내년 3월 15일부터 상급종합병원에 개인정보보호 최고책임자인 ‘CPO(Chief Privacy Officer)’의 지정이 의무화된다.

의료기관이 보유한 민감하고 소중한 개인정보보호의 중요성이 날로 커지고 있는 상황에서 CPO가 충분한 역할을 펼칠 수 있도록 하기 위함이다.

강대현 개인정보보호위원회 자율보호정책과 과장은 11월 22일 분당서울대학교병원 헬스케어혁신파크에서 대한병원협회가 개최한 ‘제18회 병원 의료정보화 발전 포럼’을 통해 CPO 제도개선 방안을 소개하며 이같이 전했다.

강대현 과장의 설명에 따르면 의료기관의 개인정보 유출 사고는 의외로 빈번하게 발생하고 있다.

더 큰 문제는 의료기관 내 개인정보보호 전담인력 확보가 미비하다는 점인데, 이에 의료 분야의 특수성을 고려한 CPO 제도를 설계함으로써 개인정보보호 책임성을 제고할 필요가 있다는 의견이 꾸준히 제기돼 왔다.

CPO는 개인정보보호 업무의 최고책임자로서 개인정보보호 계획 수립 및 시행, 개인정보 처리실태 조사, 개인정보 관련 고충 처리 및 교육계획 수립 등 개인정보 처리의 중추적인 역할을 수행한다.

이 때문에 개인정보보호와 관련된 법규 준수, 기술변화 대응, 경영서비스 혁신 지원 등 복합적인 능력과 자질이 요구되는 중요한 자리다.

그간 의료기관에 CPO가 없었던 것은 아니나, 지정 의무가 특별히 없고 형식적으로 운영돼 실질적인 CPO 체계를 갖춘 곳은 거의 없었다고 봐도 무방하다는 게 강대현 과장의 설명이다.

강대현 과장은 “개인정보 보호법에서 CPO의 지정요건을 마련하긴 했지만, 민간은 대표 또는 임원, 소상공인은 사업주 또는 대표자를 CPO로 간주한다고 해 사실상 독립성과 전문성은 많이 부족했다”며 “게다가 의료분야는 순환보직을 하는 전문직 의사들이 많아서 다른 분야에 비해 CPO 자격요건을 맞추기가 까다로운 것도 한계점”이라고 강조했다.

강 과장은 이어 “그럼에도 불구하고 규정을 다소 완화해 상급종합병원부터 지정을 의무화하려 한다”며 “개인정보보호의 중요성이 날이 갈수록 커지고 있고 의료기관의 정보 유출 사고를 원천적으로 차단하기 위한 목적 때문에라도 지정 의무화가 필요하다”고 부언했다.

실제로 개인정보보호위원회는 최근 ‘개인정보 보호법 시행령 개정안’을 입법 예고한 상태다.

이번 개정안의 핵심은 개인정보 보호법 제31조(CPO의 지정)와 시행령 제32조(업무 및 지정요건)다.

먼저 CPO의 전문성과 독립성 강화를 위해 이들의 지정요건과 자격요건이 재정비됐는데, 매출액과 개인정보 보유 규모를 고려해 일정 기준 이상을 충족한 개인정보처리자는 CPO를 지정하도록 했다.

적용 대상은 연 매출액 1,500억 원 이상인 자로 대량의 개인정보(100만 명 이상 또는 5만 명 이상 민감·고유식별정보)를 보유한 개인정보처리자 또는 재학생 수 1만 명 이상인 대학, 대규모 개인정보를 처리하는 상급종합병원, 개인정보보호위원회가 고시하는 기준을 충족하는 공공시스템 운영기관이다.

이들은 개인정보보호 경력을 3년 이상 필수 보유하거나 개인정보보호·정보보호·정보기술 경력을 총 6년 이상 보유한 CPO를 지정해야 한다.

아울러 CPO가 충분한 역할과 책임을 다할 수 있도록 개인정보처리자에게 다양한 준수의무를 부여했다.

대표자 및 이사회에 직접 보고가 가능한 체계를 구축하고 업무수행에 적합한 조직체계 및 인적·물적 자원을 제공할 수 있도록 한 게 그것.

또한 CPO 협의회 구성 및 지원 근거가 신설됨에 따라 공동사업에 대한 구체적인 범위(현황 파악, 침해사고 분석, 역량 및 전문성 강화 등)가 정해지면 이를 개인정보보호위원회가 지원할 수 있도록 했다.

이와 함께 인공지능(AI) 등 디지털 전환에 따라 ‘완전히 자동화된 시스템’으로 개인정보를 처리하는 특수한 영역에서도 정보 주체의 거부·설명 등을 요구할 수 있는 권리가 신설됐다.

강대현 과장은 “이번 개정안에서는 상급종합병원부터 우선 적용하고 향후 안정적으로 정착이 되면 종합병원에도 CPO 제도를 요구할 계획”이라며 “앞으로 개정안의 계도기간과 이행기간을 어떻게 설정할지가 키포인트가 될 것 같은데, 2024년 초에 가이드라인을 만들면 대한병원협회와 논의한 후 병원계에 배포하겠다”고 전했다.

개인정보보호위원회는 CPO 제도의 안착을 위해 협력 및 지원 방안도 다수 마련했다.

우선, 올해 12월 안에 ‘CPO 전담센터(가칭)’를 설치해 온라인 핫라인과 오프라인 전담 지원 담당자를 배정한다.

맞춤형 CPO 네트워크를 구성해 공공과 민간 등 분야별로 깊이 있는 논의와 관계 형성을 위한 그룹별 모임을 운영하며 위원장 포함 간부급 주재의 간담회를 연 4회 이상 개최할 방침이다.

정부포상 연 1회 수여, CPO워크샵 개최, 올해의 CPO 선정, CPO활동 우수사례 행사 등 CPO의 역할 및 공헌 인정 체계를 확립한다.

예비CPO 대상 직무 수행에 필요한 교육 및 훈련과정을 세분화하고 대학 내 개인정보보호 교과 과정을 개설하는 등 전문인력 양성에 현직 CPO가 참여해 자문·개선하는 자리를 제공한다.

특히 개인정보보호 전문성을 갖춘 ‘의료인 CPO’ 양성을 위해 이외에도 추가적인 지원 방안을 약속한 개인정보보호위원회다.

강 과장은 “CPO에게 요구되는 자격요건을 도입해 개인정보보호를 한층 강화하기 위한 목적의 제도개선이긴 하나 일선 병원들에게 부담이 될 수 있는 것도 사실”이라며 “이에 CPO 자격요건 충족을 위해 개인정보 업무수행 체계 및 경력인정 요건 개발 등 유연한 경력 체계 도입을 검토하고 있다”고 말했다.

그는 “의료 분야만의 취약점을 진단해 대한병원협회 교육 및 컨설팅 프로그램과 연계한 맞춤형 서비스를 제공하고 CPO 협의회 등을 통해 의료 분야에 특화된 지원 사업과 정책 사항을 발굴할 것”이라고 약속했다.