련 업무를 원활히 수행할 수 있는 적합한 조직체계를 마련하기 위해 인적·물적 자원을 적극 활용해야 할 것입니다. 
   
• 특히, 개인정보보호위원회는 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때에는 책임이 있는 자(대표자 및 책임있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있으므로(법 65조 제2항), 이러한 징계 리스크까지 고려하면 향후 CPO에 의한 적합한 개인정보 보호 내부통제 시스템 구축 및 점검은 필수적이라고 볼 수 있습니다.
   
• 이와 같은 개인정보보호에 관한 법 위반 리스크를 점검하고 이를 최소화하는 관리체계 및 프레임워크를 구축하기 위해서는 정부기관의 정책 수립 동향에 대한 모니터링, 관계 법령에 대한 명확한 이해, 개인정보 거버넌스에 대한 전문지식 등이 요구됩니다. 이러한 점에서 기업들로서는 로펌 등 외부 전문가 그룹을 통한 법적, 정책적 자문을 적극 활용할 필요가 있겠습니다.

About Shin & Kim’s ICT Group 개인정보데이터팀, AI센터

법무법인(유) 세종은 개인정보 분야에 차별화된 전문성과 인적 네트워크(윤종인 전 개인정보보호위원회 위원장, 김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관 등)를 보유하고 있으며, 기업들을 위하여 개인정보보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보보호 컴플라이언스 체계 수립 등 개인정보보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 최근 발간된 개인정보보호위원회·한국개인정보보호책임자협회(KCPO)의 CPO 핸드북의 감수 및 집필에 참여하는 등 조직 내 개인정보 거버넌스 구축에 전문성을 보유하고 있습니다. 또한 개인정보 보호법 제2차 개정 및 하위법령 제정, 관련 제도개선에 있어 민간영역에서 주도적인 역할을 수행한 바 있으며, 가명정보, 데이터 활용, ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.

¹ 다만, 개정된 자격 기준은 2024년 3월 15일부터 시행 중이나, 시행일 당시 종전 기준에 따라 CPO를 지정한 경우에는 시행일부터 2년 동안 자격요건의 유예기간이 적용되어 2026년 3월 14일까지는 자격요건을 갖춘 것으로 간주되므로 2026년 3월 15일부터는 자격요건을 갖춘 CPO를 지정하여야 합니다.