개인정보보호책임자 CPO 지정 요건

2025.3.15 부로 CPO 지정 요건 제도가 시행

 

근거

• 개인정보보호법 제31조에 따라 개인정보처리자(개인정보 취급 기관 및 기업)는 개인정보 처리에 관한 업무를 총괄하고 책임지는 CPO를 지정

 

지정요건

1. 공공기관  4급 이상
2. 민간기업 대표 또는 임원

 

대상 

1. 연간 매출액 또는 수입이 1,500억원 이상 기업
   • 100만명 이상의 정보주체 보유한 기업과 기관
   • 5만명 이상의 민감정보 또는 고유식별정보를 보유한 기업과 기관
2. 재학생 수 2만명 이상 대학교 ( 대학원 재학생 수 포함)
3. 상급종합병원
4. 공공시스템 운영기관 
5. 단, 순환보직 등으로 자격요건 적용이 곤란한 중앙행정기관, 자치단체, 각급 학교는 제외

 

자격요건

• 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합해 총 4년 이상 보유해야 하고, 그중 개인정보보호 경력을 최소 2년 이상 보유

 

준수의무 규정 (독립성 강화)

1. 개인정보 처리 관련 정보 접근보장
2. 대표자 또는 이사회에 직접 보고 체계 구축
3. 업무수행에 적합한 조직체계 및 인적·물적 자원 제공

 

개인정보보호책임자 경력 인정 요건 

각각의 자격을 보유한 경우에는 구분된 경력 내(개인정보보호, 정보보호․정보기술)에서는 하나의 자격만 인정하며, 구분된 경력별로 중복 인정은 가능함