[기사] PIPL 인증 취득 전략

PIPL 인증 취득에 있어 핵심 관건은 신청기관의 사전준비 여부


[보안뉴스=김두현 한국정보화진흥원 부장] 개인정보 보호 인증이란 개인정보를 수집·이용하고 있는 공공기관 및 민간 기업이 ‘개인정보보호법’에서 요구하는 일련의 보호조치와 활동을 이행하고 일정수준 이상을 달성하였음을 승인하는 제도이다. 

개인정보 처리자가 개인정보 보호 관리체계 수립·운영, 개인정보 처리단계별 기준과 절차 준수, 안전한 관리, 정보주체의 권리보장 등을 지속적으로 추진하는지 여부를 확인하고 인증을 부여한다. 


개인정보 보호 인증이 도입된 배경은 빈번하게 발생하는 개인정보 유출을 방지하기 위해 개인정보를 처리하는 기관이나 기업들이 개인정보 보호 법령에 따라 자율적인 개인정보보호 활동을 지속하고 있으나, 이러한 노력에 따른 기관의 개인정보 보호수준을 확인할 수 있는 제도적 장치는 부족하기 때문이다. 개인정보 처리자가 스스로 체계적이고 지속적인 개인정보 보호활동을 촉진할 수 있는 수단이 필요했으며, 이에 2013년 11월부터 개인정보 보호 인증(PIPL)이 본격적으로 시행되고 있다.


이를 통해 개인정보 처리자는 인증 과정을 통해 개인정보 보호수준의 개선 및 유지를 위한 효과적인 관리체계를 확보하게 될 것이다. 이와 더불어 인증취득기관은 ‘개인정보보호법’에 따라 실시되는 기획점검 대상에서 제외되거나 실시유예의 혜택을 받게 되며, 행정처분을 받게 될 경우 그 처분이 감경될 수도 있다. 

또한, 개인정보 보호 우수기관 포상, 개인정보 보호 인증 관련 교육기회 및 정보제공 등의 혜택도 함께 누릴 수 있다. 그리고 인증취득으로 부여받은 인증마크는 국민들로 부터 개인정보를 안심하고 맡길 수 있는 기관이라는 객관적인 판단의 기준으로 활용될 수도 있다.


개인정보 보호 인증유형과 체계

인증신청은 업무를 목적으로 개인정보를 처리하는 공공기관, 민간기업, 법인, 단체, 개인 등 모든 개인정보 처리자가 가능하다. 다만, 인증 신청 시에는 기관의 규모 및 특성에 따라 인증유형을 구분해 신청해야 한다.


민간부문의 경우 소상공인, 중소기업, 대기업 등 3개 유형으로 신청할 수 있으며, 공공부문은 단일유형으로 되어 있어 공공기관으로 신청하면 된다.


인증심사의 종류는 처음 인증신청을 할 때 받는 최초심사, 인증의 유효기간 내에 개인정보보호 수준을 지속적으로 유지관리하고 있는지 여부를 확인하는 유지관리심사, 인증의 유효기간(3년)내에 인증대상의 범위가 확대 혹은 축소 등의 변경이 발생하여 실시하는 변경심사, 그리고 인증취득기관이 유효기간 만료일 이전에 인증유효기간을 연장하기 위하여 실시하는 갱신 심사로 구분된다. 


개인정보 보호 인증은 한국정보화진흥원(NIA)이 인증기관으로서 인증심사팀을 구성해 인증심사를 실시하고 인증서를 부여한다. 물론 인증심사 결과는 전문가로 구성된 인증위원회의 심의·의결을 통해 최종 인증부여 여부가 결정되며, 제도의 개선 및 정책 결정은 안전행정부에서 담당한다.


개인정보 보호 인증기준과 절차

인증기준과 절차는 안전행정부 고시(「개인정보 보호 인증제 운영에 관한 규정」 제2013-45호)에 근거를 두고 있으며, 세부적인 사항은 한국정보화진흥원의 ‘개인정보 보호 인증(PIPL) 안내서’(2013.11)에 규정되어 있다.


개인정보 보호 인증심사의 프레임워크는 ‘개인정보 보호 관리체계’와 ‘개인정보 보호대책’ 등 2개 분야로 구성되어 있다.


‘개인정보 보호 관리체계’ 분야는 개인정보 보호과정이 지속적으로 운영되기 위한 원칙인 PDCA(Plan-Do-Check-Act)의 관점에서 ‘관리체계 수립’, ‘실행 및 운영’, ‘검토 및 모니터링’, ‘교정 및 개선’ 등 4개의 단계로 심사영역을 구분하고 있다. 개인정보보호 환경과 그 위험이 지속적으로 변화하고 있는 상황에서 개인정보 보호를 위한 관리체계를 구축하고 일회적인 추진이 아니라 지속적으로 유지·관리되는 순환주기를 갖추고 있는지가 주요한 심사대상이다.


‘개인정보 보호대책’ 분야는 개인정보의 처리단계(수집·이용·제공·저장·파기)별 법적 요구사항의 준수, 정보주체의 권리보장을 위한 보호대책 구현, 관리적·기술적·물리적 안전성 확보조치 등의 이행여부가 심사영역이다. 


인증절차는 ‘인증심사 준비단계’, ‘심사단계’, ‘인증단계’로 진행된다. 먼저 인증심사 준비단계는 인증을 준비한 신청기관이 인증신청서를 제출하고 본격적인 인증심사 전에 신청기관의 심사준비상황을 점검하고 인증기관과 신청기관이 인증심사 계약을 체결하는 과정이 포함된다. 


다음으로 심사단계에서는 인증기관이 인증심사팀을 구성하고, 심사계획을 수립해 신청기관에 통보하고, 인증심사를 수행하고, 인증심사기준에서 부적합한 사항에 대한 보완조치를 요청하는 과정으로 진행된다. 마지막으로 인증단계에서는 신청기관이 인증심사에 따른 부적합사항에 대해 보완·조치한 결과가 이상이 없는 경우 심사결과가 인증위원회에 제출되어 심의·의결을 받게 된다. 인증위원회의 최종 검토결과에 따라 인증부여가 의결되면 인증기관은 인증서를 최종 부여하게 된다.


개인정보 보호 인증(PIPL) 취득 전략

개인정보 보호 인증 취득에서 핵심 관건은 신청기관의 인증에 대한 사전준비 여부다. 인증신청기관은 사전에 개인정보 보호 관리체계를 구축·운영하고 인증심사기준에 따른 조치사항을 이행한 후 인증을 신청해야 한다. 


구체적으로 신청기관은 먼저 개인정보 보호 인증취득 계획을 수립해야 한다. 계획에는 개인정보보호 인증취득을 수행할 전담부서와 협조가 요구되는 관련 부서, 그리고 이들 간의 조정방안 등이 마련되어야 하며, 이를 최종 기관장에게 보고하고 승인을 얻는 과정이 포함돼야 한다.


인증취득 전담부서는 사전에 개인정보 보호 인증에 대한 이해 및 인증절차와 기준을 학습해야 한다. 이때 외부 전문 업체 또는 전문가의 협조가 포함될 수 있으나, 기관별 특성과 예산 등을 고려하여 그 참여여부가 결정될 수 있다. 또한 전담부서는 기관내 개인정보 보호 인증 취득의 목적과 전략을 확인해야 한다. 취득목적과 전략 수립시 기관내 개인정보 보호책임자 및 기관장의 명확한 방침도 확인하는 것이 중요하다.


그리고 신청기관은 인증취득시점, 대상범위, 예산 등을 확인해야 한다. 이때 신청기관은 기관의 개인정보처리 현황을 파악하여 인증대상의 범위를 설정해야 하며, 설정된 인증대상 범위에 대해 개인정보 보호 관리체계를 구축하고 관리체계에 따라 개인정보 보호대책을 수립해 일정기간(3개월) 이상 이행실적을 관리해야 한다. 

즉, 신청기관은 인증기준에서 요구하고 있는 위험분석, 내부감사 등의 중요 관리 프로세스 이행과 그 이행 증적을 갖추기 위해 기관자체 또는 외부컨설팅을 활용해 추진해야 한다. 결국 이러한 사전 준비과정과 기간, 예산 등을 종합적으로 고려하여 인증취득 시점을 준비해야 한다.


이상의 준비절차는 일반화된 과정이기 때문에 조직의 경험과 환경에 따라 다양화 될 수 있다. 특히, 인증취득은 개인정보 보호책임자 또는 기관장의 의사가 크게 작용하는 분야이므로 각 단계별로 보고절차를 거쳐 원활한 의사소통이 이루어질 수 있도록 하는 것이 중요하다.


개인정보 보호 인증은 개인정보 처리자의 자율적인 개인정보 보호활동을 촉진 및 지원하기 위해 시행 중이다. 인증과정은 인증신청기관에게 체계적이고 지속적인 개인정보 보호활동을 수행할 수 있는 방법론을 활용하도록 함으로써 개인정보보호를 위한 보호대책 수립이 용이하고, 개인정보취급자의 부주의 및 관리소홀, 개인정보의 유·노출, 정보주체의 권리 미보장, 안전성 확보조치 미흡 등 다양한 개인정보 침해가능성을 최소화하는데 기여할 수 있을 것이다.

[글_김 두 현 한국정보화진흥원 개인정보보호사업부 부장(duhyun@nia.or.kr)] 


출처 : http://www.boannews.com/media/view.asp?idx=39207&page=1&kind=1&search=title&find=