개인정보 보호 인증(PIPL)제도 소개1

개인정보 보호 인증(PIPL) 인증 제도가 도입되었습니다.

지난 2월달에 PIPL 인증 심사원 양성 교육에 참여하여 교육을 이수하였습니다.

교육 시 받았는 내용을 중심으로 내용 정리도 할 겸에서 인증제도 내용을 소개할까 합니다.

1. 국내 개인정보보호 관련 제도 현황

 O KISA ISMA

  - 기업의 정보보호 관리절차와 과정을 체계적으로 수립하여 지속적으로 관리 운영하기 위한 종합적인 제도

 O KISA PIMS

  - 기업이 개인정보보호 관리체계를 잘 수립 운영하고 있는지를 객관적인 입장에 있는 인증기관이 평가하여 인증을 부여하는 제도

 O 개인정보영향평가(PIA)

  - 개인정보처리시스템의 구축 변경 시 프라이버시에 미치는 영향을 사전에 파악하고 그 영향을 줄이거나 없앨 수 있는 방안을 모색하는 제도

 O G-Pirvacy

  - 기업에서 운영하는 웹사이트의 개인정보보호 정책 및 관리수준을 종합적으로 평가하여 인증 마크를 부여하는 제도

2. 개인정보 보호 인증제도란?

 PIPL(Personal Information Protection Level)

 인증 신청기관의 개인정보 보호 관리 체계 구축 및 개인정보 보호조치 준수에 대하여 점검하고 그 적합 여부를 판단해 인증서를 부여하는 제도

 2.1 요구사항

 - 개인정보의 특성을 반영한 보호조치

 - 수집, 이용 및 제공, 저장 및 관리, 파기에 이르는 처리단계의 관리

 - 체계적이고 지속적인 개인정보보호 실행

 - Compliance 이슈에 대응 가능

 - 전사적으로 다양한 개인정보 보호조치들을 포함

 - 개인정보처리자 대상의 자율제도

 - 기존 인증제도의 단점을 보완

 2.2 설계 원칙

 1) 개인정보 측면

   - 개인정보의 특성 반영

   - 처리단계 관리

 2) 보호체계 측면

   - 지속적인 관리

   - 전사적인 보호조치

 3) 인증 측면

   - 실행 가능한 통제, 문서화

   - 유관 법령 준수

 2.3 개인정보처리자 유형

 

 O 개인정보처리자의 유형(대기업, 공공기관, 중소기업, 소상공인)에 따라 인증기준을 차별화하여 적용함으로서 다야한 유형의 개인정보처리자를 모두 대상으로 포함

  - 소상공인 : 최소한의 법적 요구사항을 인증기준으로 적용

  - 중소기업 : 법적 요구사항외에 초소환의 관리체계 측면의 요구사항 적용

  - 대기업 : 법적 요구사항은 물론 개인정보보호를 위한 IT Governance 측면의 경영진의 역할 및 참여, 개인정보보호 측면의 위험관리 등의 요구사항을 추가

 O 개인정보처리자 유형 근거

  - 대기업 : '대중소기업 상생협력 촉진에 관한 법률' 제2조제2호에 따른 대기업에 해당하는 개인정보처리자

  - 공공기관 : '개인정보보호법' 제2조제6호에 따른 공공기관에 해당하는 개인정보처리자

  - 중소기업 : '중소기업기본법' 제2조에 따른 중소기업에 해당하는 개인정보처리자

  - 소상공인 : '소기업 및 소상공인 지원을 위한 특별조치법' 제2조제2호에 따른 소상공인에 해당하는 개인정보처리자 및 그 밖의 개인정보처리자

3. 개인정보 보호 인증 절차

 O  한국정보화진흥원(NIA)를 중심으로 안정행정부와 인증위원회, 인증심사원, 신청기관으로 구성

  - 안전행정부 : PIPL 인증제도의 인정기관(감독기관)으로서 개인정보보호 인증제도의 정책결정에 대한 역할 및 인증기관에 대한 관리 감독에 대한 역할 담당

  - 인증기관 : 인증기관은 '국가정보화 기본법' 제14조에 따른 한국정보화진흥원(NIA)이 담당하며 다음의 역할을 수행

     1) 인증심사의 실시 및 인증 인증취소

     2) 인증서 발급, 인증마크의 교부 및 인증사실의 관리

     3) 개인정보 보호 인증위원회의 구성 운영

     4) 인증심사기준 및 인증심사기법의 연구개발

     5) 인증심사원의 자격인정, 취소, 교육, 승급 및 인증심사 경력의 관리

     6) 인증제도 관련 연구 및 동향 조사 분석 그 밖에 인증제도의 운영에 필요한 사항

 - 인증위원회 : 개인정보 보호 인증위원회는 5인 이상 10인 이하의 위원으로 구성하되, 위원은 개인정보보호에 관한 학식과 경험이 있는 자 중에서 인증기관의 장이 위촉하며 다음의 사항에 대하여 심의, 의결

    1) 인증기관이 실시한 인증심사의 적정성 및 인증 부여에 관한 사항

    2) 신청기관 또는 인증취득기관이 인증심사 결과 또는 인증 취소처분에 관하여 이의신청을 하는 경우 이에 관한 사항

    3) 인증기관이 신청기관의 인증취소 사유를 발견하여 인증을 취소하고자 하는 경우에 인증의 취소에 관한 사항

    4) 그 밖에 인증과 관련하여 인증기관 또는 인증위원회의 위원장(이하 '위원장'이라 한다.)이 필요하다고 인정하는 사항

 - 인증심사팀 : 인증심사팀은 심사팀장과 심사원으로 구분되며 그 역할은 다음과 같다.

    (인증심사원은 자격요건에 따라 책임심사원 선임심사원, 심사원으로 구분)

     1) 심사팀장

      - 심사의 계획, 수행 및 보고에 대한 책임

      - 심사업무를 총괄하고 심사팀을 대표

      - 심사팀원의 심사업무 할당

      - 심사팀이 작성한 서약서(심사원용)를 제출

      - 심사계획서 작성 및 통보

      - 심사결과보고서의 작성

     2) 심사원

      - 할당된 삼사업무를 수행

      - 심사내용의 기록(부적합보고서) 및 제출

      - 심사업무일지의 작성 및 보고

      - 심사내용의 효과성 검증

개인정보보호 및 정보보호 컨설팅 케이핌(www.kpim.co.kr)