개인정보보호위원회(개인정보위)가 '개인정보 보호책임자(CPO)'의 전문성 강화를 위해 '자격요건을 갖춘 CPO(이하 전문CPO)' 지정 제도를 본격 시행함에 따라 '개인정보 보호책임자 경력 인정에 관한 고시'(이하 고시)를 마련했다.
개인정보 보호법 개정으로 지난 3월 15일부터 전문CPO 지정 제도가 시행됨에 따라 대규모 또는 민감한 개인정보를 처리하는 개인정보처리자는 일정자격을 갖춘 CPO를 반드시 지정하여야 한다.
적용 대상
① 연 매출액 또는 수입이 1500억 원 이상인 자로서 100만 명 이상 개인정보 또는 5만 명 이상 민감·고유식별정보를 처리하는 자
② 재학생 수 2만 명 이상인 대학(대학원 재학생 수 포함)
③ 대규모 민감정보(건강정보)를 처리하는 상급종합병원
④ 공공 시스템 운영 기관
자격 요건
개인정보 보호 경력, 정보 보호 경력, 정보 기술 경력을 합하여 총 4년 이상 보유
(그 중 개인정보 보호 경력을 최소 2년 이상 보유)
시행령에서 개인정보 보호 및 정보 보호, 정보 기술 분야별 학위의 종류에 따라 6개월~2년의 경력 인정 기간을 명시했고 고시에서는 자격 현황 및 검정 수준 등을 고려하여 경력으로 인정이 가능한 자격과 인정 기간을 정했다. 또한 개인정보위가 실시하는 CPO 교육 과정을 이수한 경우 최대 3개월의 범위에서 개인정보 보호 경력으로 인정하도록 하여 이수교육의 근거도 마련했다.
고시는 4월 2일자로 시행되며 개인정보위는 전문CPO 지정 제도의 안정적 정착을 위해 법령 개정 사항을 반영한 '(가칭)CPO 업무 가이드라인'을 상반기 중 발간할 계획이다.
양청삼 개인정보위 개인정보정책국장은 "CPO가 업무를 독립적으로 수행할 수 있도록 보장하여 개인정보 처리자가 사업 기획 단계부터 프라이버시를 고려하도록 유도하고 나아가 공공·민간 부문의 개인정보 거버넌스 체계에 실질적 변화를 불러올 수 있기를 기대한다"고 말했다.
