[IT조선 노동균] 올해부터 개인정보보호 관리체계 인증이 하나로 통합되면서 관련 기업들의 부담이 줄어들 전망이다. 인증 심사 기관도 단일화된다. 관계부처는 개정된 세부 심사 항목을 반영한 가이드를 상반기 중으로 배포, 통합 인증에 대한 혼란을 최소화한다는 방침이다.
그동안 개인정보보호 관리체계 인증은 정보통신서비스 제공자를 대상으로 방송통신위원회가 운영하는 PIMS(Person Information Management System)와 공공기관 및 일반 사업자를 대상으로 행정자치부가 운영하는 PIPL(Person Information Protection Level)로 운영됐다. 근거법도 PIMS는 정보통신망법, PIPL은 개인정보보호법으로 각기 달랐다.
그러나 산업 전 분야에서 개인정보보호의 중요성이 높아지고, 정보통신서비스 제공자와 그 외 사업자의 경계가 모호해지면서 두 인증 선택에 따른 부담이 높다는 지적이 제기됐다. 이에 지난 2014년 8월 규제개혁위원회는 범부처 인증제도 개선방안의 일환으로 두 인증의 통합을 결정했고, 지난해 12월 개인정보보호 관리체계 인증 등에 관한 고시 공동 개정안을 마련해 올해부터 PIMS로 통합 운영을 시작했다.
통합 PIMS 인증은 기업 유형 구분 없이 개인정보보호 관리과정, 생명주기 및 권리보장, 개인정보보호대책 3가지 공통 항목에 대해 총 86개 기준으로 구성돼 있다. 기존 PIMS의 경우 개인정보보호 관리과정과 개인정보 보호대책, 개인정보 생명주기 항목에 대해 총 124개 기준을, PIPL은 관리체계와 보호대책 항목에 대해 총 65개 기준을 갖고 있었다.
단, 통합 PIMS 인증은 공공기관(86개), 대기업 및 정보통신서비스 제공자(83개), 중소기업(74개), 소상공인(47개) 등 신청 기관의 규모, 의사결정체계, IT 구축 운영 환경 등을 고려해 기준을 차등 적용한다. 인증 범위도 서비스 단위로 설정 가능하다. 일례로 인터넷 포털 서비스, 쇼핑몰 서비스, 출입통제 및 출입자 관리 서비스, 인사노무 및 재무회계 서비스 등에 따라 구분할 수 있다.
인증 제도는 통합됐지만, 기존 인증 취득 기관의 인증 효력은 그대로 유지된다. 기존 발급된 PIPL 인증서는 유효기간을 유지하면서 새로운 PIMS 인증서로 변경 발급이 이뤄진다. 또한 인증 취득 기관의 혼동을 줄이기 위해 올해 말까지는 통합 PIMS와 기존 PIMS 및 PIPL 기준으로 인증 심사를 신청할 수 있도록 했다. 내년부터는 통합 PIMS 인증 심사 신청만 할 수 있다.
아울러 기존 인증심사원 자격 취득자는 일단 통합 PIMS 인증심사원으로 인정되며, 연내 변경된 통합 인증 심사 기준에 대한 교육을 시행해 자격 전환이 가능하도록 할 예정이다. 해당 교육 미이수 시 향후 심사 참여가 제한될 수 있다. 통합 PIMS 인증 기관인 한국인터넷진흥원도 올해는 제도 개편에 따른 안정화 및 활성화에 중점을 두고 제도를 운영한다는 방침이다.
한국인터넷진흥원은 현재 요건을 충족하는 기업 및 기관에 대해 법적으로 의무화돼 있는 정보보호 관리체계(ISMS) 인증과 같이 PIMS 인증도 의무화될 것이라는 관측에 대해 현재까지 결정된 사항이 없다고 밝혔다. 앞서 의원 발의 법안으로 PIMS 인증 일부 의무화 논의가 진행된 바 있으나, 아직 발표할 만한 구체적인 추진 방향이나 논의 결과는 없다는 것이 한국인터넷진흥원의 설명이다.
또한 지난해 논의된 바 있는 ISMS 인증과 PIMS 인증 제도의 통합과 관련해서도 한국인터넷진흥원은 아직 진행되고 있는 사항이 없다고 답했다. 대신 두 인증 제도 간의 상호인정 및 동시심사 등을 통해 기업의 부담을 최소화할 수 있도록 노력한다는 계획이다. 실제로 지난 2014년부터 ISMS와 PIMS 인증의 일부 공동 항목에 대해 상호인정을 추진 중에 있으며, 동시심사 진행 시 수수료 할인 및 소요기간 단축 등의 혜택이 있다고 한국인터넷진흥원은 덧붙였다. 다만, ISO27001 취득에 따른 생략 관련 PIMS 심사 제외 혜택이나 상호인정은 아직 고려되지 않고 있다.
지상호 한국인터넷진흥원 관리체계인증팀장은 “개인정보보호가 일반 국민에게도 중요한 문제로 인식되고 있는 만큼 사업자들도 자사의 개인정보 관리 수준이 높다는 점을 어필할 필요성이 있다”며 “PIMS 인증 제도의 취지 역시 사업자들이 정보보호 수준을 서비스 품질의 하나로 간주해 자발적으로 개인정보보호 수준을 높이고, 사업의 경쟁력을 부각할 수 있도록 하는 데 있다”고 말했다.
노동균 기자 saferoh@chosunbiz.com