한국인터넷진흥원

요약

1. 제목

개인정보보호 전문인력 지정제도 도입방안 연구

2. 연구개발의 목적 및 중요성

세계 각국은 고도화된 ICT 환경 변화에 대응하기 위해서 개인정보 유출 우려 대비 등 개인정보 보호 및 처리뿐만 아니라 개인정보 활용 등 개인정보 관련 법제 재정비에 적극적인 노력을 기울이고 있다. 특히 EU는 「일반개인데이터보호법」(General Data Protection Regulation: ‘GDPR’)을 통해 개인정보 처리와 관련한 선제적인 법제도 기준을 제시하고 있으며, 회원국들은 각국의 입법재량으로 GDPR의 조항들을 개인정보보호 관련법 개정을 통해 반영하고 있다. GDPR은 개인정보의 수집·처리 과정에 내재한 개인정보 관련 리스크 관리 주체인 기업의 책무성 또는 설명책임(accountability) 강화를 위한 제도적 장치로 개인정보 수집․처리와 관련하여 개인정보보호 전문가 또는 전문인력(DPO: Data Protection Officer. 데이터보호담당관) 제도를 도입하고, 일정한 경우 그 임명을 의무화하고 있다. 국내에서도 개인정보처리자의 내부 관리체계를 강화하기 위해 개인정보보호책임자(CPO: Chief Privacy Officer) 지정의 의무를 둔 법률 규정이 있지만, GDPR에서 규정하고 있는 개인정보보호전문가(DPO)와는 그 역할과 지위 측면에서 차이가 있다. 
이에 본 연구는 GDPR 시행에 따른 국내 기업의 개인정보보호 유출․사고 대응능력 강화와 개인정보보호 수준 제고를 위해 개인정보보호 전문인력(DPO) 지정 제도의 도입 방안 마련을 목표로 연구를 수행하고자 한다. 먼저 해외 주요국의 개인정보보호 전문인력 지정 제도 관련 법 현황 파악과 더불어 해외 주요국의 개인정보보호 전문인력 지정 관련 지원  및 민관협력 제도(가이드라인 및 교육프로그램 등) 분석을 진행한다. 이후 해외 주요국 기업들의 개인정보보호 전문인력 지정 및 운영 현황과 국내 개인정보보호 분야 포함 유사분야별 전문인력 지정 관련 법·제도 및 운영 현황 파악, 조사·분석을 수행한다. 앞서 얻어진 결과를 토대로 국내 개인정보보호 전문인력 지정제도 도입 및 운영을 위한 법제도 개선 방안 제안하고자 한다. 

3. 해외 주요국의 개인정보보호 전문인력 지정제도 

● 유럽연합(EU)

GDPR 제37조 제1항은 DPO의 지정 의무에 대하여 규정하고 있다. 1) 개인정보의 처리(processing)가 행정청 또는 공공기관에 의해 수행될 경우, 2) 컨트롤러 또는 프로세서의 핵심적인 활동 영역이 정보 주체들에 대하여 대규모로 정기적이고 체계적인 모니터링이 요구되는 경우, 3) 컨트롤러 또는 프로세서의 핵심적인 활동 영역이 민감정보 또는 형사상의 유죄 판결 및 범죄행위와 관련된 개인정보를 대규모로 처리하는 경우 반드시 DPO를 지정해야 한다.
GDPR은 DPO의 자격요건으로 ‘업무 자격과 개인정보보호 및 실무에 대한 전문지식이 있으며, 특히 제39조에 언급된 임무를 수행할 수 있는 능력을 갖춘 자’를 규정한다. 구체적인 기준이 제시되어 있지 않지만, EU 차원에서 DPO가 처음으로 명문으로 규정된 「EU 기구에 의한 개인데이터 처리에 관한 개인보호 및 데이터 자유이동에 관한 법」(Regulation (EC) No 45/2001)과 이에 기초한 EU 기구의 DPO Network(Network of Data Protection Officer of the EU institutions and bodies)는 DPO 표준을 참고하여보면 최소 3년 이상의 경력, 개인정보 비즈니스 및 개인정보를 처리하는 EU 기구에서의 7년 경험이 권고된다. 또한 CIPP, CIPP/IT, CISSP, CISA, CISM 등의 자격증 보유가 적극 고려되어야 한다. 
GDPR 제38조에 따르면 컨트롤러와 프로세서는 DPO의 지위로서 ‘개인정보보호와 관련한 모든 문제에 적절하게 그리고 적시에 관여하도록 보장해야 한다.’고 규정하고 있다. GDPR 제38조 제2항에 따르면, 조직은 ‘DPO가 자신의 임무수행에 필요한 리소스, 조직이 보유하는 개인정보에 대한 접근 및 처리과정, 전문지식을 유지하는 데 필요한 자원 등을 제공함으로써 DPO를 지원할 것’을 요구한다. 
DPO가 수행하는 임무는 GDPR의 준수에 대한 모니터링으로, 개인정보처리 활동을 조사할 수 있는 정보 수집, 개인정보처리 활동 시 GDPR의 준수 여부를 분석하고 통제, 컨트롤러 또는 프로세서에게 이를 알리고, 조언하며, 권고사항을 제시할 수 있다. 또한 DPIA와 관련하여 요청을 받았을 때, 조언을 제공하고 그 성과를 모니터링 할’ 의무가 있다. 

● 독일 

독일은 GDPR 제37조 제1항 (a)호의 공공기관뿐만 아니라, 이에 해당하지 않는 그 밖의 공공기관에 대해서도 DPO 지정 의무를 확장하고 있으며 특히 민간기업과 함께 경쟁하는 주립 병원, 주립 은행 등과 같은 공공기관(öffentliche Stellen, die am Wettbewerb teilnehmen)도 DPO를 반드시 지정해야 한다.  DPO에게는 적절한 관여와 적시의 관여가 보장되어야 한다. 컨트롤러와 프로세서의 장 및 부서의 모든 개인정보보호 관련 문제를 사전예방적(proaktiv)으로 파악할 수 있어야 하며, 개인정보보호와 관련된 모든 사실관계를 파악하고 평가할 수 있도록 보장하여야 한다. DPO의 임무는 GDPR과 크게 다르지 않은 정보제공 및 자문임무, 개인정보보호규범 준수의 감독 및 교육, 개인정보보호영향평가 상황에서의 자문, 규제기관과의 협력, 리스크 고려 임무 등이 해당한다.

● 영국

영국은 EU GDPR에 의거한 DPO 의무 지정과 관련하여 「2018년 데이터보호법」(Data Protection Act: DPA)에 의하여 DPO의 지정(제69조), DPO의 지위(제70조), DPO의 업무(제71조)에 대한 내용을 명문화하고 있다. 영국의 DPO 지정 제도는 EU의 DPO 규정과 내용이 거의 유사하다. 컨트롤러는 법원 또는 그 외 사법기관이 아닌 이상 사법적 역량 내에서 개인정보보호 전문인력(DPO)을 지명해야 한다. DPO의 지위는 개인정보보호와 관련한 모든 문제에 있어서 DPO가 정확하게 적시에 관여할 수 있어야 한다. DPO는 개인정보 접근권과 처리권을 가지며, 컨트롤러가 정책 및 법을 준수하는지 모니터링하고, 정보위원회(ICO)와도 긴밀히 연락하고, 협력하며 개인정보 영향평가시 조언을 해주는 역할도 한다. 

● 프랑스 

프랑스는 GDPR 준수를 위해 적극적으로 대응하고 있지만 DPO 관련 규정이 기존 법체계에 아직 반영하고 있지는 못하다. 프랑스 국가정보위원회(CNIL)는 DPO 인증을 위한 두 가지 표준을 채택하고 있고, DPO 인증 발급에 대한 책임을 지지는 않는다. 두 가지 표준 중 하나는 인증 기준으로 DPO 인증을 받기 위해 DPO가 갖추어야 할 17가지 자격 기준이며, 다른 하나는 승인 기준으로 인증기관이 갖추어야할 기준이다. DPO와 RGPD(EU GDPR) 전문가 협회인 UDPO(Union of Data Protections Officers)에서 개인정보보호 분야에 대한 이해관계자들의 인식 제고와 개인정보보호 전문가를 홍보하고, RGPD 전문가 인증 및 전문가 카드를 발급하고 있다. DPO는 DPO 자격증 없이도 지정될 수 있으나 DPO 인증을 받은 전문가가 임명된 기업은 거래 상대에게 신뢰감을 줄 수 있다는 측면에서 긍정적 효과가 있다. 그러나 응시 기준이 DPO 자격기준보다 높아 실효성에 대한 논란은 있다.

● 벨기에 

2017년 벨기에 데이터보호국은 GDPR 준수를 위해 DPO를 임명할 때 적용해야 할 권장 내용(프랑스어와 네덜란드어로만 공개)을 발표하였으며, 기존의 보안책임자가 DPO로 자동 지정될 수 없음을 명시하고 있다. 권고안은 DPO의 기능과 관련해서 특히 회사 내 기존 DPO와 유사한 역할을 하던 인력과의 양립 가능성에 대해 지침을 제공한다. 2018년 7월 「데이터보호법」(Data Protection Act)에는 GDPR 준수를 위한 조항들이 포함되어 있으며, DPO 지정도 명문화하고 있다. 컨트롤러 및 프로세서는 DPO를 지정해야 하고 결정 사항을 상임위원회Ⅰ에 전달해야 한다. DPO는 독립적인 방식으로 업무를 처리하며, 개인정보처리 시에는 해당 조항을 준수하며 모니터링을 해야 한다. 뿐만 아니라 DPO는 저장된 데이터 보안을 보장하기 위해 설계된 유용한 조치방안에 대해 조언을 하고, 컨트롤러, 프로세서, 부서장 및 직원에게는 의무사항에 따른 처리를 알리고, 조언하는 역할을 수행한다. DPO는 한 명 또는 여러 명의 대리인으로부터 도움을 받을 수도 있으며, 왕은 이러한 기능과 지정, 관련 역량에 관한 추가적인 규칙을 제정할 수도 있다. 그 외에도 GDPR에서 명시하고 있는 DPO 임무들을 유사하게 적시하고 있다.

● 스페인 

스페인은 2017년 10월 AEPD(스페인 데이터 보호국)에서 DPO 자격인증제도를 도입하였다. 개인정보 감독기구에서 자격검정 체계를 마련한 국립인증기관, 자격검정기관 및 훈련기관과 함께 DPO 자격인증제도를 운영하고 있다. DPO와 관련한 규정은 스페인도 아직 기존 법에 반영하지 못하고 있다.  

● 싱가포르 

싱가포르 「개인정보보호법」(PDPA : Personal Data Protection Act 2012)에 따르면, 조직은 개인정보보호 전문인력(Data Protection Officer: DPO)을 1명 이상 지정하도록 규정하고 있다(법 제11조). 따라서 모든 기업은 DPO를 임명해야 할 의무가 있지만 DPO의 책임에 대해서는 명문화하고 있지는 않다. 싱가포르 개인정보보호 감독기구 PDPC(Personal Data Protection Commission, 이하 PDPC)는 개인정보보호법을 준수하기 위해 기업이 필요로 하는 DPO 지명에서부터 DPO의 임무 및 역량, 직책 및 숙련도 수준에 따른 역량 등을 구체적으로 제시하고 있다. PDPC는 DPO가 업무 수행을 위해 갖추어야 할 핵심 역량 및 윤리적 가치 향상에 도움이 되는 프레임워크와 교육 로드맵(DPO Competency Framework and Training Roadmap)을 개발하여 제안하고 있다. 또한 DPO의 자격요건에 대한 법적인 근거를 마련하고 있지는 않지만 PDPC는 9가지 핵심 역량을 제시하고 있다. 구체적으로 데이터 보호 관리, 위험 관리(데이터 보호), 데이터 유출 관리, 이해당사자 관리, 데이터 보호 감시 및 보증, 데이터 거버넌스, 데이터 윤리, 데이터 공유, 데이터 중심 사고 설계 역량이 그것이며, 이 핵심역량은 직무유형 즉 역량 수준별로 직무 역할이 구분된다.

● 태국 

태국은 2019년 5월 PDPA(Thailand Personal Data Protection Act)를 공식적으로 채택하였다. 기업들에게는 법 준수를 위한 준비기간이 1년 주어졌으며, 인사와 관련해서 데이터 컨트롤러와 프로세서는 향후 하위 규정에 따라 개인정보보호 책임자와 태국 현지 담당자를 임명해야 한다. 특히 유럽인을 대상으로 비즈니스를 하는 지역 기업들은 특정 유형의 활동을 처리할 DPO를 지정해야 한다(Komsan Tortermvasana, 2019). 향후 DPO의 자격에 대해서는 하위 규정에서 정해질 예정이다.

● 필리핀

필리핀은 2012년 개인정보보호법인 DPA(Data Privacy Act 2012)를 통과시키며 개인정보보호에 관한 상세한 시행령 및 시행 규칙 등을 발표하였다. 필리핀 정부는 국가 프라이버시 위원회인 NPC(National Privacy Commission)를 설립하여 DPA 준수를 감시하고 집행한다. 관련 시행규칙 및 규정(IRR: Implementing Rules and Regulatons of Republic Act No.10173)26(a)항에 따라 개인 데이터 처리와 관련된 개인, 법인, 기타 기관은 준법감시인 또는 DPO를 지정하거나 개인정보보호 및 보안을 위한 관련 법률과 규정을 준수할 책임이 있다고 명시하고 있다. NPC Advisory 17-01의 지침에 따라 DPO는 정부 기관 또는 개인 단체의 정규 직원이어야 하며, 데이터 보호 책임자의 주요 역량 중 하나는 개인 정보 보호 또는 데이터 보호 및 PIC 또는 PIP의 처리 작업과 관련된 정책 및 관행에 대한 지식을 포함한다. DPO는 PIC 또는 PIP가 DPA를 준수하는지 여부를 모니터링 해야 하며, IRR과 NPC에서 운영하는 개인정보보호 법률 및 정책을 모니터링하는 역할을 담당한다. 

4. 국내 전문인력 지정 관련 제도 

개인정보보호 또는 정보보호와 관련된 국내 법률 중에는 개인정보보호 업무를 수행하는 공공 또는 민간 기관이나 사업자를 대상으로 개인정보보호 또는 정보보호 인력을 지정하도록 하는 의무를 규정하고 있는 경우가 있다.
개인정보보호 책임자는 「개인정보보호법」 제31조에 따라 개인정보처리자는  개인정보보호 책임자(CPO)를 지정해야 하는 의무를 진다. 또한 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제27조에 따라 정보통신서비스 제공자와 그로부터 개인정보를 제공받은 자는 개인정보보호 책임자(CPO)를 지정하여야 한다. 개인정보처리자는 개인정보보호법 제31조 제1항, 같은 법 시행령 제32조 제2항에 따라 공공기관의 경우 일정한 직급 이상의 공무원이나 부서의 장, 행정책임자를, 공공기관 외의 개인정보처리자의 경우 사업주나 대표자, 또는 임원을 개인정보보호 책임자로 지정할 수 있다. 공공기관 중 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관, 정무직공무원을 장(長)으로 하는 국가기관, 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관, 그 밖의 국가기관(소속 기관을 포함), 시·도 및 시·도 교육청, 시·군 및 자치구의 개인정보보호 책임자는 고위공무원단에 속하는 공무원, 3급 또는 4급 이상 공무원 등의 기준에 해당하는 공무원 등의 자격을 갖고 있을 것을 요한다. 정보통신서비스 제공자등의 경우 정보통신망법 제27조 제3항, 같은 법 시행령 제13조 제1항에 따라 임원 또는 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장을 개인정보보호 책임자로 지정할 수 있다. 정보통신망법상 정보통신서비스 제공자등의 경우 동법 시행령 제13조 제1항에 따라 임원 또는 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장일 것이 개인정보보호 책임자의 자격 요건이다. 개인정보보호법상 개인정보보호 책임자는 ① 개인정보 보호 계획 수립 및 시행, ② 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선, ③ 개인정보 처리와 관련한 불만의 처리 및 피해 구제, ④ 개인정보 유출 및 오남용 방지를 위한 내부통제 시스템의 구축, ⑤ 개인정보보호 교육 계획의 수립 및 시행, ⑥ 개인정보 파일의 보호 및 관리·감독, ⑦ 개인정보 처리방침의 수립·변경 및 시행, ⑧ 개인정보 보호 관련 자료의 관리, ⑨ 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 등의 업무를 수행한다(법 제31조 제2항, 영 제32조 제1항).
정보보호 또는 정보보안(information security)은 정보통신시스템등에 대한 보안 및 정보의 안전한 관리에 관한 것이므로, 개인정보보호와는 업무 성격상 구별된다. 「전자금융거래법」 제21조의2는 일정한 규모 이상의 금융회사 또는 전자금융업자에게 정보보호 최고책임자(Chief Information Security Officer, CISO)를 선임할 의무를 규정한다. 정보통신서비스 제공자는 CISO를 지정해야 하는 의무를 갖지만 일정한 기준에 해당하는 소규모 부가통신사업자, 소상공인, 소기업 등은 대상에서 제외된다. 자산총액 5조 원 이상 또는 정보보호 관리체계 인증을 받아야 하는 자 중 자산총액 5,000억 원 이상인 정보통신서비스 제공자의 경우 CISO와 CPO의 겸직을 금지하고 있다. 정보통신망법 제45조의3 제1항 및 제7항에 따라 정보보호 또는 정보기술 분야의 전문지식 혹은 관련 경력을 갖춘 자 중 ① 정보보호 분야의 업무를 4년 이상 수행한 경력이 있거나 ② 정보보호 분야와 정보기술 분야 업무 수행 경력이 5년 이상인 사람이어야 한다. 정보보호관리체계 수립 및 관리·운영, 정보보호 취약점 분석·평가 및 개선, 침해사고 예방 및 대응, 사전 정보보호대책 마련 및 보안조치 설계·구현 등, 정보보호 사전 보안성 검토, 중요 정보의 암호화 및 보안서버 적합성 검토 등의 업무를 진행해야 한다. 
신용정보 관리·보호인은 「신용정보의 이용 및 보호에 관한 법률」 제20조 제3항에 따라 회사, 신용정보집중기관 및 신용정보제공·이용자는 신용정보관리·보호인을 1명 이상 지정하도록 한 제도이다. 신용정보법 시행령 제17조에 따라 신용정보관리·보호인은 ① 사내이사, ② 집행임원, ③ 신용정보의 제공·활용·보호 및 관리 등에 관한 업무집행 권한이 있는 사람, ④ 신용정보의 제공·활용·보호 및 관리 등을 총괄하는 위치에 있는 직원 중 어느 하나에 해당하는 사람으로 하여야 한다. 다만 준법감시인을 두는 경우에는 준법감시인을 신용정보관리·보호인으로 지정할 수 있다. 신용정보의 수집·보유·제공·삭제 등 관리 및 보호계획의 수립 및 시행, 보호 실태와 관행에 대한 정기적인 조사 및 개성, 신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제, 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영 등 신용정보에 대한 관리 책임을 담당한다. 또한 임직원 및 전속 모집인 등에 대한 신용정보보호교육계획의 수립 및 시행, 규정 준수 여부 점검 등에 대한 업무를 진행하여 주기적으로 보고서를 작성하여 대표이사 및 이사회에 보고하고 금융위원회에 제출하여야 한다. 
국내 다른 분야에서의 전문인력 관련 지정제도를 살펴보면 다음과 같다. 
감사인 지정제도는 증권선물위원회가 금융감독원에 위탁하여 외부감사인을 지정하는 제도이며 자율적인 감사시장에 규제기관이 직접 개입함으로써 회계 정보의 투명성과 신뢰성을 높이기 위한 목적으로 실시된다.
환경감시인 또는 기술인제도는 대기환경보전법 제 40조에 따른 것으로 배출 시설과 방지시설의 정상적인 운영 ·관리 업무, 배출 시설 및 방지시설의 운영 결과의 기록 보관 등의 업무를 수행한다. 
자산운용 전문인력 제도는 「부통산투자회사법」 제22조에 따라 자기관리 부동산투자회사들의 전문성을 높이고 주주를 보호하기 위한 것이다.
준법지원인 제도는 일정한 규모 이상의 상장회사의 경우 법령을 준수하고 회사경영을 적정하게 하기 위하여 임직원이 그 직무를 수행할 때 따라야 할 준법통제에 관한 기준 및 절차(준법통제기준)을 마련하도록 하고, 이 준법통제기준의 준수에 관한 업무를 담당할 사람인 준법지원인을 1명 이상 두도록 규정하고 있다. 준법지원인은  준법통제기준의 준수여부를 점검하여 그 결과를 이사회에 보고하도록 한다. 
준법감시인 제도는 금융회사가 내부통제기준의 준수 여부를 점검하고 이를 위반하는 경우 내부통제 관련 업무를 총괄하는 사람을 1명 이상 두어야 하는 제도이다. 준법감시인은 대표이사의 추천으로 이사회에서 임면되며 사내이사 또는 업무집행책임자 중에 선임하도록 하여 2년 이상의 임기를 원칙으로 한다. 금융회사는 준법감시인이 직무를 독립적으로 수행할 수 있도록 하여야 하며, 자산운용이나 업무의 수행, 그 밖의 각종 거래에서 발생하는 위험을 점검하고 관리할 수 있도록 한다. 
자율준수관리자 제도는 공정거래법상 자율준수프로그램을 운영하는 실무 책임자로 경쟁법 위반을 사전 예방하며 위반 행위를 조기에 발견, 시정할 수 있도록 기업의 임직원들에게 경쟁규범준수를 위한 명확한 행동 기준을 제시하여야 한다. 자율준수와 관련된 계획 수립, 자율준수 실태에 대한 감사 및 개선·시정요구, 임직원 교육, 활동 결과에 대한 기록 유지, 활동 상황에 대한 보고 등의 임무를 수행하여야 한다. 자율준수관리자는 이사회를 통해 선임 또는 해임되어야 하며, 이사 등 고위 관리직 위치에 있는 자를 선임하도록 권고된다. 

● 국내 개인정보보호 인력 운영 현황 

개인정보를 처리하는 공공기관·법인·단체들의 경우 개인정보보호법에 따라 기업 내 개인정보보호 책임자(CPO)를 지정하여 운영하고 있다. 민간 기업의 경우 CPO 뿐 아니라 개인정보보호 최고책임자(CISO)를 지정하여 운영하고 있다. 해외 사업을 진행하는 경우, GDPR 발효 이후 DPO를 자발적으로 도입하여 운영하고 있는 경우도 있는 것으로 나타났다. 개인정보보호 업무를 위한 기업 내부 조직을 살펴보면, 기업이 보유하고 있는 정보의 규모와 종류에 따라 팀을 만들어 운영하는 경우가 많았으며 개인정보보호 업무를 세분화하여 개인정보, 프라이버시, 보안 등 독립적인 조직을 운영하기도 하였다. 각 기업의 규모 및 관련 정보의 종류에 따라 부서의 인력에 차이를 보였는데, 글로벌 기업 및 대기업의 경우 관련 업무를 진행하는 인력이 많았으며 조직 내에서 개인정보 분야를 세분화하여 관리하였다. 개인정보보호 업무를 진행하는 인력의 요건으로는 개인정보보호 실무 경험을 가장 많이 뽑았으며, 두 번째로 개인정보보호 관련 자격 보유로 나타났다. 개인정보보호 업무는 기관 및 기업에 따라 차이를 보였지만 기본적으로 개인정보 관리 체계 수립, 정책 수립 및 운영 등 관련법에서 요구하는 개인정보보호 업무를 수행하는 것으로 나타났다.

5. 개인정보보호 전문인력 지정제도 운영 방안 및 법제도 마련 

개인정보보호 전문인력 지정제도 도입에 관한 이해관계자 인식 조사 결과, 이해관계자들은 DPO 제도의 필요성에 대해 상반된 의견을 보이는데, 극명한 입장 차이의 근원은 CPO가 전문성을 갖추고 있는 조직이냐 그렇지 않느냐에서 찾을 수 있다. 전문 CPO를 확보하고 있는 조직의 경우, DPO가 불필요하다는 입장을 견지하는 반면, CPO의 역량이 전문성을 갖추고 있지 못한 경우는 DPO에 대한 수요가 큰 것으로 확인되었다. 또한 DPO 지정 제도 도입에 대해 호의적인 이해관계자들은 전문성을 갖춘 DPO를 통해 실무적 차원에서의 조언과 조율, 나아가 컨트롤 타워로서의 역할을 기대하였다. 또한 DPO에 대한 니즈가 큰 것은 개인정보보호 책임자에게 지워진 막중한 책임에 대한 리스크 분산을 원하기 때문이기도 하였다.  
이해관계자들은 DPO 지정이 의무 지정이든 자율 지정이든 전문 자격 판단 기준으로서 공식적인 자격증에 대한 수요도 파악되었다. 특히 비전문가 CPO가 조직의 책임자인 경우에 전문성을 인증하는 자격증에 수요가 컸으며, 조직 내부 개인정보보호 인력의 역량 강화 차원에서 자격증을 원하는 경우도 있었다. 따라서 DPO 지정제도를 도입하는 경우 자격증 제도도 병행하여 도입하는 방안을 고려해 볼 수 있을 것이다. 
이해관계자들은 DPO 지정제도가 내부 개인정보보호 인력의 역량 강화를 위한 계기가 되길 바라지만, 국내·외 로펌을 통한 DPO 지정이 가능하다고 하면, DPO 지정 효과가 크지 않을 것이라는 의견도 동시에 공존한다. 즉 로펌의 남발, 이들의 개인정보보호 분야의 전문성 부족 등에 대한 우려가 큰 것으로 나타났다. 따라서 현재 DPO 지정제도에 대한 수요는 DPO의 역할 규정을 어떻게 할 것이냐가 최우선 선결과제이며, 이러한 역할 규정 이후에 부가적인 지정 대상, 지위 등을 고민해 볼 수 있을 것이다. 
해외 사례를 참조하여 국내에도 DPO 제도와 유사한 개인정보보호 전문인력 지정제도를 도입하기 위해서는 개인정보보호법에 관련 근거 규정을 마련할 필요가 있다. 이 때 우리나라 개인정보보호법제에도 개인정보처리자가 문제가 발생하였을 때 단순히 법적인 책임을 부담하는 것에 그치지 않고 개인정보 관련 리스크를 효율적으로 관리하도록 하기 위한 책무성의 원칙을 도입할 필요가 있다. 개인정보보호 전문인력은 이러한 책무성의 원칙과 연계되어 있는 제도로서, 개인정보처리자인 조직 내부에서 책무성의 원칙을 실무적으로 보장하기 위하여 필요한 인력이다. 
우리나라에서 개인정보보호 전문인력 지정제도를 도입할 필요성이 인정된다면, 그 제도의 구조는 크게 첫째, 지정의 범위와 방식, 둘째, 자격, 셋째, 업무, 넷째, 지위로 구성될 수 있다. 
먼저 지정의 범위와 방식에 관해서는 정책적인 선택이 필요한 사안을 내재하고 있다. 개인정보보호 전문인력이 개인정보보호 책임자와 별도의 직위라는 점을 분명히 하여 그 제도적 근거를 마련하기 위하여 개인정보처리자가 개인정보보호 전문인력을 임의로 지정할 수 있는 근거를 규정할 필요가 있다. 다음으로 지정의무를 부과하는 개인정보처리자의 범위를 정할 필요가 있다. 마지막으로 복수의 개인정보처리자가 공동으로 동일한 전문인력을 지정하는 것을 허용할 것인지 여부이다.
둘째, 자격에 관해서는 직무상의 자질이 기초가 되어야 할 것이다. 이는 개인정보보호법과 실무에 대한 전문가적 지식과 업무 수행능력으로 구성된다. 
셋째, 업무는 객관적인 입장에서 개인정보처리자의 개인정보 관련 법규 및 정책의 준수 여부를 점검하고 개인정보처리자의 담당 임직원과 감독기관과의 자문, 연락 또는 협력 업무가 주된 것이 될 것이다. 업무 범위는 일반적인 자율준수 관리자의 주요 업무로서 논의되는 사항을 참고로 이를 개인정보보호 관련 업무에 맞게 조정하여 업무 범위를 열거할 수 있고, 시행령에 위임하여 탄력적으로 규정하는 것이 합리적이다.
넷째, 지위에 관해서 중요한 것은 전문인력의 독립성 및 중립성 보장과 개인정보처리자의 충분한 지원 확보이다. 또한 현실적인 여건을 고려하여 전문인력이 다른 업무와 직무를 담당할 수 있도록 허용하되, 그 업무와 직무의 범위를 일반적인 자율준수 관리자의 업무로 한정하는 방안을 생각해볼 수 있다.
이러한 검토 사항을 토대로 지정제도 도입 법안을 하나의 법조문으로 구성하면 조문은 하나의 조문으로 하되, 조항별로 지정, 자격, 업무, 지위 관련 사항, 시행령 위임 근거에 관한 조항으로 구성한다. 여기에 지정의무와 지위보장의무 위반에 대한 과태료 부과 근거 규정을 추가하여 실효성을 확보하는 방식으로 입법이 이루어질 수 있을 것이다.

6. 시사점 및 제언 

DPO 제도의 도입에 있어 가장 중요한 고려사항은 DPO 제도의 도입 배경과 그 이념이라고 생각된다. 국가 주도의 개인정보보호에 대한 반발로, 민간 스스로에 의한 개인정보보호라는 점이다. 다른 측면에서는, 국가와 민간의 분업, 역할의 분담, 규제기관의 규제부담 완화의 의미도 존재한다. 이러한 제도 도입의 배경, 이념, 의미 등을 잘 고려한 가운데 우리나라는 어떠한 취지와 기능을 기대하며 DPO 제도를 도입할 것인지를 고민해야 할 것이다. 
DPO의 자격과 관련한 구체적이고 상세한 기준 설정의 어려움은 DPO 제도를 오래전부터 운용해 온 독일에서도 목격할 수 있었다. 이미 기존에 존재하는 자격증이나 제도들이 DPO 자격을 충족하는지 여부를 판단함에 있어 주요한 판단준거로 활용될 수 있는 것이다. 
국내 개인정보보호 전문인력 지정제도 도입에 관한 이해관계자 인식 조사에서도 아직까지 명확하지 않은 DPO 역할 규정에 대한 혼선이 있었고, 기존 유사 전문 인력과의 차별화를 위한 준거로서 전문성에 대한 니즈가 높게 나타났다. 기존 조직 내 개인정보보호 및 정보보호 관련 책임자와 개인정보보호 전문 인력의 역할을 통합하든, 독립된 역할을 부여하든 이들이 갖추어야 할 전문 분야와 그 수준이 제도 도입 여부를 결정짓는 관건이 될 수 있음을 시사한다. 단순히 개인정보보호 전문 인력의 자격인증만을 위한 제도 도입은 근시안적인 접근으로 기존 유사 자격증이 남용되고 있는 실태 점검부터 선결될 필요가 있을 것이다. 

목차

제 1 장 서론  1
  제 1 절 연구의 목적  1
  제 2 절 연구의 개요  2

제 2 장 해외 주요국의 개인정보보호 전문인력 지정제도  5
  제 1 절 EU  5
1. DPO의 지정   6
2. DPO의 지위   17
3. DPO의 임무  23
  제 2 절 독일   26
1. DPO 제도의 개관  26
2. DPO의 지정   28
3. DPO의 지위  35
4. DPO의 임무   41
5. 제재   46
  제 3 절 영국   46
1. DPO의 지정  46
2. DPO의 임무  50
  제 4 절 프랑스   51
1. DPO의 지정  51
  제 5 절 벨기에   56
1. DPO의 지정  56
2. DPO의 지위 및 임무  59
  제 6 절 스페인  60
1. DPO의 지정  60
2. DPO 인증  62
  제 7 절 싱가포르  63
1. DPO의 지정  63
2. DPO의 임무  64
3. DPO 자격 요건  67
  제 8 절 태국  73
  제 9 절 필리핀  74
1. DPO의 지정  75
2. DPO의 자격 요건  76
3. DPO의 임무  77

제 3 장 국내 전문인력 관련 제도 및 운영현황  79
  제 1 절 국내 전문인력 지정 관련 제도   79
     1. 국내 개인정보보호 또는 정보보호 인력 의무 지정제도             근거 법률  79
     2. 국내 다른 분야에서의 전문인력 의무 지정제도  87
  제 2 절 국내 개인정보보호 인력 운영 현황  97
     1. 개인정보보호 및 정보보호 책임자 지정 현황  97
     2. 개인정보보호 조직 운영 행태  99
     3. 개인정보보호 업무 인력의 요건  102
     4. 개인정보보호 업무  107
     5. 개인정보보호 전문인력 지정 현황 및 전망  112

제 4 장 개인정보보호 전문인력 지정제도 운영 방안 및 법              제도 마련   118
 제 1 절 개인정보보호 전문인력 지정제도 도입에 관한 이해관              계자 인식 조사  118
    1. 조사 방법  118
    2. 이해관계자 심층인터뷰 결과  118
 제 2 절 개인정보보호 전문인력 지정제도 도입을 위한 법안              제안  141
    1. 지정제도 도입 법안 마련을 위한 착안점  141
    2. 지정제도 도입 법안  146

제 5 장 결론  149
  제 1 절 요약  149
     1. 개인정보보호 전문인력 지정제도 및 운영현황  149
     2. 국내 전문인력 관련 제도 및 운영 현황  157
     2. 개인정보보호 전문인력 지정제도 운영 방안 및 법제도             마련   161
  제 2 절 시사점 및 제언  163