CPO의 역할과 개인정보보호강화를 위한 업무

개인정보보호에 대한 사회적 관심이 높아지고 있습니다.

각 기관, 기업별로 최고 개인정보 보호 책임자인 CPO를 지정하고 있는데요.

CPO에 대한 이해를 돕는 포스팅 해보겠습니다.

 

목차
CPO란 무엇인가?
CPO의 역할
CPO의 조직내 개인정보보호 관련 역할

 

 

 

 

CPO란 무엇인가?

기업과 기관에서 개인정보 보호 정책과 시스템을 총괄하고, 법령 준수 및 침해대응을 책임지는 C-level 직책입니다. 

최근 개인정보보호법 개정으로 전문 CPO 지정 자격 요건이 강화돼 기업에서 핵심 역할로 부각되고 있습니다.

 

 

CPO의 역할
CPO는 조직 내부적으로 개인정보 보호 정책 위반 사항 확인 시 개인정보 유출 등의 사고로 확대되지 않도록 즉각적인 개선 조치 및 재발방지 대책을 마련할 필요가 있습니다. 개인정보 보호 정책 위반 사례 확인은 개인정보처리시스템 점검, 개인정보 내부 관리 계획 이행 점검, 민원 접수 등을 통해 확인이 가능합니다.

위반 행위 예시로는 개인정보 관리 및 보호 활동 소홀, 개인정보 부정 이용, 무단 조회 및 열람 등이 있으며, CPO는 사실 확인 조사를 위해 관련 자료 제출 및 소명 요청 절차를 수립하고, 위반 사례가 확인되면 즉각적으로 개선 조치를 시행합니다. 만약 위반 행위가 형사처벌 대상에 해당한다면, CPO는 법무 부서 및 인사 부서와 협의하여 고발 여부를 검토합니다.

다음으로 CPO는 인사 부서와 협의하여 개인정보 보호 정책 위반 시 징계 기준과 절차를 마련하고, 개인정보의 민감도, 고의성, 과실정도 등 사안의 경중에 따라 적절한 징계 조치를 마련해야 합니다. 그리고 재발 방지 방안을 수립하여 유사 사례가 발생하지 않도록 해당 부서 임원에게 재발 방지에 대한 방안 수립을 요청합니다. 또한, 주요 위반 및 징계 사례를 조직 내에서 전파하여 개인정보 취급자의 경각심을 제고하도록 합니다.

CPO는 인증·평가 심사 대응의 총괄 책임자로서, 관련부서와의 협조체계 구축 후 인증·평가 심사과정에 적극 참여하며, 인증·평가 이후 개선조치 사항에 대해 신속 대응할 필요가 있습니다. 외부 인증·평가 심사 대응은 인증·평가 대상이 되는 경우, 심사에 효과적으로 대응하기 위해 조직 내 대응 인력, 예산, 보고체계 등의 현황 관리가 필요합니다. 이러한 인증·평가 유형에는 개인정보 보호수준 평가, 공공기관 개인정보 영향평가(PIA), 개인정보 처리방침 평가, 정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증, ISO/IEC 27701, CBPR 등이 있습니다.

인증·평가 심사 사전 준비를 위한 대응계획은 인증·평가 심사대응 계획을 수립하여 체계적으로 준비해야 합니다. 고려사항으로는 전체 진행 절차 및 일정, 평가기준, 관련 부서, 소요 자원(인력, 예산) 등을 확인하여 준비하고, 내부 조직 인력으로 수행이 어려운 경우에는 외부 전문가나 전문 업체를 활용하여 준비를 검토할 수 있습니다.

심사준비는 개인정보 보호 조직을 중심으로 개인정보 처리 관련 부서와 긴밀한 협력체계 구축이 필요합니다. 이를 위해 인증·평가 기준을 분석하고, 개인정보 보호 부서 등 관련 부서와 역할 분담과 업무 협조가 이루어지도록 해야 합니다.

그리고 조직 차원에서는 인증·평가 심사 담당 부서와 구성원의 역량 강화를 위한 노력이 필요합니다. 이를 위해 관련 교육과 세미나에 적극 참여하도록 유도하고, 인증·평가 심사의 직·간접적인 참여 기회를 제공하도록 합니다. 또한 인증·평가 기준에 따른 현황 분석과 점검 수행에 따른 증적자료를 마련하여 인증평가 심사 준비를 해야 합니다. 현황 분석 후 발견된 미흡사항에 대해서는 개선 조치를 취하고, 이에 대한 대책도 마련해야 합니다.

다음으로 외부 인증·평가 심사 시, CPO는 심사의 원활한 진행을 위해 인증·평가 심사 착수 회의에 참여하여 적극적으로 지원하고 협조합니다. 또한, CPO는 인증·평가 심사 종료 회의에 참여하여 심사 중 지적된 미흡사항을 확인하고, 이에 대한 최종 승인을 진행하도록 합니다.

마지막으로 외부 인증·평가 심사 후 사후관리에 대해 알아보겠습니다. CPO는 심사에서 지적된 미흡사항에 대해 개선조치 계획을 수립하고, 이를 유관 부서와 협의하여 이행을 안내합니다. 이후, 개선조치가 완료되면 개선조치 결과서를 통해 개선조치 결과를 인증·평가 수행 기관에 통보합니다. 그리고 유사 미흡사항의 재발 방지를 위해 관리체계를 수립하고, 임직원들의 인식 제고와 향상을 위해 노력해야 합니다.


CPO의 조직내 개인정보보호 관련 역할

개인정보 자율보호 문화확산

개인정보보호 자율규제는 개인정보보호 문화 확산과 국민의 개인정보 권리 보장을 목적으로 민간 스스로 개인정보보호를 위한 규약을 만들어 준수하는 자발적 규제 활동입니다. 이러한 자율 규제를 통해 업계의 산업적 특성에 맞춰 공통적인 개인정보 위험 요소에 대해 동종 업계 처리자들이 연대하여 효과적인 위험관리가 가능합니다.

다음으로 자율규제의 수행방식을 살펴보겠습니다. 자율규제는 업종별 협회나 단체가 '자율규제단체'로 지정되어, 분야별 자율규약을 수립하고 이를 매년 점검하여 개선하는 방식으로 진행됩니다. 개인정보보호위원회는 자율규제단체와 그 회원사에게 인센티브 부여 등 자율 규제 활동을 적극적으로 지원합니다. 가령, 우수 회원사에게는 자율규제 관련 자료 제출 요구가 1년 면제되거나, 과징금 및 과태료가 감경되는 등의 혜택이 주어지기도 하고, 개인정보 보호에 기여한 사람들에게는 포상이 주어집니다.

이러한 활동들은 민간 주도의 개인정보보호 자율규제 체계가 확산되도록 만듭니다. CPO는 동종업계의 개인정보 위험 공동대응을 위해 소속 협회 등에 개인정보 자율규제 활동 참여를 제안하고, 해당 업종의 CPO들과의 연대를 고려하는 것이 바람직합니다.

개인정보 보호법 제31조제7항에서는 개인정보처리자가 개인정보의 안전한 처리·보호, 정보의 교류 및 공동 사업 수행을 위하여 CPO를 구성원으로 하여 CPO 협의회를 구성ㆍ운영 할 수 있도록 규정하고 있습니다. 이러한 CPO 협의회의 공동 사업으로는 시행령 제32조의2에서 규정된 바와 같이 개인정보 보호 강화를 위한 정책 연구 및 수립 지원, 개인정보 침해사고 분석과 대책 연구, 개인정보 보호책임자 지정 및 운영 실태 파악, 교육을 통한 개인정보 보호책임자의 역량 및 전문성 향상, 그리고 국내외 동향 조사와 분석을 통한 공유 등이 있을 수 있습니다.

특히, 공공시스템운영기관은 공공시스템 운영 수탁사 등과 공공시스템의 안전성 확보 조치 이행상황 점검 및 개선에 관한 사항을 협의하기 위하여 공공시스템운영협의회를 공공시스템별로 설치ㆍ운영해야 합니다.

이때 CPO 협의회는 개인정보보호 관련 주요 동향 파악, CPO 역량 및 전문성 강화 기회 등으로 활용 가능하므로 조직 및 개인정보처리 특성을 고려하여 협의회 참여 여부를 결정할 수 있습니다.

CPO는 인식제고 향상을 위해 어떤 노력을 해야 할까요? 예를 들어, 사내에서 포스터 부착이나 퀴즈 이벤트와 같은 다양한 개인정보 보호 캠페인 등을 기획하여 개인정보 보호에 대한 인식을 높일 수 있습니다. 또한, 개인정보 보호 인식주간(매년 9월 마지막 주)과 개인정보 보호의 날(매년 9월 30일, 법정 기념일)과 같은 특별한 날을 활용해 직원들에게 개인정보 보호의 중요성을 전달할 수 있습니다. 침해 사고 사례를 전파하고, 개인정보 보호 수칙을 쉽게 이해하고 실무에 적용할 수 있는 환경을 조성하는 것도 중요합니다.

그 밖에도 개인정보보호 홍보 컨텐츠 제작 및 게재, 임직원 참여 이벤트, 정보주체 대상 이벤트와 같은 다양한 개인정보 보호 인식제고 활동이 있습니다.

ESG(환경·사회·지배구조) 경영은 기업의 미래 경쟁력을 결정짓는 중요한 기준으로 떠오르고 있으며, 개인정보 보호는 사회적 책임과 지속 가능성에 직접적인 영향을 미치는 핵심 ESG 성과 지표로 인식되고 있습니다. 따라서, CPO는 조직이 ESG 경영을 위한 진단 항목을 설계할 때 개인정보 보호와 관련된 항목이 반영되도록 건의하여 개인정보 보호 활동이 기업의 지속 가능한 경영 가치의 일환으로 전개되도록 추진하는 것이 좋습니다.

개인정보보호 관련 ESG 진단 항목의 예시를 들어볼까요? 먼저 개인정보보호를 위한 자율적 노력 및 활동의 일환으로 개인정보 자기결정권을 보장하기 위해 법적 준수 사항 외에도 자율적으로 수행하는 활동과 노력을 확인합니다. 이를 확인하기 위한 활동으로 개인정보 보호 중심 설계, ISMS-P 인증 획득, 자율규제 활동 참여, 투명성 보고서 발간 등이 있습니다.

다음으로 개인정보 침해 및 구제의 측면에서 조직이 관리하고 있는 고객, 협력사 등 다양한 이해관계자의 개인정보 침해에 대한 법/규제 요건을 명확하게 인식하고, 개인정보 침해 사건이 발생하였을 경우 이에 대한 구제 활동을 추진하는지 확인합니다. 이 항목은 법상 형벌, 행정상 처분(금전적, 비금전적)에 대해 가중치를 달리 적용하는 방식으로 ‘개인정보 침해 및 구제’ 현황을 점검하는 것 등이 해당될 수 있습니다.

01. 개인정보 활용 안전조치

 CPO는 개인정보 침해 위협에 대응하여 개인정보 처리에 수반되는 위험을 식별하고 평가하여 적절한 대책을 마련하고 자원을 효율적으로 배치·활용하는 등  개인정보 위험을 체계적으로 관리할 필요가 있음

 CPO는 개인정보 처리에 수반되는 새롭고 다양한 위험에 효과적·선제적으로 대응할 수 있도록 개인정보 보호 중심 설계 원칙(PbD)을 확립하고 조직에 적합한 절차를 수립·이행할 필요가 있음

 데이터 3법 개정에 따라 정보주체 동의 없이 개인정보를 안전하게 활용할 수 있는 가명정보 제도가 도입되었으므로, CPO는 전사적인 데이터 거버넌스를 고려하여 가명정보 관리체계를 수립하고 가명정보의 안전한 활용을 지원·촉진할 필요가 있음

CPO는 인공지능 등 신기술 도입 개발·도입에 따른 개인정보 위험을 PbD, 개인정보 영향평가 등을 통해 선제적으로 대응할 필요가 있음(사전적정성 검토제·안전하고 적법한 행태정보 처리 및 관리·규제 샌드박스 제도 등)

 

02. 개인정보 침해 대응 및 인증·평가 대응

개인정보 침해 민원은 개인정보처리자의 잠재적 법률 위반 행위 혹은 개인정보 유 · 노출 사고의 징후일 가능성이 있으며, CPO는 신속한 대응 체계 구축 및  운영할 필요가 있음

· 내부접수 민원: 인터넷 등을 통한 전파 가능성이 있으므로 동일민원에 대해서는 동일한 답변을 제공
· 외부접수 민원: 개인정보 보호 담당 부서에서 사실 확인서 작성 및 유관 부서 논의 후 CPO 승인을 거쳐 제출

 CPO는 개인정보 유출 등의 사고 발생 시 신속한 대응 및 조치를 통한 피해확산 방지, 정보주체에 대한 피해구제를 위해 사고 대응 매뉴얼 개발, 모의훈련 실시, 사고 대응 역량 강화 등 사고 대응을 총괄하여 수행할 필요가 있음

 CPO는 조직 내부적으로 개인정보 보호 정책 위반 사항 확인 시 개인정보 유출 등의 사고로 확대되지 않도록 즉각적인 개선 조치 및 재발방지 대책을 마련

 CPO는 인증·평가 심사 대응의 총괄 책임자로서, 관련부서와의 협조체계 구축 후 인증·평가 심사과정에
 적극 참여하며, 인증·평가 이후 개선조치 사항에 대해 신속 대응해야 함

03. 개인정보 자율보호 문화확산

 개인정보보호 자율규제란, 개인정보보호 문화 확산과 국민의 개인정보 권리 보장을 목적으로 민간 스스로 개인정보보호를 위한 규약을 만들어 준수하는  자발적 규제 활동으로 업종별 협 · 단체를 ‘자율규제단체’로 지정하고 분야별 자율규약을 수립 · 이행하여 매년 자율 점검을 실시하고 개선 지원(법 제13조 및 개인정보보호 자율규제단체 지정 등에 관한 규정)

개인정보처리자는 CPO를 구성원으로 하여 개인정보의 안전한 처리·보호, 정보의 교류 및 공동 사업 수행을 위하여 CPO 협의회를 구성·운영 할 수 있으며, 개인정보보호 관련 주요 동향 파악, CPO 역량 및 전문성 강화 기회 등으로 활용 가능하므로 조직 및 개인정보처리 특성을 고려하여 협의회  참여 여부를 결정할 수 있음

 조직이 ESG 경영을 위한 진단 항목 설계 시, CPO는 개인정보 보호 관련 항목을 반영되도록 건의하여 개인정보 보호 활동이 기업의 지속가능한 경영 가치의 일환으로 전개되도록 추진할 필요

 

 

출처:뉴스핌