CPO 자격요건 경력 4년, 학위·전문자격으로도 채운다

고학수 개인정보보호위원회 위원장이 14일 오후 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 제3차 전체회의에서 의사봉을 두드리고 있다. 2024.2.14./사진=뉴스1

개정 개인정보보호법에 따라 지정되는 CPO(개인정보 보호책임자)가 필수 자격요건인 '관련 경력 합계 4년'을 학위·자격 등으로 대체할 수 있게 된다.

개인정보보호위원회는 '전문 CPO 지정제도' 도입에 따라 제정된 '개인정보 보호책임자 경력 인정에 관한 고시'가 오는 2일 시행된다고 1일 밝혔다.

지난달 15일 시행된 개정 개인정보보호법과 시행령은 연 매출·수입이 1500억원 이상이면서 100만명 이상의 개인정보나 5만명 이상의 민감·고유식별정보를 처리하는 기업·기관, 학부·대학원 재학생 2만명 이상인 대학교, 상급종합병원과 공공시스템 운영기관이 일정 자격을 갖춘 CPO를 지정하도록 의무화하는 '전문 CPO 지정제도'가 포함됐다.

법령상 CPO의 자격요건은 '개인정보보호 경력을 최소 2년 이상 보유하면서 개인정보보호·정보보호·IT(정보기술) 분야를 합쳐 4년 이상의 경력을 보유한 인력'이다. 개인정보위는 경력으로 인정될 수 있는 자격의 범위를 고시로 구체화했다.

고시에 따라 개인정보보호·정보보호·IT 분야 박사는 각 분야에서 2년 경력을 쌓은 것으로 인정받을 수 있게 됐다. 각 분야 석사는 1년, 학사는 6개월까지 경력이 인정된다.

개인정보보호 분야에선 △ISMS(정보보호 관리체계)·ISMS-P(정보보호 및 개인정보보호 관리체계) 인증심사원 △개인정보 영향평가 전문인력 △변호사가 경력을 1년까지 인정받을 수 있다. 개인정보위에서 운영하는 'CPO 교육과정'을 이수할 경우 경력 3개월이 인정된다.

정보보호·IT분야에선 정보관리기술사와 컴퓨터시스템응용기술사가 1년, 정보보안기사·정보처리기사가 6개월까지 경력을 인정받게 됐다. 개인정보위는 올해 상반기 중으로 구체적인 설명이 담긴 'CPO 업무 가이드라인'을 발간할 계획이라고 덧붙였다.


양청삼 개인정보위 개인정보정책국장은 "CPO가 업무를 독립적으로 수행할 수 있도록 보장해 개인정보처리자가 사업기획 단계부터 프라이버시를 고려하도록 유도하고, 나아가 공공·민간 부문의 개인정보 거버넌스 체계에 실질적 변화를 불러올 수 있기를 기대한다"고 말했다.