YesXYZ

아딸이 함께 만드는 세상

[정보보호] 정보보호 최고책임자와 개인정보 보호책임자의 역할 및 책임

by · 2024년 04월 16일

정보보호 및 개인정보보호에 관한 업무를 총괄하는 책임자의 역할 및 책임, 지정요건에 대해 알아보겠습니다.

  1. 정보통신망법의 정보보호 최고책임자
  2. 정보통신기반 보호법의 정보보호 책임자
  3. 전자금융거래법의 정보보호 최고책임자
  4. 개인정보 보호법의 개인정보보호 책임자

정보통신망법의 정보보호 최고책임자

  • 지정 대상: 정보통신서비스제공자
    정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 신고의무가 발생한 날부터 180일 이내 과학기술정보통신부장관에게 신고하여야 한다.
  • 정보보호 최고책임자의 업무
    1. 정보보호 계획의 수립ㆍ시행 및 개선
    2. 정보보호 실태와 관행의 정기적인 감사 및 개선
    3. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
    4. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
    5. 다음 업무를 겸할 수 있다.(겸직이 허용되는 업무)
      • 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
      • 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무
      • 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무
      • 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
  • 지정 요건
    제1호에 해당하는 정보통신서비스 제공자는 정보보호 최고책임자를 신고하지 아니할 수 있으며, 이 경우에는 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 본다. 제2호에 해당하는 정보통신서비스 제공자의 정보보호 최고책임자는 상근해야 하며, 겸직이 허용되는 업무 외의 다른 업무를 겸직할 수 없다.
    1. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자

      가. 자본금이 1억원 이하인 자

      나. 「중소기업기본법」 제2조제2항에 따른 소기업

      다. 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자

      1) 「전기통신사업법」에 따른 전기통신사업자

      2) 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자

      3) 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자

      4) 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자

    2. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)

      가. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자

      나. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자

    3. 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람

      가. 사업주 또는 대표자

      나. 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)

      다. 정보보호 관련 업무를 총괄하는 부서의 장

  • 일반 자격 요건
    정보보호 최고책임자 일반 자격 요건

    1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
    2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력(학위 취득 전의 경력을 포함한다)이 있는 사람
    3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력(학위 취득 전의 경력을 포함한다)이 있는 사람
    4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
    5. 정보보호 관리체계 인증심사원의 자격을 취득한 사람
    6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
  • 특별 자격 요건: 지정 요건 제2호에 해당하는 정보통신서비스제공자의 정보보호 최고책임자는 아래 요건을 추가로 갖춰야 한다.
    정보보호 최고책임자 특별 자격 요건

    1. 정보보호 분야의 업무를 4년 이상 수행한 경력(일반 자격 요건 제1호부터 제3호까지에서 정한 학위 또는 일반 자격 요건 제5호의 자격 취득 전의 경력을 포함한다)이 있는 사람
    2. 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행(그중 2년 이상은 정보보호 분야의 업무를 수행해야 한다)한 경력(일반 자격 요건 제1호부터 제3호까지에서 정한 학위 또는 일반 자격 요건 제5호의 자격 취득 전의 경력을 포함한다)이 있는 사람

정보통신기반 보호법의 정보보호 책임자

  • 지정 대상: 주요정보통신기반시설 관리기관
  • 정보보호 책임자의 업무
    1. 주요정보통신기반시설보호대책의 수립ㆍ시행
    2. 기술적 보호지원의 요청
    3. 취약점 분석ㆍ평가 및 전담반 구성
    4. 주요정보통신기반시설 보호지침 준수 명령의 이행
    5. 주요정보통신기반시설의 보호에 필요한 조치 명령의 이행
    6. 침해사고의 통지
    7. 주요정보통신기반시설의 복구 및 보호에 필요한 조치
    8. 그 밖에 다른 법령에 따른 주요정보통신기반시설의 보호업무에 관한 사항
  • 지정 요건
    1. 4급ㆍ4급상당 공무원, 5급ㆍ5급상당 공무원, 영관급장교 또는 임원급 관리ㆍ운영자를 정보보호책임자로 지정하여야 한다.
    2. 다만, 관리기관의 장이 관계중앙행정기관의 장인 경우에는 그러지 아니하다.

전자금융거래법의 정보보호 최고책임자

  • 지정 대상: 금융회사 또는 전자금융업자
  • 정보보호 최고책임자의 업무
    1. 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
    2. 정보기술부문의 보호
    3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성
    4. 전자금융거래의 사고 예방 및 조치
    5. 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항
    6. 정보기술부문 보안에 관한 임직원 교육에 관한 사항
  • 지정 요건
    1. 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 총괄하여 책임질 정보보호최고책임자를 지정하여야 한다.
    2. 총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자는 정보보호최고책임자를 임원으로 지정하여야 한다.
    3. 총자산이 10조원 이상이고, 상시 종업원 수가 1,000명 이상인 금융회사 또는 전자금융업자의 정보보호최고책임자는 상기 업무 외의 다른 정보기술부문 업무를 겸직할 수 없다.
  • 자격 요건: 전자금융거래법 시행령 [별표 1] 정보보호최고책임자의 자격

개인정보 보호법의 개인정보보호 책임자

  • 지정 대상: 개인정보처리자
    아래 기준의 소상공인에 해당하는 개인정보처리자의 경우에는 개인정보 보호책임자를 지정하지 아니할 수 있으며, 사업주 또는 대표자가 개인정보 보호책임자가 된다.
    1. 광업ㆍ제조업ㆍ건설업 및 운수업: 10명 미만
    2. 제1호 외의 업종: 5명 미만
  • 개인정보보호 책임자의 업무
    1. 개인정보 보호 계획의 수립 및 시행
    2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
    3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
    4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
    5. 개인정보 보호 교육 계획의 수립 및 시행
    6. 개인정보파일의 보호 및 관리ㆍ감독
    7. 개인정보 처리방침의 수립ㆍ변경 및 시행
    8. 개인정보 처리와 관련된 인적ㆍ물적 자원 및 정보의 관리
    9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
  • 지정 요건
    1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등

      가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당하는 공무원

      나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원

      다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원

      라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장

      마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원

      바. 시ㆍ군 및 자치구: 4급 이상 공무원 또는 그에 상당하는 공무원

      사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람. 다만, 제4항제2호에 해당하는 경우에는 교직원을 말한다.

      아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.

    2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람

      가. 사업주 또는 대표자

      나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

  • 특별 요건: 개인정보 보호법 시행령 제32조제4항 다음 각 호의 어느 하나에 해당하는 개인정보처리자가 지정한 개인정보 보호책임자는 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합하여 총 4년 이상 보유하고, 그 중 개인정보보호 경력을 최소 2년 이상 보유해야 한다.(개인정보 보호책임자의 관련 학위 경력 인정, 개인정보 보호책임자 경력 인정 자격)
    CPO 자격요건 시행일

    1. 연간 매출액등이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자(제2조제5호에 따른 각급 학교 및 「의료법」 제3조에 따른 의료기관은 제외한다)

      가. 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자

      나. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자

    2. 직전 연도 12월 31일 기준으로 재학생 수(대학원 재학생 수를 포함한다)가 2만명 이상인 「고등교육법」 제2조에 따른 학교
    3. 「의료법」 제3조의4에 따른 상급종합병원
    4. 공공시스템운영기관
  • 참고사항: 개인정보 보호법 시행령 제48조의7(손해배상책임의 이행을 위한 보험 등 가입 대상자의 범위 및 기준 등)제2항제1호에 따라, 공공기관은 손해배상책임의 이행을 위한 보험 등 가입 의무를 면제하고 있으나, 개인정보 보호법 시행령 제32조제4항 각 호에 해당하는 공공기관은 제외한다.

Tags:

You may also like...

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다