정보보호 최고책임자(CISO, Chief Information Security Officer) 지정·신고제도를 정비하는 「정보통신망 이용촉진과 정보보호 등에 관한 법률」(이하 “정보통신망법”) 개정 법률안이 ’21. 5. 21. 국회 본회의를 통과
개정 법률안은 ’21. 12. 9. 시행
1. 주요 내용
■ CISO의 지정·신고제도 정비
CISO의 자격을 “대통령령으로 정하는 기준에 해당하는 임직원”으로 정하고, CISO 지정 의무 위반(미지정 및 자격조건 미비)에 대한 과태료 조항을 신설함
대통령령으로 정하는 일정한 기준에 미달하는 정보통신서비스 제공자의 경우에는 CISO를 신고하지 아니할 수 있도록 함
■ CSIO의 업무 명확화
정보보호의 발전 방향 등을 반영하여 CISO의 총괄 업무 내용 및 겸직할 수 있는 업무를 명확히 함
겸직 가능업무
1. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
2. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무
3. 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무
4. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
5. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
요약
① 겸직제한 대상 기업(직전 사업연도 말 자산총액 5조원 이상이거나, 정보보호체계(ISMS)인증 의무대상기업 중 자산총액 5천억 원 이상인 기업) 임원급으로 CISO 지정
- 이를 제외한 중소기업의 경우 대표자 또는 부장급 직원도 CISO로 지정할 수 있도록 허용
② 정보보호 필요성이 큰 ‘중기업’ 이상을 대상으로 CISO를 신고
- 신고의무가 면제된 기업은 대표자를 CISO로 간주
참고1 : 개인정보보호법 제31조제2항
제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
참고2. 개인정보보호법 제32조제2항 CPO 지정요건
제32조(개인정보 보호책임자의 업무 및 지정요건 등) ① 법 제31조제2항제7호에서 “대통령령으로 정한 업무”란 다음 각 호와 같다.
1. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행
2. 개인정보 보호 관련 자료의 관리
3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다. <개정 2016. 7. 22.>
2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
