Home > 전체기사

개인정보보호인증제 PIPL, 어떤 절차 거치나?

  |  입력 : 2013-11-05 23:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
서면·현장 심사....인증서 발급일로부터 3년내 유지 심사 받아야

 

[보안뉴스 김경애] 개인정보보호법 제13조제3호에 따라 ‘개인정보보호 인증제(이하 PIPL)’에 관한 규정이 제정·고시되면서 심사기준 등 어떤 절차를 거쳐 인증제가 진행될지에 대한 관심이 집중되고 있다. 


‘국가정보화 기본법’ 제14조에 따라 한국정보화진흥원이 인증기관으로 지정됐으며, 인증기관은 신청기관과 협의해 개인정보 처리규모, 업무특성을 고려하여 인증심사항목을 추가·조정할 수 있다.


인증기관은 △인증심사의 실시 및 인증·인증취소 △인증서 발급·인증마크의 교부 및 인증사실의 관리 △개인정보보호 인증위원회의 구성·운영 △인증심사기준 및 인증심사기법의 연구개발 △인증심사원의 자격인정, 교육·승급 및 인증심사 경력 관리 △인증제도 관련 연구 및 동향 조사·분석, 그밖에 인증제도의 운영에 필요한 사항과 관련해 임무를 수행한다.


인증기관의 장은 매년 2월말까지 인증제도의 운영에 관한 당해연도 추진계획과 전년도 추진실적을 안행부 장관에게 보고해야 한다. 안행부 장관은 인증 관련 예산을 확보하고, 인증기관에 출연할 수 있다.


인증위원회는 5인 이상 10인 이하의 위원으로 구성하고, 인증위원은 개인정보보호에 관한 학식과 경험이 있어야 한다. 위원 임기는 1년이며, 연임할 수 있고, 위원장은 위원 중에서 선출해 인증위원회를 대표하게 되며, 인증위원회의 회의를 주재한다.


인증심사는 서면심사와 현장심사로 이뤄지며, 서면심사는 신청기관의 제출서류를 확인해 개인정보보호 인증심사기준에 부합하는지를 심사한다. 현장심사의 경우, 서면심사의 결과를 검증하기 위해 신청기관이 운영 중인 개인정보보호 관리체계 및 보호대책 구현 현장을 방문해 서면심사 결과와의 일치 여부를 확인하고, 개인정보보호 인증심사기준에 부합하는지 심사하게 된다.


인증심사 과정에서 인증심사기준 부적합 사항에 대해 보완조치가 필요할 경우 신청기관에 요청할 수 있다. 보완조치를 요청받은 신청기관은 요청일로부터 30일 이내에 보완조치를 완료하고, 보완조치 결과 및 증빙자료를 인증기관에서 서면으로 제출해야 한다. 또한, 보완조치 결과 확인을 위해 필요시에는 현장 확인도 할 수 있다.


인증기관은 인증심사 결과를 인증위원회에 제출해 인증 부여에 대한 심의·의결을 요청해야 한다. ‘개인정보보호법’과 규정에 따라 적정하게 수행되었는지 여부와 신청시관의 인증심사기준 부합여부 등을 종합적으로 심의해 인증 여부를 결정한다.


인증의 유효기간은 인증서 발급일로부터 3년이며, 변경심사를 통해 인증을 취득한 경우에는 인증서 변경발급일로부터 3년으로 한다. 인증교부 시에는 인증범위와 인증번호를 함께 표시해야 한다. 인증취득기관은 인증 유효기간 중 연1회 이상 유지 관리심사를 인증기관에 신청해야 한다.

유지관리 심사에서 인증취득기관의 개인정보 보호조치 및 활동이 지속적으로 유지되지 않는다고 판단되는 경우 인증기관은 인증취득기관에 그 사실을 통보하고, 30일의 유예기간을 주어 보완조치 할 것을 요청할 수 있다. 만약 취득기관이 특별한 이유 없이 1년 이상 유지관리 심사를 받지 않거나 보완조치를 하지 않은 경우, 인증위원회는 심의·의결을 거쳐 인증을 취소할 수 있다.


또한, 인증기관이 인증취득기관에게 경영환경 변화 등 인증대상의 범위를 변경할 필요가 있다고 판단될 때에는 제20조에 따라 변경심사를 요청할 수 있고, △새로운 서비스·시스템의 도입·운영, 설계의 변경 등에 따라 인증 받은 인증대상 범위의 확대·축소 △사업장 변경·합병 등에 따른 개인정보보호관리체계 변경 등의 사유가 없을 경우에는 90일 이내에 변경심사를 신청해야 한다.


인증갱신의 경우, 유효기간 만료 90일 전까지 신청할 수 있고, 인증대상이 심사기준에 부합하면 인증위원회의 심의·의결을 거쳐 유효기간을 3년간 연장할 수 있다. 만약 갱신신청을 하지 않고 유효기간이 경과할 경우 인증의 효력은 상실된다.


인증심사기준 부적합·인증 취소 등과 관련해 이의신청을 할 경우, 인증심사 결과 통보일로부터 15일 이내에 인증기관에 신청할 수 있고, 인증위원회에 재심의를 요청할 수 있다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)