개인정보보호 인증제(PIPL: Personal Information Protection Level)란 ‘개인정보 처리기관의 개인정보보호 조치와 활동이 인증심사기준에 부합하는지를 증명하는 과정’으로서, 개인정보처리자가 ‘개인정보보호법’의 도입 취지에 따라 개인정보보호 관리체계 구축 및 개인정보 보호조치 사항을 이행하고 일정한 보호 수준을 갖춘 경우 인증 마크를 부여받는 제도이다.
개인정보보호 인증제(PIPL) 개요
동 인증제는 공공기관이나 민간기업이 개인정보 유출사고 등을 예방하기 위해 추진 중인 개인정보보호 활동들이 체계적이고 지속적으로 이행될 수 있도록 촉진하는 지원체계로서, 개인정보보호 활동에 대해 객관적이고 공신력 있는 검증을 통해 개선 및 보완이 이루어질 수 있도록 자율적인 환경을 조성하는데 그 목적을 두고 있다.
PIPL 인증은 2011년 3월 ‘개인정보보호법’ 제정과 더불어 인증제 도입의 필요성이 대두됨에 따라 연구를 시작하여 인증심사항목을 개발하고 심사원 확보 계획을 수립하였다. 이후 2013년 안전행정부 고시(제2013-45호) ‘개인정보보호 인증제 운영에 관한 규정’을 통해 실질적인 추진 근거를 확보하고 10월말부터 본격적으로 시행 중이다.
PIPL 인증 유형과 체계
PIPL 인증은 업무를 목적으로 개인정보를 처리하는 공공기관, 민간기업, 법인, 단체, 개인 등 모든 개인정보처리자가 신청 가능하다. 즉 ‘개인정보보호법’의 적용을 받는 350만 개인정보처리자가 모두 해당이 된다. 다만, 인증 신청 시에는 기관의 규모 및 특성에 따라 인증 유형을 구분해서 신청해야 한다.
인증 유형은 민간부문의 경우 소상공인, 중소기업, 대기업 등 3개로 구분되며, 공공부문은 단일 유형으로 되어 있다.
인증심사의 종류로는 기관이 처음으로 인증을 신청해서 받는 최초심사, 인증유효기간 내에 개인정보보호 수준을 지속적으로 유지관리하고 있는지 여부를 확인받는 유지관리심사, 인증유효기간 내에 인증대상의 범위가 확대 혹은 축소 등의 변경이 발생하여 실시하는 변경심사, 마지막으로 인증취득기관이 인증유효기간(3년)을 연장하기 위하여 실시하는 갱신심사로 구분된다.
PIPL 인증은 한국정보화진흥원(NIA)이 인증기관으로서 인증심사팀을 구성해 인증심사를 실시하고 인증서를 부여하는 체계로 이루어져 있다. 인증기관이 실시한 인증심사 결과에 대해서는 내·외부 전문가로 구성된 인증위원회의 심의·의결을 통해 최종 인증 부여 여부가 결정되며, 인증 제도의 개선 및 정책 결정은 안전행정부에서 담당하고 있다.
PIPL 인증 프레임워크 및 인증 항목
인증기준과 절차는 안전행정부 고시에 근거를 두고 있으며, 보다 세부적인 사항은 한국정보화진흥원이 수립한 ‘개인정보 보호 인증업무 세부지침’(2013.11.29.)과 ‘개인정보 보호 인증(PIPL) 안내서’(2013.11.29)에 상세화되어 있다.
PIPL 인증심사의 기준(프레임워크)은 ‘개인정보 보호 관리체계’와 ‘개인정보 보호대책’ 등 2개 분야로 구성되어 있다. 먼저 ‘개인정보 보호 관리체계’ 분야는 개인정보 보호과정이 지속적으로 운영되기 위한 원칙인 PDCA(Plan-Do-Check-Act)의 관점에서 ‘관리체계 수립’, ‘실행 및 운영’, ‘검토 및 모니터링’, ‘교정 및 개선’ 등 4개의 단계로 심사영역을 구분하고 있다.
개인정보보호 환경과 그 위험이 지속적으로 변화하고 있는 상황에서 개인정보보호를 위한 관리체계를 구축하고 일회적인 추진이 아니라 지속적으로 유지·관리되는 순환 주기를 갖추고 있는지가 주요한 심사 대상이다. 그리고 ‘개인정보 보호대책’ 분야는 개인정보의 처리단계(수집·이용·제공·저장·파기)별 법적 요구 사항의 준수, 정보주체의 권리 보장을 위한 보호대책 구현, 관리적·기술적·물리적 안전성 확보 조치 등의 이행 여부가 심사영역으로 되어 있다.
PIPL 인증 절차
인증절차는 인증심사 ‘준비단계’, ‘심사단계’, ‘인증단계’로 진행된다. 인증심사 ‘준비단계’에서는 인증을 준비한 신청기관이 인증신청서를 제출하고 본격적인 인증심사 전에 신청기관의 심사준비상황을 점검하는 사전점검 과정과 인증기관과 신청기관이 인증심사 계약을 체결하는 과정이 포함된다.
다음으로 ‘심사단계’에서는 인증기관이 인증심사팀을 구성하고, 심사계획을 수립해 신청기관에 통보하고, 인증심사를 수행한 후 인증심사기준상의 부적합한 사항에 대해 보완조치를 요청하고 이행하는 과정으로 진행된다.
마지막으로 ‘인증단계’에서는 신청기관이 인증심사에 따른 부적합사항에 대해 보완·조치를 하고 그 결과가 이상이 없는 경우 심사결과를 인증위원회에 제출하고 심의·의결을 받는 과정이다. 인증위원회에서 심의를 통해 인증부여가 의결되면 인증기관(NIA)은 인증서를 최종 부여하게 된다.
PIPL 인증 준비방안
PIPL 인증취득에서 가장 중요한 핵심은 신청기관의 인증에 대한 사전준비 과정이다. 사전준비가 철저하게 이루어진 경우 인증심사과정에서 부적합사항이 최소화되어 이에 대한 보완조치 기간도 짧아져 빠른 시일내에 인증을 취득할 수 있기 때문이다.
이를 위해 인증을 신청하고자 하는 기관은 사전에 개인정보보호 관리체계를 구축·운영하며 인증심사기준에서 요구하는 각종 조치사항을 이행한 후 신청해야 한다.
먼저 신청기관은 기관의 개인정보보호 관리체계 구축계획을 수립하여야 한다. 계획에는 관리체계 구축을 수행할 전담팀과 협조가 요구되는 관련 부서, 그리고 이들 간의 조정방안 등이 마련되어야 하며, 이들이 개인정보보호 관리체계 구축범위를 확정하고 기관의 최고책임자에게 보고하고 승인을 얻는 과정도 포함되어야 한다.
확정된 계획에 따라 전담팀은 기관의 개인정보 처리현황 및 개인정보보호 관리체계 현황을 분석하고, 이에 따른 위험평가를 실시해야 한다. 관리체계 구축범위 내의 자산목록을 취합하고 이들의 중요도와 취약성에 대해 평가를 실시한 후 보호대책을 선정해 우선순위를 결정해야 한다.
이러한 평가 및 보호대책을 선정하는 과정은 외부전문가를 활용할 수 있지만 기관이 자체적으로 위험관리 방법론 등을 개발하여 직접 수행할 수도 있다. 이어서 선정된 보호대책은 현장에 적용되어야 한다.
개인정보 수집·이용단계, 제3자 제공단계, 위탁단계, 파기단계 등 개인정보 생명주기(라이프사이클)별 처리기준과 방법을 적용하고 관리적·기술적·물리적 안전성 확보조치를 구현해야 한다. 이러한 조치과정에서 필수적으로 이행에 대한 증적, 예를 들면 지정 및 승인 기록, 각종 계획문서, 서약서, 계약서, 점검결과서, 변경기록 등을 체계적으로 관리해야 한다.
전체적으로 조치 과정이 마무리되면 구현되어 있는 개인정보보호 관리체계 및 대책들이 효과적으로 이루어지고 있는지에 대해 상시 점검활동이 이루어져야 하며, 그 결과는 새로운 개선활동으로 피드백 되도록 지속적인 관리가 이루어져야 한다.
PIPL 인증신청은 이 단계가 일정기간(3개월) 이상 지속되면 진행할 수 있다. 결국 신청기관에서 인증취득 시점을 결정하고자 할 경우 기관내 중요한 프로세스의 진행과 그 이행 증적을 갖추는 사전준비과정과 예산확보 여부 등을 종합적으로 고려해야 한다.
이상의 준비방안은 일반화된 과정이기 때문에 기관의 개인정보 처리 및 보호 환경에 따라 다양화 될 수 있다. 특히 인증취득은 기관의 최고책임자 또는 개인정보 보호책임자의 의사가 크게 작용하는 분야이므로 각 단계별로 보고절차를 거쳐 원활한 의사소통이 이루어질 수 있도록 하는 것이 무엇보다 중요하다.
PIPL 인증 취득에 따른 혜택
개인정보보호 인증(PIPL)은 개인정보처리자의 자율적인 개인정보 보호활동을 촉진 및 지원하기 위해 시행 중이다. 인증취득과정은 인증신청기관에게 체계적이고 지속적인 개인정보보호 활동을 수행할 수 있는 방법론을 활용함으로써 개인정보보호를 위한 대책 수립이 용이하고, 개인정보취급자의 부주의 및 관리 소홀, 개인정보의 유·노출, 정보주체의 권리 미 보장, 안전성 확보조치 미흡 등 여러 가지 개인정보 유출 가능성을 최소화하는데 기여할 수 있을 것이다. 즉 인증 과정을 통해 각 기관은 개인정보 보호수준 개선 및 유지를 위한 효과적인 관리체계를 확보하게 될 것이다.
이러한 혜택과 더불어 인증을 취득한 기관은 ‘개인정보보호법’에 따라 실시되는 기획점검 대상에서 제외되거나 실시 유예의 혜택을 받게 되며, 행정처분을 받게 되는 경우 그 처분이 감경될 수도 있다. 또한 개인정보보호 우수기관 포상, 개인정보보호 인증 관련 교육 기회 및 정보제공 등의 혜택도 함께 누릴 수 있다. 그리고 인증취득으로 부여받은 인증 마크는 국민들로부터 개인정보를 안심하고 맡길 수 있는 기관이라는 객관적인 판단의 기준으로 활용될 수 있어 기관의 대국민 관계를 향상시키는 수단이 될 것이다.
앞으로도 한국정보화진흥원은 인증 취득을 통해 보다 다양한 혜택을 받을 수 있도록 관련 부처 및 기관 등과 협의를 지속해 나갈 계획이다.
[출처] http://www.boannews.com