최근 급속한 사회 변화와 고령화 현상에 맞춰 기존과는 다른 새로운 직업이 등장하고 있다. 신직업 중 '개인정보보호전문관리자'의 실제 종사자를 만나 직업 세계에 대해 들어봤다. 

개인정보보호전문관리자라는 직업이 낯선데요, 구체적으로 어떤 일을 하나요? 
4차산업혁명 시대를 맞아 미래 사회에는 ‘데이터’가 ‘기업의 핵심 자산’이 될 것입니다. 인공지능(AI)으로 고객의 데이터를 분석해 개개인이 원하는 맞춤형 서비스를 제공하는 것이지요. 

고객을 매혹할 만한 서비스를 개발하려면 양질의 데이터가 확보돼야 합니다. 데이터를 확보하는 것만큼 활용하고 보호하는 일도 중요한데요, 4차산업혁명시대와 데이터 기반 디지털경제 같은 변화 과정에서 데이터를 다루는 전문 인력의 수요는 점점 늘어나는 추세입니다. 

현재 우리나라에서는 개인정보보호법과 정보통신망법에 근거해 개인정보보호책임자(CPO: Chief Privacy Officer) 지정을 의무화하고 있습니다만, 법·제도와 기술적 전문성이 부족해 전문 인력 양성과 제도 도입이 시급한 상황입니다. 

국내 도입을 추진하고 있는 개인정보보호전문관리자(DPO: Data Protection Officer)는 기관과 기업의 개인정보보호와 관련된 내부 정책과 전략을 수립하고, 국내외 관련 법규를 잘 준수하고 있는지 분석해 평가하고 자문하는 역할을 하게 될 것입니다. 

현재 개인정보보호 분야 국가자격제도 시행을 위한 정보통신망법 개정안(제32조의 6. 개인정보보호에 관한 국가자격제도의 도입·운영 등)을 발의한 상태입니다. 

개인정보보호전문관리자가 되기 위한 자격이나 조건은 어떻습니까? 
개인정보보호전문관리자(이하 DPO)의 직무상 자질은 EU에서 2018년 5월 25일부터 시행하고 있는 일반 개인정보보호법(이하 GDPR)을 참고할 예정입니다. 

GDPR에서는 DPO가 가져야 할 역량과 자격요건을 다음과 같이 명시하고 있습니다. 우선, 국내외 개인정보보호법 관련 법률 지식을 비롯해 최신 판례와 동향에 대한 정보 습득 능력을 갖추어야 합니다. 

이는 개인정보보호법과 정보통신망법 같은 국내 법률은 물론 GDPR을 포함해 교역국 관계에 있는 국외 개인정보보호 관련 법률 지식을 아우르지요. 또한 규제당국과 감독기관의 원활한 소통으로 갈등을 조정할 수 있어야 합니다. 

또 기업과 단체에서 법규를 제대로 준수하고 있는지 지속적으로 모니터링하며 교육과 자문을 해줄 수 있어야 합니다. 국내법을 제정할 때도 이상의 요건을 참고해 우리나라 실정에 맞는 기준을 수립하고자 노력하고 있습니다. 

우리나라와 외국의 개인정보보호전문관리자의 기능과 역할에 다른 점이 있습니까? 
우리나라의 개인정보보호책임자(이하 CPO)는 개인정보보호 관리·감독이라는 측면에서는 DPO와 같다고 볼 수 있지만, 개인정보 관련 이용자 민원을 처리하는 부서장으로서 DPO와 같이 법률적인 지식을 필요로 하지는 않습니다. 

따라서 DPO는 CPO와 같이 기업 내부에서 고용될 수도 있지만, 아웃소싱으로 여러 기관과 기업을 동시에 관리·감독할 수도 있습니다. EU 국가에서는 일정 조건에 부합된 회사는 의무적으로 DPO를 두도록 GDPR에 명시하고 있습니다. 

DPO 도입을 추진하는 국내에서도 효율적인 제도 운영을 위해 DPO 지정 의무화를 검토하고 있는데요, 특히 국민의 고급 정보를 취급하는 공공기관과 대규모의 개인정보와 민감정보를 취급하는 민간사업자가 그 대상에 포함되도록 고려할 예정입니다. 

예를 들어 CCTV를 기업으로부터 위탁받아 모니터링해주고 보안을 점검해주는 사업은 정기적으로 대규모의 데이터를 취급하는 것이지요. 휴대폰 위치 정보를 상시 켜두어야 하는 애플리케이션, 이용자의 쿠키 정보를 분석해 소비 성향을 분석하는 웹사이트도 마찬가지입니다. 

특정 종교를 국교로 하는 국가에서는 다른 종교를 가진 이용자가 차별 대우를 받을 수 있어 건강 정보뿐만 아니라 종교도 민감정보에 포함될 수 있습니다. 

이 분야가 활성화되기 위해서는 어떤 지원이 우선되어야 할까요? 
먼저 법에 따른 제도적인 지원이 마련돼야겠지요. 나아가 DPO에 관한 필요성을 인식하고 기업의 개인정보보호 책임의식을 강화하기 위해 노력해야 할 것입니다. 

DPO를 양성할 수 있는 심화 교육과정을 개발하고, 전문성 유지를 위한 자격 보수교육 프로그램 개발도 필요합니다. 그래서 현재 추진 중인 개인정보보호 자격제도는 DPO가 지녀야 할 능력을 객관적으로 검정할 수 있도록 공신력을 갖춘 최고 수준으로 설계할 예정입니다. 

국내뿐만 아니라 해외의 동향과 관련 법규들을 전수조사를 해 DPO가 쉽게 접근할 수 있도록 데이터화하는 작업도 구상 중입니다. 

더불어 교육과 홍보도 필요하며 내부적인 노력도 뒷받침돼야 합니다. 기업들도 안전 의식과 법규에 대한 지식을 갖추기 위해 스스로 노력해야 합니다. 정부가 교육이나 홍보를 위해 갖은 노력을 기울여도, 그 필요성을 전혀 체감하지 못하는 기업도 있기 때문이지요.  

개인정보보호전문관리자의 전망은 어떤가요? 
매우 밝다고 볼 수 있습니다. 안전한 데이터 기반의 경제 활성화를 위해 기업은 앞다퉈 DPO를 영입할 것으로 예상됩니다. 또한 4차산업혁명 시대가 데이터 경제사회라는 특성도 있지만, 개인정보보호 관련 규제가 갈수록 구체적이고 복잡해지기 때문입니다. 

방송 통신, 정보서비스업, 금융과 보험업에 DPO 확보가 필요하고, 대기업(426개) 1개 업체당 1명, 중소기업(2만 3,327개) 5개 업체당 1명의 DPO를 지정한다고 가정할 때 5,000여 개 일자리가 창출될 것이라는 중소벤처기업부 기업규모별 사업체 수 통계(2017)가 있습니다. 

데이터 경제는 한 국가에 국한되지 않는 세계적인 수준의 경제입니다. 현재도 전 세계적으로 개인정보보호와 관련한 법 제도가 120여 개 이상인데, 개인정보 규제가 강화될수록 기업들이 감당하기 어려운 수준이 될 것입니다. 

현재도 EU의 GDPR를 위반하면, 전 세계 매출액의 2~4%를 과징금으로 물게 하는데요. 이러한 사고를 미연에 방지하려면, 중립적인 시각과 전문적인 지식을 갖고 데이터 프로세스 전체를 감독할 DPO가 필요합니다.

이 직업 선택에 우선적으로 갖추어야 할 점은 무엇일까요? 
끊임없는 호기심을 가졌으면 좋겠습니다. 자율주행차, 인공지능, 빅데이터, 클라우드 서비스 같은 미래 기술이 발전할수록 이슈가 발생합니다. 그에 따라 개인정보보호법도 시시각각 변하게 되지요. 

글로벌 기업이 많아질수록 국내법뿐만 아니라 해외법도 잘 준수할 수 있도록 국제적인 시각을 갖고 국내외 동향을 잘 살펴야 합니다. 

또한 개인정보보호에 대한 책임 의식과 직업윤리 의식을 가질 필요가 있는데요. 이익 창출이 우선인 기업으로서는 개인정보보호조치를 비용 발생으로 인식해 시행을 미루는 경향이 있기 때문이지요. 이때 DPO는 기업의 이해관계를 떠나 중립적인 시각에서 위반이 될 사항을 지적해줄 수 있어야 합니다. 
 

*출처: 고용정보원 '2019 미래를 함께 할 새로운 직업' 

*에듀진 기사 URL: http://www.edujin.co.kr/news/articleView.html?idxno=36430
기사 이동 시 본 기사 URL을 반드시 기재해 주시기 바랍니다.