임명이 의무화된 CISO, CPO R&R을 어떻게 해야 할까?

1. CISO CPO의기업내역할과책임을위한제언
테크앤로법률사무소/ 서울종로구종로1 교보생명빌딩15층/ 전화02-2010-8840 / 팩스02-2010-8985 / contact@teknlaw.com
구태언변호사
Taeeon.koo@teknlaw.com

2. 연사소개
연사소개-구태언변호사
제34회사법시험합격, 사법연수원제24기수료
서울중앙지방검찰청첨단범죄수사부검사
김앤장법률사무소변호사(정보보호·부정조사팀장)
안전행정부·방송통신위원회·개인정보보호위원회·미래창조과학부·대검찰청디지털수사·특허정보원영업비밀보호센터등자문변호사
금융보안연구원금융보안거버넌스자문위원회위원(2014-)
금융감독원금융감독자문위원회(금융IT분과) 위원(2014-)
2013 개인정보보호대상수상, 2012 정보보호대상수상
테크앤로법률사무소대표변호사
Santa Clara University Law School (Visiting Scholar)
고려대학교법과대학(법학사),고려대학교정보보호대학원(공학석사)

3. CISO, CPO의역할과구분

4. CISO, CPO의역할과구분
CISO(Chief Information Security Officer)
•정보보호최고책임자
-기업에서정보보안을위한기술적대책과법률대응까지총괄책임을지는최고임원
•전자금융거래법과정보통신망법에의한임명의무
-금융회사는CISO를반드시두어야함
-총자산2조원이상이면서종업원수가300명이상인금융회사는정보보고최고책임자(CISO)를임원으로임명하여야함
•기업의경영목표를이루기위해,정보기술을감독하고전략을세우는것이주임무인최고정보관리책임자(CIO)와는구별

5. CISO, CPO의역할과구분
CPO(Chief Privacy Officer)
•개인정보관리책임자
-‘최고정보보호책임자’라고도함
-이용자의개인정보보호,개인정보와관련한이용자의고충처리업무를담당
•개인정보보호법과정보통신망법에의한임명의무
-개인정보보호법에서는“개인정보보호책임자”,정보통신망법에서는“개인정보관리책임자”로명명
-개인정보보호법상CPO의임무는“개인정보의처리에관한업무를총괄해서책임”지는것(제31조제1항)
-정보통신망법상CPO의임무는“이용자의개인정보를보호하고개인정보와관련한이용자의고충을처리”하는것(제27조제1항)

6. CISO, CPO의역할과구분
정보통신망법상CPO, CISO의구분
CPO
CISO
조항
제27조
(제4장개인정보의보호)
제45조의3
(제6장정보통신망의안정성확보등)
임명의무
부담자
정보통신서비스제공자등
(정보통신서비스제공자,그로부터이용자의개인정보를제공받은자)
정보통신서비스제공자
자격
임원또는개인정보와관련하여이용자의고충처리를담당하는부서의장(시행령제13조)
임원급
정식명칭
개인정보관리책임자
정보보호최고책임자
주요업무
이용자의개인정보보호
개인정보관련이용자의고충처리
정보보호관리체계수립·관리·운영
침해사고의예방및대응
중요정보의암호화등

7. CISO, CPO의역할과구분
법률에규정된CISO의업무
<개정정보통신망법제45조의3>
③정보보호최고책임자는다음각호의업무를총괄한다.
1.정보보호관리체계의수립및관리·운영
2.정보보호취약점분석·평가및개선
3.침해사고의예방및대응
4.사전정보보호대책마련및보안조치설계·구현등
5.정보보호사전보안성검토
6.중요정보의암호화및보안서버적합성검토
7.그밖에이법또는관계법령에따라정보보호를위하여필요한조치의이행
•정보보호취약점분석·평가,침해사고예방·대응,정보보호사전보안성검토,암호화검토등
-기술적보호조치를주로담당

8. CISO, CPO의역할과구분
법률에규정된CISO의업무
<개정전자금융거래법제21조의2>
③총자산,종업원수등을감안하여대통령령으로정하는금융회사또는전자금융업자의정보보호최고책임자는제4항의업무외의다른정보기술부문업무를겸직할수없다.<신설2014.10.15.>
④제1항에따른정보보호최고책임자는다음각호의업무를수행한다.<개정2014.10.15.>
1.제21조제2항에따른전자금융거래의안정성확보및이용자보호를위한전략및계획의수립
2.정보기술부문의보호
3.정보기술부문의보안에필요한인력관리및예산편성
4.전자금융거래의사고예방및조치
5.그밖에전자금융거래의안정성확보를위하여대통령령으로정하는사항
•금융회사(전자금융업자)의CISO임명의무화(전자금융거래법제21조의2제1항)
•CISO의겸직금지
-총자산이2조원이상이고,상시종업원수가300명이상인금융회사또는전자금융업자

9. CISO, CPO의역할과구분
법률에규정된CISO의업무
<전자금융거래법제21조의2신∙구조문대비표>
현행전자금융거래법
[법률제11814호, 2013.5.22.개정]
개정전자금융거래법
[법률제12837호, 2014.10.15.개정]
제21조의2(정보보호최고책임자지정) ①금융회사또는전자금융업자는전자금융업무및그기반이되는정보기술부문보안을총괄하여책임질정보보호최고책임자를지정하여야한다.
②총자산, 종업원수등을감안하여대통령령으로정하는금융회사또는전자금융업자는정보보호최고책임자를임원(「상법」제401조의2제1항제3호에따른자를포함한다)으로지정하여야한다.
제21조의2(정보보호최고책임자지정)①동일
②동일
③총자산, 종업원수등을감안하여대통령령으로정하는금융회사또는전자금융업자의정보보호최고책임자는제4항의업무외의다른정보기술부문업무를겸직할수없다.<신설2014.10.15>
부칙
제1조(시행일)이법은공포후6개월이경과한날부터시행한다. (단서생략)
제2조(정보보호최고책임자의겸직금지에관한적용례)제21조의2제3항의개정규정은이법시행후선임(재선임되는경우를포함한다)되는정보보호최고책임자부터적용한다.

10. CISO, CPO의역할과구분
법률에규정된CPO의업무
<개인정보보호법제31조>
②개인정보보호책임자는다음각호의업무를수행한다.
1.개인정보보호계획의수립및시행
2.개인정보처리실태및관행의정기적인조사및개선
3.개인정보처리와관련한불만의처리및피해구제
4.개인정보유출및오용·남용방지를위한내부통제시스템의구축
5.개인정보보호교육계획의수립및시행
6.개인정보파일의보호및관리·감독
7.그밖에개인정보의적절한처리를위하여대통령령으로정한업무
•이용자의고충처리업무는CISO에게없는업무
•CISO의업무가‘기술적보호조치’에가깝다면,CPO의업무는‘관리적보호조치’에가까움
•정보통신망법제27조에서는CPO지정의무만부과할뿐,구체적업무내용은미규정

11. CISO, CPO의역할과구분
각종법령이부과하는관리책임자임명의무
개인정보보호법
CPO임명의무
신용정보보호법
CCO임명의무
(Chief Credit information Officer)
전자금융거래법주1) 2)
CISO 임명의무
(일정규모이상기업은임원급임명및겸직금지)
정보통신망법
CPO, CISO, 청소년보호책임자임명의무
(일평균이용자10만명또는매출액10억원이상)
•주1) 전자금융거래법상일정규모이상기업의경우CISO 겸직금지는‘법적의무’(단, 이법시행후선임(재선임되는경우를포함한다)되는정보보호최고책임자부터적용)
•주2) 전자금융거래법상CISO 겸직금지기업의기준은“총자산2조원이상이면서종업원수가300명이상”(금융위보도자료)
•앞으로의주요쟁점은‘정보보호조직을어떻게구성하고R&R을구체화할것이냐’라고할수있음

12. CISO, CPO의운용과겸직문제

13. CISO, CPO의운용과겸직문제
CISO와CPO 겸직의문제
•개인정보를수집하는5인이상사업체중CPO를지정한업체의비율은55%
-그중CPO를전담으로임명한업체비율은28.7%(KISA,정보보호실태조사)
-실제로30대기업중CPO직책을전담한사람은거의없는것이현실
-CPO와CISO를겸직하는경우업무감시의효과저해,입법취지저해우려
•CPO와CISO를분리하는경우
-IT조직의같은안건에대하여CISO와CPO가각각결재하는경우업무통일성저해우려
-양자분리시업무추진의어려움문제

14. CISO, CPO의운용과겸직문제
금융권의CISO, CPO 운영유형
CISO
(Chief Information Security Officer
CPO
(Chief Privacy Officer)
유형1
유형2
유형3
IT조직에소속되어IT보안역할수행
준법감시등내부통제조직소속
IT조직과별도로분리되어전사정보보안역할
IT조직과별도로분리되어전사정보보안역할
준법감시등내부통제조직소속
별도독립조직운영
(기획, 실행, 모니터링)
•회사의업무분배현황,정보사고발생시대응방안등을고려하여최적의유형선택

15. 우리나라정보보호법제의특수성

16. 우리나라정보보호법제의특수성
우리나라정보보호체계의특수성
•우리나라는법령,고시에서보안에관한상세한내용을법정하고있고(다음장표참조),주무부처∙수사기관∙법원역시이를기초로의무위반여부를판단하고있음
-보안문제는IT문제이자동시에LegalRiskManagement의문제
•CISO는법령에서요구하는기술적∙관리적∙물리적보안조치를준수하기위하여
-(1)법령의개정현황
-(2)주무부처의정책동향
-(3)수사기관의수사사례
-(4)법원의최근판결을종합적으로분석하여대응할수있는능력
-(5)CEO의언어로CEO를설득할수있는능력
등이필요

17. 우리나라정보보호법제의특수성
개인정보보호관련법령및고시∙지침∙해설서(출처: 강은성, CISO스토리)
영역공통
금융영역

18. 우리나라정보보호법제의특수성
개인정보보호관련법령및고시∙지침∙해설서(출처: 강은성, CISO스토리)
정보통신
영역

19. CISO, CPO관련규정에대한입법적제언

20. CISO, CPO 관련규정에대한입법적제언
개인정보보호법주요처벌조항예시
형사처벌
행정처벌
5년이하징역또는5천만원이하벌금
5천만원이하의과태료
3천만원이하의과태료
동의없는
목적외이용및제공
제3자제공
고유식별번호수집이용
민감정보수집이용
동의없는
개인정보수집
개인정보의누설또는타인이용제공
개인정보의훼손/멸실/변경/위조/유출
14세미만개인정보수집
안전성확보조치미이행
보호자동의없는
양벌규정적용: 담당자와법인은같은형량

21. CISO, CPO 관련규정에대한입법적제언
형사처벌조항
<개인정보보호법제71조>
다음각호의어느하나에해당하는자는5년이하의징역또는5천만원이하의벌금에처한다.
1.제17조제1항제2호에해당하지아니함에도같은항제1호를위반하여정보주체의동의를받지아니하고개인정보를제3자에게제공한자및그사정을알고개인정보를제공받은자
2.제18조제1항·제2항,제19조,제26조제5항또는제27조제3항을위반하여개인정보를이용하거나제3자에게제공한자및그사정을알면서도영리또는부정한목적으로개인정보를제공받은자
3.제23조를위반하여민감정보를처리한자
4.제24조제1항을위반하여고유식별정보를처리한자
5.제59조제2호를위반하여업무상알게된개인정보를누설하거나권한없이다른사람이이용하도록제공한자및그사정을알면서도영리또는부정한목적으로개인정보를제공받은자
6.제59조제3호를위반하여다른사람의개인정보를훼손,멸실,변경,위조또는유출한자
•정보주체의동의없는개인정보제3자제공등의경우
-고의/과실/목적불문하고강한형사처벌
-독일의경우,고의/중과실/경제적목적인정되어야형사처벌
-CISO의법률적위험감소필요
-회사내에서CISO직위는기피대상

22. CISO, CPO 관련규정에대한입법적제언
CISO의자격기준
<전자금융거래법시행령별표1>
가.정보보호또는정보기술(IT)분야의전문학사학위를취득한후4년이상정보보호분야업무또는5년이상정보기술(IT)분야업무를수행한경력이있는사람
나.정보보호또는정보기술(IT)분야의학사학위또는다음전문자격을취득한후2년이상정보보호분야또는3년이상정보기술(IT)분야업무를수행한경력이있는사람
다.정보보호또는정보기술(IT)분야의석사학위를취득한후1년이상정보보호분야업무또는2년이상정보기술(IT)분야업무를수행한경력이있는사람
라.8년이상정보보호분야업무또는10년이상정보기술(IT)분야업무를수행한경력이있는사람
등(이하생략)
•전자금융거래법상CISO의자격기준은IT분야학위및경력취득여부에집중
•법률,정책관련자격요건부재

23. CISO, CPO 관련규정에대한입법적제언
바람직한입법방향
•CPO와CISO의관계
-상하적관계인지병렬적관계인지법문상불분명
-보안사고발생시효율적리더쉽을발휘하여빠른대응이필요
•형사처벌조항관련
-독일의경우,고의/중과실/경제적목적인정되어야형사처벌
-회사내CISO보직은무덤
-법률적위험감소필요
•CISO자격기준관련
-IT기술뿐만아니라,법률및정책에대하여도전문지식이필요
-법률,정책,IT기술을모두아우를수있는전문가의수는극히적음
-국가공인자격제도등일정자격기준을마련,전문가양성이필요

24. 감사합니다
테크앤로법률사무소/ 서울종로구종로1 교보생명빌딩15층/ 전화02-2010-8840 / 팩스02-2010-8985 / contact@teknlaw.com