블로그

ESG 경영 시대의 CPO의 역할과 지위

홍대식 교수

(서강대학교 법학전문대학원)

[원문 링크]

기업은 영업활동을 통해 영리를 추구하는 단체이다. 따라서 기업을 구성하는 가장 기본적인 조직은 영업활동을 수행하는 조직이다. 그런데 기업이 수행하는 영업활동은 주주 또는 사원, 채권자, 근로자는 물론 거래상대방, 경쟁자와 소비자에게 영향을 미치고, 영업활동의 성격에 따라서는 지역사회와 사회적, 문화적, 자연적 환경에도 일정한 영향을 미칠 수 있다. 이런 이유로 기업법의 영역에서는 기업의 지배구조와 관련하여 전통적인 주주자본주의의 한계를 극복하기 위한 이해관계자자본주의라는 이념이 발전하였고, 기업 경영의 관심사를 사회적으로 확대하는 사회적 책임론도 한때 유행하였다. 최근에는 그 동안 논의된 기업 경영의 핵심 지표를 통합한 ESG(Environment, Social and Governance) 경영이라는 개념이 자리를 잡아가고 있다. 

현행법상 CPO 제도의 한계에 대한 문제의식은 제도 연구의 측면에서 유럽의 일반 개인정보보호법(GDPR)에 규정된 DPO(Data Protection Officer) 제도와의 비교, 검토 과정에서 더욱 증폭되었다. 자세한 설명을 하기에는 지면 사정이 허락하지 않지만, 간단히 말해서 CPO가 기업 내부에서 영업활동이 법규를 준수하여 이루어지는 검토, 조언하는 법무팀의 역할과 유사하다면 DPO는 영업활동을 독립적으로 감독하는 준법감시인 및 감사의 역할과 유사하다. CPO가 기본적으로 기업 내부의 개인정보 처리 업무 및 정책을 관리하는 영업활동의 보조자, 협력자라면, DPO는 개인정보 처리 업무 및 정책을 평가하고 감독하는 영업활동의 감시자에 해당한다. 어느 정도 규모가 있는 기업이라면 법무팀과 준법감시인 및 감사(감사위원회)를 다 두고 있는 만큼, 개인정보 처리 업무가 영업활동에 큰 비중을 차지하는 기업이라면 CPO뿐만 아니라 DPO도 둘 필요가 있다. 그러나 DPO가 먼저 제도화된 유럽과 달리 CPO 제도를 오래 운영해온 우리나라 현실에서 DPO 제도를 도입한다면 CPO와 DPO의 관계를 어떻게 정립할 것인가 하는 점이 어려운 문제이다. 정부가 2021년 1월 입법예고한 개인정보보호법 개정안에 CPO 제도를 유지하면서 개인정보처리자에게 CPO의 독립성을 보장할 의무를 부과하고 개인정보 보호책임자 협의회 구성, 운영에 관한 근거규정과 매출액 또는 개인정보 보유 규모를 고려하여 CPO의 자격 등을 시행령으로 다르게 정할 수 있는 근거규정 신설 내용을 포함한 취지도 이런 고민에서 나온 절충안이라고 생각한다. 모쪼록 CPO 제도가 잘 정비되어 개인정보 처리 업무의 비중이 높은 기업들의 경우 ESG 경영 과제 목록에서 빠질 수 없는 개인정보보호 업무 발전에 큰 도움이 되기 바란다.