• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

Q&A로 속시원히 풀어본 개인정보 보호 인증 PIPL 2013.12.11

NIA 김두현 부장과의 Q&A로 속시원히 풀어보는 PIPL 궁금증 
의무인증 아닌 자율인증, 컨설팅 없이 기업 스스로 준비 가능


[보안뉴스 김경애] 개인정보 보호 인증인 PIPL이 본격적으로 시행되면서 기업들의 관심이 높아지고 있다. 이미 지난 11월 18일 PIPL 설명회가 진행됐지만 기업의 개인정보처리자 입장에서는 아직까지 인증에 대해 궁금증이 많은 상황이다.

이에 따라 본지는 개인정보 보호 인증(PIPL)에 대해 가장 많은 궁금해하는 내용에 대해 한국정보화진흥원의 김두현 부장이 답변한 내용을 정리해 봤다. 

Q. PIMS, ISMS 등 유사인증 외에 PIPL 인증을 의무적으로 획득해야 하는지?

PIPL 인증은 의무적으로 취득해야 하는 인증이 아니다. 개인정보처리자가 자율적으로 선택할 수 있는 인증이다. 해당 기관의 상황이나 수요 등을 고려해 정보보호관련 인증 외에 추가적으로 PIPL 인증을 취득할지 여부를 결정하면 된다.


Q. PIPL 인증의 세부적인 심사항목은 무엇인지?

PIPL 인증은 심사분야 2개, 심사영역 9개, 심사목적 26개, 심사항목 65개로 구성되어 있다. 심사항목은 인증신청 유형별로 공공기관·대기업, 중소기업, 소상공인으로 다르게 적용된다. 공공기관은 65개 심사항목을 모두 적용하며, 대기업은 63개의 심사항목, 중소기업은 52개의 심사항목, 소상공인은 33개 심사항목이 적용된다. 보다 자세한 사항은 개인정보 보호 인증(PIPL) 안내서를 참고하면 된다.


Q. PIPL 인증의 범위와 절차는?

PIPL 인증의 범위는 기관 전체 또는 특정 사업이나 서비스 영역으로 구분해 신청할 수 있다. PIPL 인증절차는 인증심사 준비단계->인증심사단계->인증단계로 구성된다. 인증심사 준비단계는 인증심사를 위해 사전에 준비하는 단계로서, 신청기관은 인증심사 준비를 완료해 인증기관에 인증신청을 하고, 인증기관은 신청기관의 인증준비 상태를 사전에 점검해 인증심사 준비여부를 확인한 후에 계약을 체결하게 된다.


인증심사단계에서는 인증심사팀 구성 및 심사계획 통보, 인증심사 수행, 신청기관에 대한 보완조치 요청 등이 진행되고, 인증단계는 인증심사결과를 인증위원회에 상정해 심의·의결을 통해 인증부여 여부를 결정하는 단계이다. 인증범위와 절차에 대한 보다 자세한 사항은 개인정보 보호 인증 안내서를 참고하면 된다.


Q. PIPL 인증신청 이전에 준비해야 할 사항은 무엇이며, 사전준비 과정에 대한 NIA의 지원계획은 없는지?

PIPL 인증심사는 크게 2가지 분야, 즉 개인정보보호 관리체계와 개인정보보호 대책 구현 분야로이루어진다. 이에 인증신청기관은 먼저 기관의 개인정보처리 현황을 파악해 인증대상 범위를 설정해야 한다.


인증범위가 설정되면 이에 대해 개인정보보호 관리체계를 구축하고, 이에 따라 보호대책을 구현해 일정기간 이상 이행실적을 관리해야 한다. 물론 소상공인이나 이행실적 및 증적자료의 준비가 완료된 기관은 3개월 이내도 신청 가능하다. 이러한 과정에 대해 인증기관인 NIA에서 별도의 컨설팅을 지원하는 사업은 없다. 다만, 보다 체계적인 준비가 가능하도록 상세한 안내서 등을 작성해 배포하고 있다.


Q. PIPL 인증취득을 위한 소요 기간과 갱신주기는?

각 기관에서 PIPL 인증기관에 인증신청을 한 이후 인증취득까지는 신청기관의 인증대상 범위 및 개인정보처리 규모 등에 따라 상이하지만 평균적으로 2~4개월 정도 소요될 것으로 예상된다.


인증신청 후 2~4주 이내에 인증심사계약이 체결되면, 인증심사는 1~8주에 걸쳐 진행되고 인증심사 결과는 2~8주 이내에 인증위원회에서 최종심의·의결을 받는 과정으로 진행될 예정이다.


다만, 각 기관에서 인증을 신청하기 위해 인증신청대상에 대해 개인정보보호 관리체계를 구축하고 일정기간(3개월) 이상의 이행실적을 관리하는 준비기간이 필요하므로 인증취득과 관련된 소요기간은 늘어날 수 있을 것으로 본다.


PIPL 인증 취득 후 유효기간은 3년으로, 유효기간 만료 90일전까지 인증기관에 갱신심사를 신청해 적합판정을 받는 경우 유효기간을 연장할 수 있다.


Q. PIPL 인증에서 대기업과 중소기업간 인증유형의 차이는 무엇인지?

PIPL 인증에서 대기업과 중소기업은 인증심사시 심사항목이 다르게 적용되는데 인증심사항목에서 개인정보보호 관리체계 분야로, 중소기업의 경우 대기업과 비교해 관리체계를 구축·운영하기 위한 역량이 부족하기 때문에 이 부분을 조금 완화했다고 보면 된다.  

Q. PIPL 인증이 이미 지난 11월 29일부터 시행되었는데, 지금도 인증신청이 가능한지와 만약 2개 기관 이상이 동시에 인증신청을 한 경우 심사대상 우선순위는 어떻게 되는지?

PIPL 인증기관인 한국정보화진흥원은 개인정보보호 인증제 운영에 관한 규정(안행부 고시)이 시행되는 2013년 11월 29일자로 인증심사를 수행하기 위한 모든 준비를 마무리하고, 개인정보처리자의 인증신청을 기다리고 있다.


안행부 고시에 따라 인증기관 내부의 운영기준인 세부지침도 마련했으며, 인증신청기관이 참고할 수 있는 개인정보 보호 인증(PIPL) 안내서도 작성해 개인정보보호 종합지원포털 및 한국정보화진흥원 홈페이지에 게시했다. 인증심사원도 올해 12월까지 100여명을 확보해 인증심사에 대비 중이다.


만약 인증신청기관이 동시에 인증심사를 접수한 경우, 인증심사 계약 이전에 해당 기관의 인증심사 준비여부를 확인하는 사전점검 결과에서 우수한 평가를 받은 기관이 먼저 진행되도록 할 예정이다.


Q. PIPL 인증심사 항목과 공공기관 수준진단의 진단항목 간 유사성(60%)이 높다. 수준진단 시 준비한 내용을 PIPL 인증에서 인정해 주지는 않는지?

PIPL 인증은 현재 각급 공공기관이 수준진단 시 제출해 받은 결과나 혹은 다른 인증제도에서 받은 결과를 그대로 인정하거나 면제하지 않는다. 다만, 각급 공공기관이 수준진단이나 다른 인증을 위해 준비한 내용이 PIPL 인증 심사항목과 유사할 경우, PIPL 인증심사를 준비하는 기관 입장에서 많은 도움이 될 것이다.


Q. 한번에 인증을 받지 못할 경우 절차는 어떻게 되며 기회는 얼마나 있나?

PIPL 인증심사 중 발견된 부적합 사항에 대해서는 일정 기간(30일)내 보완조치를 요구하고 보완조치가 완료되면 이를 확인해 그 결과를 인증위원회 개최 시 보고하게 된다. 다만, 발견된 부적합 사항이 장기간 소요되거나 예산소요가 많아 어려울 경우, 인증위원회의 심의의결을 거쳐 부결될 수 있다.


 ▲ 한국정보화진흥원 김두현 부장이 PIPL 인증과 관련해 설명하고 있다. 

Q. PIPL 인증준비 시 외부 컨설팅이 꼭 필요한지? 인증 준비를 위한 매뉴얼 또는 기관 스스로 준비할 수는 없는지?

PIPL 인증을 받기 위해서 외부기관으로부터 개인정보보호관련 컨설팅을 반드시 받을 필요는 없다. 즉, 인증취득을 받고자 하는 기관에서 인증심사기준을 살펴보고, 각 심사기준에서 점검하는 항목들을 체계적으로 준비하면 인증취득이 가능하다.


PIPL 인증기관으로서 한국정보화진흥원은 인증신청기관이 자체적으로 인증을 준비할 수 있도록 개인정보 보호 인증(PIPL) 안내서를 작성해 배포한 바 있다. 해당 안내서를 보다 자세하게 개선해 인증신청기관으로 하여금 쉽고 편리한 인증절차가 이루어질 수 있도록 노력하겠다.


Q. PIPL 인증 취득과 관련해 혜택은 무엇인지, 또한 미취득시 불이익은?

PIPL 인증을 취득한 경우, 개인정보보호법에 따라 개인정보보호 합동점검단 등에서 실시하는 기획점검 대상의 제외 또는 실시유예, 행정처분 감경 등의 혜택이 부여된다. 또한, 안행부에 의한 우수기관 포상, 인증관련 교육기회 부여 및 개인정보보호 관련 정보제공, 행사참여 기회 제공 등 각종 혜택을 받을 수 있다.


그밖에 안행부에서 운영하는 개인정보보호 종합지원포탈(www.privacy.go.kr) 등을 통해 인증취득기관을 공개함으로써 대외적인 홍보 등에 도움이 될 수 있고, 취득기관에서도 자체적으로 개인정보보호 인증마크 등을 기관의 홈페이지나 일반문서, 봉투, 송장, 홍보책자 등 다양한 부분에서 사용할 수 있다. PIPL 인증취득은 각 기관의 자율적인 선택사항이기 때문에 미취득에 따른 불이익은 없다.


Q. PIPL 인증은 정보통신관련 기업 뿐만 아니라 일반 제조기업에도 도움이 되는지?

PIPL 인증은 개인정보보호법의 적용을 받는 모든 공공기관 및 민간기업이 해당 법률에서 요구하는 각종 규정과 기준을 준수하고 있는지 여부를 점검하는 제도이다. 따라서 개인정보보호법을 적용 받는 일반 제조업의 경우 개인정보보호 이행에 많은 도움을 받을 것으로 생각한다. 

Q. 안행부가 개인정보 보호를 위해 마련한 제도인 만큼 각 정부부처와 공공기관에서 먼저 PIPL 인증을 획득한 후, 일반 기업에게 권장해야 하는 건 아닌지?

PIPL은 잇따른 개인정보 유출사고에 따른 개인정보 보호 인식제고를 위해 정부에서 추진 시행한 제도라는 점을 이해해주길 바란다. 따라서 꼭 누가 먼저라기보다는 정부기관이나 민간기업 등에서 의지를 갖고 자율적으로 준비하면 될 것 같다.  
[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>