CPO 선임이 이사회 안건이 된다

Privacy행정예고

7월 9일 개인정보위가 「개인정보 보호책임자 경력 인정에 관한 고시」 일부개정고시안을 행정예고했다. 의견 제출은 7월 29일까지, 자율보호정책과로.

고시 이름부터 바뀐다. 「개인정보 보호책임자 지정 및 경력 인정에 관한 고시」로. 규율 대상이 경력 인정에서 지정 신고까지 넓어져서다.

배경은 9월 11일 시행되는 법

작년까지만 해도 CPO는 회사가 알아서 지정하고 처리방침에 적으면 끝이었다. 개정 개인정보 보호법(법률 제21445호, 2026.3.10. 공포)이 9월 11일 시행되면서 달라진다. 대통령령으로 정하는 개인정보처리자는 CPO를 지정·변경·해제할 때 이사회 의결을 거치고, 개인정보위에 신고해야 한다.

이번 고시 개정은 그 신고를 어떤 서식으로 어떻게 하느냐를 정하는 후속 작업이다. 법과 시행령이 틀을 만들고, 고시가 서식을 채우는 구조.

대상은 이유서 기준으로 네 가지다. 연 매출액 또는 수입 1,800억원 이상이면서 개인정보 100만명 이상 또는 민감정보·고유식별정보 5만명 이상을 처리하는 자, 재학생 2만명 이상 대학, 상급종합병원, 공공시스템운영기관.

현행 CPO 자격요건(전문성 요건) 적용 기준은 연 매출 1,500억원이다. 이번 이유서에 적힌 신고 의무 대상은 1,800억원. 숫자가 다르다. 시행령 개정안이 확정 공포되기 전이라 최종 기준은 아직 단정할 수 없다. 대상 판단할 때 이 차이는 반드시 원문으로 확인해야 한다.

서식 칸이 진짜 내용이다

개정안에 별지 서식이 붙어 있다. 신고서에 뭘 적게 하는지 보면 개인정보위가 뭘 들여다보려는지가 드러난다.

이사회 의결 여부를 체크하게 되어 있다. 그리고 '미의결' 칸이 따로 있고, 그 옆에 미의결 사유를 쓰는 칸이 있다. 이사회 의결이 의무인데 미의결 칸을 굳이 만들어 뒀다는 건, 안 거치고 신고하는 경우를 상정하고 그 사유를 받아두겠다는 뜻이다. 그 칸에 뭘 쓰든 그건 그대로 기록으로 남는다.

관련 업무 경력은 개인정보보호 몇 년 몇 개월, 정보보호 몇 년 몇 개월, 정보기술 몇 년 몇 개월, 총 몇 년 몇 개월로 나눠 적는다. 지금까지 CPO 경력 요건은 회사가 내부적으로 판단하면 그만이었다. 앞으로는 그 산정 결과를 숫자로 적어서 제출한다.

그리고 기타사항에 개인정보 보호 담당 조직 유무담당 인력 몇 명을 적는다. 이건 CPO 개인에 관한 정보가 아니다. 회사가 개인정보 업무에 사람을 몇 명 붙여놨는지를 규제기관이 수집하겠다는 얘기다. 신고가 쌓이면 업종별·규모별 인력 분포가 통계로 잡힌다. 그 데이터가 어디에 쓰일지는 굳이 상상하지 않아도 될 것 같다.

처리기간은 30일. 법인 등기사항증명서나 사업자등록증은 개인정보위가 전자정부법 제36조제1항에 따른 행정정보 공동이용으로 직접 확인하니 제출 안 해도 된다.

컨설팅 현장에서 뭐가 달라지나

CPO 경력 요건 검토는 그동안 대체로 형식적이었다. 임원 중 한 명을 지정하고, 경력이 애매하면 "이 정도면 되겠지"로 넘어가는 경우를 여러 번 봤다. 이제 그 판단을 숫자로 적어서 규제기관에 낸다. 애매하게 넘어갈 여지가 줄어든다.

대상에 걸리는 고객사라면 지금부터 봐야 할 게 세 가지다. 우선 대상 여부. 매출 기준이 확정되지 않았으니 1,500억과 1,800억 사이에 걸치는 곳은 시행령 확정을 기다려야 한다. 다음은 현재 CPO의 경력이 신고서 칸을 채울 수 있는지. 개인정보보호 경력 2년 이상을 포함해 총 4년이라는 요건을 실제 이력으로 소명할 수 있는지 확인해두는 게 좋다. 마지막은 이사회 일정이다. 9월 11일 이후에 CPO를 바꿔야 할 일이 생기면 이사회를 잡아야 하는데, 분기별로 여는 회사에서는 이게 생각보다 큰 제약이 된다.

고시 자체는 발령한 날부터 시행된다. 법 시행일에 맞춰 8월 중에는 확정될 가능성이 높다. 대상에 걸리는 회사라면 행정예고 기간에 개정안 원문을 한 번은 읽어두는 게 낫다. 서식이 곧 요구사항이다.


출처