[디지털데일리 김보민기자] 개인정보보호책임자(CPO) 자격 요건을 명시한 개정 시행령이 이번달 본격 시행된다. 개인정보보호 경력이 최소 2년 필요하다는 조건이 붙은 가운데, 관련 교육 이수 또한 자격으로 인정될 수 있을지 관심이 주목된다.

개인정보보호위원회(이하 개인정보위)는 지난 4일 정부서울청사에서 개인정보 보호법 시행령 2차 개정 관련 설명회를 개최했다. 현장에는 김직동 개인정보위 개인정보보호정책과장 등 주요 관계자들이 참석했다.

이날 주요 화두 중 하나는 'CPO 지정 요건'이었다. 앞서 개인정보위는 개정 개인정보 보호법 및 2024 주요 정책 추진계획을 통해 전문 CPO 제도를 도입하겠다고 밝힌 바 있다.

CPO는 영단어 'Chief Privacy Officer' 약자로, 기업·기관 데이터와 개인정보 보호 정책 및 전략을 다루는 역할을 수행한다. 다만 그동안 CPO 임명 방식은 기업 및 기관마다 제각각이어서, 표준 요건이 필요하다는 의견이 제기돼 왔다. 최고정보보호책임자(CISO)처럼 체계적으로 CPO 제도를 운용하자는 취지다.

기업 및 기관은 적용 대상에 해당할 시 CPO 자격 요건을 따져봐야 한다. 특히 ▲연 매출액 또는 수입이 1500억원 이상, 100만명 이상 개인정보 또는 5만명 이상 민감·고유식별정보를 처리하는 개인정보처리자 ▲재학생 수 2만명 이상 대학(대학원 재학생 수 포함) ▲대규모 민감정보(건강 정보 등)를 처리하는 상급 종합병원 ▲공공시스템운영기관 등이 적용 대상이다.

해당 기업 및 기관은 개인정보보호, 정보보호, 정보기술 경력을 총 4년 이상 갖추고 있는 사람을 CPO로 지정할 수 있다. 입법 예고 당시 6년으로 명시했던 것보다 완화된 수준이다. 이와 관련해 김직동 과장은 "업계 의견을 수렴하는 과정에서 (6년 요건이) 과도한 측면이 있다는 의견이 있었다"라며 "규제개혁위원회 의견 등을 반영해 최종 4년을 확정했다"라고 설명했다.

CPO 경력 4년 중 2년은 개인정보보호에 특화돼야 한다는 내용도 포함됐다. 시행 당시 이미 CPO로 지정돼 있는 사람이라면 2년 이내 자격 요건을 채워야 한다.

개인정보보호 경력으로 인정받을 수 있는 방법은 다양하다. 김직동 과장은 "개인정보보호 경력에 해당하는 자격 요건으로는 학위가 있다"라며 "학부 과정은 6개월, 석사 과정은 1년, 박사 과정은 2년까지 인정이 된다"라고 말했다. 이어 "이 외에도 정보보호 관련 자격 제도 등을 통해 요건을 채울 수도 있다"라고 덧붙였다. 기업체, 공공기관에서 개인정보보호 업무를 한 경우에도 경력으로 인정이 된다.

개인정보보호 교육을 이수한 경우도 경력으로 인정할지는 지켜볼 부분이다. 김직동 과장은 "개인정보 관련 교육을 이수하면 어느 정도 능력을 인정해 주는 부분도 고민을 하고 준비하고 있다"라고 강조했다.

한편 개인정보위는 개인정보 처리자가 CPO 독립성을 보장할 수 있도록 대표자 또는 이사회에 정기 보고하는 체계를 구축할 예정이다. 또한 CPO 협의회를 구성해 상호 협력 활동이 가능하도록 할 방침이다.