1.1.2 최고책임자의 지정

[키워드]

공식 지정, 자격 요건, 겸직 제한

법적 자격요건을 충족하는 정보보호 최고책임자와 개인정보보호 책임자를 공식적인 절차를 거쳐 지정했는가?

 

[인증기준]

최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

 

---

최고 경영자가 모든 (개인)정보보호 업무를 챙길 수 없기 때문에, 그 업무를 대리할 CISO와 CPO를 지정해야 한다. 아무나 지정할 수는 없고 조건에 부합하는 자 중에서 실질적으로 예산이나 인력을 할당할 수 있어야 한다. 상위 임원에게 허가를 받아야 하는 등 자원을 할당하는 것에 대해 결정을 하지 못한다면 실질적으로 CISO나 CPO의 업무를 수행한다고 보지 못할 수도 있다.(실제로는 그런 경우가 많이 있지만 그런 것까지 트집잡지는 못한다..)

여기서 "임원급" 이라는 말은 실제 임원만을 말하는 것은 아니며, 독립적으로 권한과 책임을 가지는 사람을 의미한다.

 

 

[주요 확인사항]

최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?

 

 

[세부설명]

최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통하여 공식적으로 지정하여야 한다.

• 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함

---

공식적으로 임명한다는 것은 인사발령을 통하는 것을 말한다. 인사발령 없이 메일이나 구두로 임명하는 것은 해당 조건을 충족하지 못한다.

 

 

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다(※ 정보통신망법 시행령 제36조의7 참고).

• 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정
• 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요(※ 정보통신망법 제45조의3 참고)
• 정보보호 최고책임자는 다음 업무 수행

1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.

가. 정보보호 계획의 수립·시행 및 개선
나. 정보보호 실태와 관행의 정기적인 감사 및 개선
다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행

2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.

가. ｢정보보호산업의 진흥에 관한 법률｣ 제13조에 따른 정보보호 공시에 관한 업무
나. ｢정보통신기반 보호법｣ 제5조제5항에 따른 정보보호 책임자의 업무
다. ｢전자금융거래법｣ 제21조의2제4항에 따른 정보보호 최고책임자의 업무
라. ｢개인정보 보호법｣ 제31조제2항에 따른 개인정보 보호책임자의 업무
마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

 

• 정보보호 최고책임자 지정요건(※ 정보통신망법 시행령 제36조의7 제1항)

- 신고 의무 발생 시 180일 이내 신고해야 함(온라인: 과기정통부, 오프라인: 관할 전파관리소)

- 신고하지 않은 경우에는 사업주 또는 대표자를 정보보호 최고책임자로 간주함

No	구분(정보통신서비스 제공자)	정보보호 최고책임자 지정 요건
1	- 자본금 1억원 이하인 자 - 소기업 - 중기업으로서 전기통신사업자, 정보보호 관리체계 인증을 받아야 하는 자, 개인정보 처리방침을 공개해야 하는 개인정보처리자, 통신판매업자가 아닌 자	사업주 또는 대표자 (정보보호 최고책임자 지정 및 신고의무 면제)
2	- 직전 사업연도 말 기준 자산총액이 5조원 이상인 자 - 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산 총액이 5천억원 이상인자(인증 의무 + 5천억 이상)	이사(「상법」 제401조의2 제1항 제3호에 따른 자와 같은 법 제408조의 2에 따른 집행임원을 포함) ※ 겸직 제한 요건 준수 필요
3	- 위의 1호, 2호에 해당하지 않는 자	사업주 또는 대표자 이사(「상법」 제401조의2 제1항 제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함) 정보보호 관련 업무를 총괄하는 부서의 장

 

• 정보보호 최고책임자 자격요건(※ 정보통신망법 시행령 제36조의7 제3항)

- 아래의 조건 중 학력 조건(No.1~4)은 정보보호 또는 정보기술 분야의 국내 또는 외국에서 취득한 학위를 의미함

No	조건	추가 업무경력 조건
1	석사 학위자	없음
2	학사 학위자	해당 분야 3년 이상
3	전문학사 학위자	해당 분야 5년 이상
4	그 외 학력 보유자	해당 분야 10년 이상
5	ISMS 인증심사원	없음
6	해당 회사의 정보보호 관련 업무 담당 부서장으로 1년 이상 근무	없음

 

• 정보보호 최고책임자 특별 자격요건 (※ 정보통신망법 시행령 제36조의7 제3항)

- 겸직제한 요건을 준수해야 하는 회사에서는 일반 자격요건과 더불어서 아래의 요건을 추가로 만족하는 만족해야 함

- 겸직제한 요건을 준수해야 하는 회사에서는 상근하는 이사를 정보보호 최고책임자를 임명해야 함

No	추가 요건
1	정보보호 분야의 업무를 4년 이상
2	정보보호 또는 정보기술 경력 5년 이상(정보보호 경력은 반드시 2년 포함)

 

---

정보보호 최고책임자와 관련된 내용은 좀 복잡하다.

- 지정/신고 의무: 보통의 기업은 지정 및 신고해야 하지만, 규모가 작은 기업은 의무 면제

- 자격 요건: 자격 요건을 만족하는 자를 지정 및 신고해야 함

- 특별 요건: 겸직 제한 요건을 준수해야 하는 기업은 자격 요건 + 특별 요건을 만족하는 상근 임원을 지정 및 신고해야 함

 

하나의 표로 정리해보자면 아래와 같다.

유형	지정/신고 의무	지정요건	자격요건	겸직제한	특별요건
- 자본금 1억원 이하 - 소기업 - 중기업 중 일부 제외	면제	해당 없음	해당 없음	해당 없음	해당 없음
- 자산총액 5조원 이상 - ISMS 인증 의무 + 5천억 이상	적용	이사	1. 석사 2. 학사 + 실무경력 3년 이상 3. 전문학사 + 실무경력 5년 이상 4. 그 외 학력 + 실무경력 10년 이상 5. ISMS 인증심사원 6. 정보보호 부서장 경력 1년 이상	적용	[상근 임원] 1. 정보보호 분야의 업무를 4년 이상 2. 정보보호 또는 정보기술 경력 5년 이상(정보보호 경력은 반드시 2년 포함)
그 외	적용	1. 사업주 또는 대표자 2. 이사 3. 담당 부서 장	1. 석사 2. 학사 + 실무경력 3년 이상 3. 전문학사 + 실무경력 5년 이상 4. 그 외 학력 + 실무경력 10년 이상 5. ISMS 인증심사원 6. 정보보호 부서장 경력 1년 이상	해당 없음	해당 없음

---

• 개인정보 보호책임자 지정에 대한 법적 요건 준수 필요(※ 개인정보 보호법 시행령 제32조 등 참고)

- 개인정보처리자는 개인정보 보호책임자를 지정해야 함(상시 근로자수 5인 미만 기업 제외)

- 지정하지 않은 경우에는 사업주 또는 대표가를 개인정보 보호책임자로 간주함

개인정보 보호책임자는 다음의 업무 수행

1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 개인정보 처리방침의 수립·변경 및 시행
8. 개인정보 보호 관련 자료의 관리
9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

 

• 개인정보 보호책임자 지정요건

No	유형	요건
1	국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관	고위공무원
2	1번 외 정무직공무원을 장(長)으로 하는 국가기관	3급 이상 공무원
3	1~2번 외 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관	4급 이상 공무원
4	1~3번 외 국가기관	개인정보 처리 관련 업무를 담당하는 부서의 장
5	시ㆍ도 및 시ㆍ도 교육청	3급 이상 공무원
6	시ㆍ군 및 자치구	4급 이상 공무원
7	각급 학교	행정사무를 총괄하는 사람
8	1~7번 외 공공기관	개인정보 처리 관련 업무를 담당하는 부서의 장
9	민간기업	1. 사업주 또는 대표자 2. 임원 (임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

 

 

• 개인정보 보호책임자 자격요건

- 아래 유형에 해당하는 모든 개인정보처리자는 개인정보 보호책임자를 지정 시 추가적으로 전문성 요건을 적용해야 함

- 전문성 요건 관련하여 학력 및 경력 인정요건이 별도로 존재함

No	유형	전문성 요건
1	1. 연간 매출액등이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자 (각급 학교 및 의료기관은 제외) 가. 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자 나. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자	개인정보보호, 정보보호, 정보기술 경력을 합하여 4년 이상  (개인정보보호 2년 필수)
2	재학생 수 2만명 이상의 대학(대학원생 포함, 직전년도 12월 31일 기준)
3	상급종합병원
4	공공시스템 운영기관

 

 

• 개인정보 보호책임자 학력 및 경력 인정요건( ※  개인정보 보호책임자 경력 인정에 관한 고시)

No	요건	인정 경력 연수
1	(개인)정보보호 관련 박사 학위	2년
2	(개인)정보보호 관련 석사 학위	1년
3	(개인)정보보호 관련 학사 학위	6개월
4	기술사(정보관리기술사 또는 컴퓨터시스템응용기술사)	1년
5	기사(정보처리기사 또는 정보보안기사)	6개월
6	ISMS-P 인증심사원	1년
7	개인정보 영향평가 전문인력	1년
8	변호사	1년

---

개인정보 보호책임자 요건은 상대적으로 간단하다. 지정 요건에서 공공기관은 순차적으로 급수가 정해지고, 민간기업은 대표자, 임원이나 부서 장이다. 공공기관 중 학교나 교육청은 특수한 조건이 적용되니 꼭 기억해야 한다. 일부 개인정보처리자에 대해 전문성 요건 준수 의무가 부여되며, 전문성 요건이 추가로 적용되지만 학력 및 경력 인정요건도 함께 적용된다.

 

 

[결함사례]

사례 1 : 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우 >> 법정 의무 미 준수

사례 2 : 개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 인원을 개인정보 보호 책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우 >> 실효성 부재

사례 3 : 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우 >> 공식 절차 부재

사례 4 : ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우 >> 법정 의무 미 준수(겸직 제한)

---

정보보호 최고책임자를 지정 및 신고하지 않으면 결함이 될 뿐 아니라 법 위반을 하게 되는 것이므로 유의해야 한다. 최고책임자에는 실질적으로 책임을 지는 자를 인사발령을 통해 지정해야 하며, 겸직의무가 있는 경우에는 관련 제한요건을 준수해야 한다.