개인정보보호인증제 PIPL, 어떤 절차 거치나?

서면·현장 심사....인증서 발급일로부터 3년내 유지 심사 받아야

[보안뉴스 김경애] 개인정보보호법 제13조제3호에 따라 ‘개인정보보호 인증제(이하 PIPL)’에 관한 규정이 제정·고시되면서 심사기준 등 어떤 절차를 거쳐 인증제가 진행될지에 대한 관심이 집중되고 있다.

‘국가정보화 기본법’ 제14조에 따라 한국정보화진흥원이 인증기관으로 지정됐으며, 인증기관은 신청기관과 협의해 개인정보 처리규모, 업무특성을 고려하여 인증심사항목을 추가·조정할 수 있다.

인증기관은 △인증심사의 실시 및 인증·인증취소 △인증서 발급·인증마크의 교부 및 인증사실의 관리 △개인정보보호 인증위원회의 구성·운영 △인증심사기준 및 인증심사기법의 연구개발 △인증심사원의 자격인정, 교육·승급 및 인증심사 경력 관리 △인증제도 관련 연구 및 동향 조사·분석, 그밖에 인증제도의 운영에 필요한 사항과 관련해 임무를 수행한다.

인증기관의 장은 매년 2월말까지 인증제도의 운영에 관한 당해연도 추진계획과 전년도 추진실적을 안행부 장관에게 보고해야 한다. 안행부 장관은 인증 관련 예산을 확보하고, 인증기관에 출연할 수 있다.

인증위원회는 5인 이상 10인 이하의 위원으로 구성하고, 인증위원은 개인정보보호에 관한 학식과 경험이 있어야 한다. 위원 임기는 1년이며, 연임할 수 있고, 위원장은 위원 중에서 선출해 인증위원회를 대표하게 되며, 인증위원회의 회의를 주재한다.

인증심사는 서면심사와 현장심사로 이뤄지며, 서면심사는 신청기관의 제출서류를 확인해 개인정보보호 인증심사기준에 부합하는지를 심사한다. 현장심사의 경우, 서면심사의 결과를 검증하기 위해 신청기관이 운영 중인 개인정보보호 관리체계 및 보호대책 구현 현장을 방문해 서면심사 결과와의 일치 여부를 확인하고, 개인정보보호 인증심사기준에 부합하는지 심사하게 된다.

인증심사 과정에서 인증심사기준 부적합 사항에 대해 보완조치가 필요할 경우 신청기관에 요청할 수 있다. 보완조치를 요청받은 신청기관은 요청일로부터 30일 이내에 보완조치를 완료하고, 보완조치 결과 및 증빙자료를 인증기관에서 서면으로 제출해야 한다. 또한, 보완조치 결과 확인을 위해 필요시에는 현장 확인도 할 수 있다.

인증기관은 인증심사 결과를 인증위원회에 제출해 인증 부여에 대한 심의·의결을 요청해야 한다. ‘개인정보보호법’과 규정에 따라 적정하게 수행되었는지 여부와 신청시관의 인증심사기준 부합여부 등을 종합적으로 심의해 인증 여부를 결정한다.

인증의 유효기간은 인증서 발급일로부터 3년이며, 변경심사를 통해 인증을 취득한 경우에는 인증서 변경발급일로부터 3년으로 한다. 인증교부 시에는 인증범위와 인증번호를 함께 표시해야 한다. 인증취득기관은 인증 유효기간 중 연1회 이상 유지 관리심사를 인증기관에 신청해야 한다.

유지관리 심사에서 인증취득기관의 개인정보 보호조치 및 활동이 지속적으로 유지되지 않는다고 판단되는 경우 인증기관은 인증취득기관에 그 사실을 통보하고, 30일의 유예기간을 주어 보완조치 할 것을 요청할 수 있다. 만약 취득기관이 특별한 이유 없이 1년 이상 유지관리 심사를 받지 않거나 보완조치를 하지 않은 경우, 인증위원회는 심의·의결을 거쳐 인증을 취소할 수 있다.

또한, 인증기관이 인증취득기관에게 경영환경 변화 등 인증대상의 범위를 변경할 필요가 있다고 판단될 때에는 제20조에 따라 변경심사를 요청할 수 있고, △새로운 서비스·시스템의 도입·운영, 설계의 변경 등에 따라 인증 받은 인증대상 범위의 확대·축소 △사업장 변경·합병 등에 따른 개인정보보호관리체계 변경 등의 사유가 없을 경우에는 90일 이내에 변경심사를 신청해야 한다.

인증갱신의 경우, 유효기간 만료 90일 전까지 신청할 수 있고, 인증대상이 심사기준에 부합하면 인증위원회의 심의·의결을 거쳐 유효기간을 3년간 연장할 수 있다. 만약 갱신신청을 하지 않고 유효기간이 경과할 경우 인증의 효력은 상실된다.

인증심사기준 부적합·인증 취소 등과 관련해 이의신청을 할 경우, 인증심사 결과 통보일로부터 15일 이내에 인증기관에 신청할 수 있고, 인증위원회에 재심의를 요청할 수 있다.

[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)