• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[시큐리티 Q&A] 개인정보보호 인증제 PIPL 2014.05.06

Q. 정부가 개인정보보호법 준수기관을 인증해 주는 개인정보보호 인증제 PIPL 제도를 시행 중인 것으로 알고 있다. PIPL은 도대체 어떤 제도이고, 어떤 절차를 거쳐 인증을 받을 수 있게 되나?



A. 개인정보보호 인증제는 기업이나 기관 스스로의 자율적인 노력을 유도하기 위해 도입됐으며, 공공·민간기관이 개인정보보호법상 필수조치사항을 이행하고 일정한 보호수준을 갖춘 경우 인증마크를 부여하게 된다. 개인정보보호 인증을 받고자 하는 기업·기관은 지난해 11월 28일부터 한국정보화진흥원에 인증심사를 신청할 수 있으며, 인증 심사항목은 크게 개인정보 관리체계와 개인정보 보호대책으로 구성된다.


인증유형은 해당 기업이나 기관의 규모와 특성에 따라 △소상공인 △중소기업 △대기업 △공공기관 등 4개 유형으로 구분되며 신청기관은 유형별로 차별화된 해당항목을 심사받게 된다. 인증유효기간은 3년이며, 인증취득기관은 지속적으로 인증요건을 충족하고 있는지 확인받기 위해 연 1회 유지관리심사를 받아야 한다.


안전행정부는 인증을 취득한 기업이나 기관에게 실질적인 도움이 될 수 있도록 △기획점검 제외·실시 유예 △행정처분 감경 △개인정보보호 교육 기회 부여 △개인정보보호 우수기관에 대한 포상제 등도 실시할 계획이다.


한편, ‘국가정보화 기본법’ 제14조에 따라 한국정보화진흥원이 인증기관으로 지정됐으며, 인증기관은 신청기관과 협의해 개인정보 처리규모, 업무특성을 고려해 인증심사항목을 추가·조정할 수 있다. 인증기관은 △인증심사의 실시 및 인증·인증취소 △인증서 발급·인증마크의 교부 및 인증사실의 관리 △개인정보보호 인증위원회의 구성·운영 △인증심사기준 및 인증심사기법의 연구개발 △인증심사원의 자격인정, 교육·승급 및 인증심사 경력 관리 △인증제도 관련 연구 및 동향 조사·분석, 그밖에 인증제도의 운영에 필요한 사항과 관련해 임무를 수행한다.


인증기관의 장은 매년 2월말까지 인증제도의 운영에 관한 당해연도 추진계획과 전년도 추진실적을 안행부 장관에게 보고해야 한다. 안행부 장관은 인증 관련 예산을 확보하고, 인증기관에 출연할 수 있다.


인증위원회는 5인 이상 10인 이하의 위원으로 구성하고, 인증위원은 개인정보보호에 관한 학식과 경험이 있어야 한다. 위원 임기는 1년이며, 연임할 수 있고, 위원장은 위원 중에서 선출해 인증위원회를 대표하게 되며, 인증위원회의 회의를 주재한다.


인증심사는 서면심사와 현장심사로 이뤄지며, 서면심사는 신청기관의 제출서류를 확인해 개인정보보호 인증심사기준에 부합하는지를 심사한다. 현장심사의 경우, 서면심사의 결과를 검증하기 위해 신청기관이 운영 중인 개인정보보호 관리체계 및 보호대책 구현 현장을 방문해 서면심사 결과와의 일치여부를 확인하고, 개인정보보호 인증심사기준에 부합하는지 심사하게 된다.


인증심사 과정에서 인증심사기준 부적합 사항에 대해 보완조치가 필요할 경우 신청기관에 요청할 수 있다. 보완조치를 요청받은 신청기관은 요청일로부터 30일 이내에 보완조치를 완료하고, 보완조치 결과 및 증빙자료를 인증기관에서 서면으로 제출해야 한다. 또한, 보완조치 결과 확인을 위해 필요시에는 현장 확인도 할 수 있다. 인증기관은 인증심사 결과를 인증위원회에 제출해 인증 부여에 대한 심의·의결을 요청해야 한다. ‘개인정보보호법’과 규정에 따라 적정하게 수행되었는지 여부와 신청시관의 인증심사기준 부합여부 등을 종합적으로 심의해 인증 여부를 결정한다.


인증의 유효기간은 인증서 발급일로부터 3년이며, 변경심사를 통해 인증을 취득한 경우에는 인증서 변경발급일로부터 3년으로 한다. 인증교부 시에는 인증범위와 인증번호를 함께 표시해야 한다. 인증취득기관은 인증 유효기간 중 연1회 이상 유지 관리심사를 인증기관에 신청해야 한다.


유지관리 심사에서 인증취득기관의 개인정보 보호조치 및 활동이 지속적으로 유지되지 않는다고 판단되는 경우 인증기관은 인증취득기관에 그 사실을 통보하고, 30일의 유예기간을 주어 보완조치 할 것을 요청할 수 있다. 만약 취득기관이 특별한 이유 없이 1년 이상 유지관리 심사를 받지 않거나 보완조치를 하지 않은 경우, 인증위원회는 심의·의결을 거쳐 인증을 취소할 수 있다.


또한, 인증기관이 인증취득기관에게 경영환경 변화 등 인증대상의 범위를 변경할 필요가 있다고 판단될 때에는 제20조에 따라 변경심사를 요청할 수 있고, △새로운 서비스·시스템의 도입·운영, 설계의 변경 등에 따라 인증 받은 인증대상 범위의 확대·축소 △사업장 변경·합병 등에 따른 개인정보보호관리체계 변경 등의 사유가 없을 경우에는 90일 이내에 변경심사를 신청해야 한다.


인증갱신의 경우, 유효기간 만료 90일 전까지 신청할 수 있고, 인증대상이 심사기준에 부합하면 인증위원회의 심의·의결을 거쳐 유효기간을 3년간 연장할 수 있다. 만약 갱신신청을 하지 않고 유효기간이 경과할 경우 인증의 효력은 상실된다. 인증심사기준 부적합·인증 취소 등과 관련해 이의신청을 할 경우, 인증심사 결과 통보일로부터 15일 이내에 인증기관에 신청할 수 있고, 인증위원회에 재심의를 요청할 수 있다.

(보안뉴스 편집국/boan3@boannews.com)


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>