개인정보보호책임자(CPO) 핸드북 발표, CPO 체크리스트 주요 내용 요약 정리!

업무를 하다 보면, 자연스럽게 특정 업무의 담당자 혹은 책임자가 되기 마련입니다. 보통 비교적 사소한 업무의 담당자로 시작하지만, 경험이 쌓일수록 담당 범위가 늘어나고, 책임이 무거워집니다. 대외적으로, 공식적으로 조직의 특정 분야를 담당할 때 그 책임은 더 커지는데요. 기업 및 기관이 보유한 개인정보 보호를 담당하는 개인정보보호책임자가 대표적인 예시입니다.

​

개인정보보호책임자는 통상 CPO (Chief Privacy Officer)로 불립니다. 개인정보 보호 정책을 개발 및 실행하는 역할을 합니다. 무엇보다 중요한 역할은 개인정보 관련 컴플라이언스를 준수하고, 위험을 관리하는 업무입니다. 제 역할을 충분히 이행하지 못할 경우, 소속 기업이나 기관은 물론 개인에게도 민·형사적 책임이 따를 수 있죠.

 

개인정보보호책임자, CPO

 

CPO의 직무 수행은 여타 직책에 비해 어려운 측면이 있습니다. 상대적으로 최근에 등장한 직책이기에 역할과 책임이 명확하게 정립되지 않았고, 다양한 부서에서 프로젝트를 진행할 때마다 개인정보 컴플라이언스 관련 협조가 필요하기 때문입니다. 또 개인정보를 보호함과 동시에 조직의 전략적인 목표까지 고려해야 하기 때문에 업무가 복잡한 측면이 있습니다.

​

이와 더불어, 개인정보 보호 관련 컴플라이언스가 매년 강화 및 다양화되면서, 어떤 규범을 어떻게 적용해야 할지 모호한 상황에 놓이기도 합니다. 정보보호 컨퍼런스 및 웨비나 등에 수시로 참석하면서 관련 정보를 모으고, 우리 조직에 적용할 방안을 고민하는 CPO 들이 많은 이유입니다.

 

직무 수행이 복잡하고 어려운 CPO

 

이와 같은 CPO들의 고민을 돕기 위해 개인정보보호위원회와 한국 CPO협의회가 협력해 <개인정보보호책임자(CPO) 핸드북>을 발간했습니다. 전문CPO 제도의 세부사항과 업무를 명시하고, 복잡한 업무 수행과정에서 필수적으로 확인해야 할 체크리스트를 부록으로 담았습니다. (아래 개인정보보호위원회 홈페이지를 통해 다운로드 받을 수 있습니다.)

 

개인정보보호위원회 – CPO 핸드북

 

핸드북은 CPO의 역할 및 책임, 개인정보 보호 관리 체계 방법론, 사고 대응 및 관리 방안 등 개인정보 보호 업무를 수행하는데 도움을 줄 수 있는 포괄적인 자료를 제공하고 있습니다.

본문을 살펴보면 아시겠지만, 개인정보 보호 업무에서 마주하는 특정 상황마다 적용해야 하는 법령과 CPO의 체크가 필요한 사항을 상세하게 안내하고 있습니다. 개인정보를 취급하고, 보호해야 하는 의무를 가진 담당자라면 따로 저장해두고 필요 시마다 꺼내 보시는 것을 추천 드립니다!

 

CPO 체크리스트

 

부록으로 첨부된 CPO 체크리스트에서도 살펴볼 만한 점이 있습니다. 체크리스트는 단계별 / 상시 / 주기적 / 성숙도 4가지 측면에서 담당자들이 확인해야 하는 점검 사항을 담았는데요. 기획 및 설계 단계에서 최근 화두가 되고 있는 PbD (Privacy by Design, 개인정보보호중심설계), AI를 비롯한 신기술 대응 방안 마련 여부 등이 포함됐다는 점이 특징입니다.

​

PbD는 말 그대로 개인정보 보호를 고려한 설계를 뜻합니다. 제품이나 서비스를 설계할 때, 기획부터 폐기까지의 전 과정에서 개인정보를 보호할 수 있도록 고려해 사고를 예방해야한다는 개념이죠. 개인정보보호위원회는 현재 CCTV, IP캠 등 데이터 수집 및 처리기기에 대한 PbD 시범인증 제도를 운영하고 있습니다.

​

최근에는 금융, 통신업계 등 민감한 개인정보를 수집하는 분야에서도 상품과 서비스에 대한 PbD가 새로운 트렌드로 자리잡고 있습니다. 사업 과정에서 필연적으로 고객들의 개인정보를 수집하게 된다면, 데이터가 생성되는 시점부터 폐기되는 시점까지 안전하게 보호하고, 관리해야 한다는 하나의 원칙으로 작용하고 있습니다.

 

BbD (Privacy by Design, 개인정보보호중심설계)

 

 

신기술 도입에 따른 개인정보 위험 분석 및 대응 또한 체크리스트에서 명시하고 있습니다. 특히 인공지능 기술의 개발 또는 도입 시 AI 생명주기별로 위험요인을 도출하고 적절한 대책을 마련해야 한다고 명확하게 밝혔습니다.

​

AI는 기본적으로 특정 데이터를 기반으로 서비스를 제공합니다. 데이터를 학습하고, 결과물을 생성하는 과정에서 개인정보 유출이 일어날 수 있다는 뜻이죠. 체크리스트는 데이터 수집, 저장, 학습, 서비스 제공 등 전 과정에서 일어날 수 있는 개인정보 유출을 경계해야 한다고 강조하고 있습니다.

​

보안 및 프라이버시 이슈에 대응할 수 있는 AI 모델을 개발하고 사용해야 한다는 대책을 제시하면서도, 동시에 AI 학습을 위한 데이터 관리의 중요성도 강조합니다. AI 모델이 개인정보를 수집 및 활용하지 못하도록 가명처리하거나 암호화하는 ‘개인정보 안전조치 강화’를 주요 대책으로 담았습니다.

 

AI도입과 개인정보보호

 

 

분량이 약 100페이지에 달하는 만큼, CPO핸드북에는 이 외에도 많은 정보가 담겼습니다. 다양한 상황을 가정해 CPO의 역할을 기술하고 있지만, 결국 궁극적으로 가장 중요한 역할은 ‘개인정보를 안전하게 보호하는 일’입니다.

​

다양한 방법이 있겠지만 우선 해당 데이터가 어디에 있고, 어떤 상태로 존재하는지 파악하시는 것을 추천 드립니다. 선제적으로 우리가 보유한 데이터에 대한 이해가 있어야 지킬 수도 있겠죠?

물론 파수도 개인정보 보호 관련 다양한 해결책을 제시해 드릴 수 있습니다. 개인정보 보호가 필요한 책임자 / CPO라면 이번 CPO 핸드북을 꼭 살펴보시고, 도움이 필요한 부분은 언제든 파수에 연락 주세요!

 

파수 문의하기 | Fasoo Contact Us