바로 어제인 2020. 2. 4. 개정 개인정보 보호법이 공포되었고 6개월 후 시행될 예정이다. 이번 데이터3법(개인정보 보호법, 정보통신망법, 신용정보 보호법) 개정으로 인하여 하위 법령이 정비될 것이고, 6개월 후 개정된 데이터3법이 시행되므로 정보통신서비스 제공자와 개인정보 처리자의 절대 다수는 개인정보와 관련된 정책을 개정 법령에 맞추어 개정하여야 한다. 다만, 현재로서는 개정 법률에 따른 하위 법령(시행령, 시행규칙, 고시 등)이 정비되지 않은 상태이므로, 정비 현황을 지켜볼 필요가 있다.
이러한 움직임으로 인하여, 최근에는 정보보호 컴플라이언스 자문 의뢰가 늘어가고 있다. 오늘은 그 중에서도 정보통신보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)의 법률상 자격 요건을 정리해보고자 한다.
정보통신보호 최고책임자(CISO)란, 정보통신망법의 적용 대상이 되는 정보통신서비스 제공자가 과학기술정통부에 지정 및 신고하여야 하는 보안 관련 최고 책임자를 의미한다.
개인정보 보호책임자(CPO)란, 개인정보 보호법의 적용 대상이 되는 개인정보 처리자가 개인정보 처리방침 등에 기재하는 개인정보 보호 관련 책임자를 의미한다.
정보통신망법의 적용 대상이 되는 정보통신서비스 제공자는 대체로 개인정보 보호법의 적용 대상이 되는 개인정보 처리자의 지위를 겸하고 있기 때문에, 많은 기업들이 정보통신보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)를 어느 1인에게 겸직하도록 하는 경우가 있는데, 이는 직전 사업연도 말 기준 자산총액이 5천억 원 미만의 경우에 허용된다.
정보통신보호 최고책임자(CISO)
1. 신고 대상 : 신고의무 불이행시3천만 원 이하의 과태료 (정보통신망법 제76조제1항제6호의2및 같은 법 시행령 별표9제2호 어목)
지정 및 신고의무 대상 사업자
1. 대기업, 중견기업, 중기업의 정보통신서비스 제공자
2. 자본금 1억원 이하의 부가통신사업자를 제외한 모든 전기통신사업자
3. ISMS 인증을 받아야 하는 정보통신서비스 제공자
지정 및 신고의무 대상 제외 사업자 (정보통신망법 제45조의3 제1항 단서 및 동법 시행령 제36조의6 제1항)
1. 자본금 1억원 이하의 부가통신사업자
2. 소상공인
3. 정보보호 관리체계(ISMS) 인증 의무를 부담하지 않는 소기업(전기통신사업자, 집적정보통신시설사업자 제외)
2. CISO의 업무 (정보통신망법 제45조의3 제1항 및 제4항)
정보보호관리체계의 수립 및 관리 · 운영
정보보호 취약점 분석 · 평가 및 개선
침해사고의 예방 및 대응
사전 정보보호 대책 마련 및 보안조치 설계 · 구현 등
정보보호 사전 보안성 검토
중요 정보의 암호화 및 보안서버 적합성 검토
그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행의 업무를 총괄
3. CISO의 자격 (정보통신망법 제36조의6 제2항)
임원급으로서, 아래 각 호의 어느 하나에 해당하는 자
1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
5. 법 제47조제6항제5호에 따른 정보보호 관리체계 인증심사원의 자격을 취득한 사람
6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
4. CISO가 개인정보 책임자 등 다른 업무를 겸직할 수 없는 경우 (정보통신망법 제45조의3 제3항, 동법 시행령 제36조의6 제3항)
|
* 참고사항 (정보통신망법 제36조의6 제2항, 전자금융거래법 시행령 별표 1) 위 1., 2., 3.의 학위는 아래의 학과를 의미함  위 2., 3., 4., 6.의 정보보호 또는 정보기술 분야의 업무는 아래의 업무를 의미함  |
법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액 5천억원 이상인 자
이 경우, 정보보호 최고책임자는 반드시 아래의 요건을 추가로 충족하여야 하고 상근하여야 함.
1. 정보보호 분야의 업무를 4년 이상 수행한 경력이 있는 사람
2. 정보보호 분야의 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행한 경력이어야 한다) 이상인 사람
2019. 6. 11. 시행된 정보통신망법 시행령 제36조의6은, 해당 시행령 시행일(2019. 6. 11.) 이후에 지정하여 신고하는 정보보호 최고책임자부터 적용하므로(부칙 제2조), 현재 신고된 CISO가 정보통신망법 시행령 제36조의6의 요건에 맞지 않다 하더라도, 위법이 아님.5. 현재 신고된 CISO가 정보통신망법 시행령 제36조의6의 요건에 맞지 않는 경우
즉, 현재 CISO를 새롭게 신고하고자 하는 경우에는 위 시행령 요건에 부합하여야 함
6. 신고 방법
과학기술정보통신부 전자민원센터(www.emsit.go.kr)를 통해 온라인으로 신고하거나, 관할 전파관리소에 신고(방문, 우편, 팩스 등)
개인정보 보호책임자의 자격 및 요건 (개인정보 보호법 제31조 제1항, 동법 시행령 제32조 제2항 제2호)
1. 사업주 또는 대표자
2. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
결론적으로 대표자, 임원 또는 개인정보 처리 관련 업무를 담당하는 부서의 장으로 임명이 가능
'낮, 법무법인 창천에서. > 법률 상식 & 서식' 카테고리의 다른 글
| 대한법무사협회 법무사보수표(2021 기준) - 2020. 7. 23. 시행 (0) | 2021.06.07 |
|---|---|
| [암호화폐] 특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법)의 중요 내용 정리 (0) | 2020.03.06 |
| [회사법] 등기임원(및 주요주주)의 회사에 대한 금전 대여는 이사회의 사전 승인을 얻어야 하는가? (0) | 2020.01.12 |
| [저작권] 폰트 관련 저작권의 법리 (2) | 2020.01.05 |
| [부동산] 대리 발급 인감증명서의 효력? (0) | 2020.01.02 |
