[IT정보관리] 개인정보보호(PIMS) 개념 및 프레임워크

1. PIMS(Personal Information Management System)의 정의

- 개인정보를 취급하는 기업이 전사 차원에서 개인정보 보호활동을 체계적, 지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 인증을 부여하는 일련의 과정 입니다.

- 개인정보 침해 관련 사고 증가, 개인정보 침해사고 시 집단소송에 따른 배상 리스크, 기업에서 개인정보 관리에 대한 객관적 판단 기준 부재 등으로 등장한 개념입니다.

- 필요성 

. 기업이 개인정보보호를 위해 무엇을(what to do) 조치하여야 하는지에 대한 기준 제시
. 기업이 개인정보보호를 위해 어떻게(how to do) 조치하여야 하는지에 대한 기준 제시
. 인증제도의 신뢰성과 공정성 확보를 위하여 방송통신위원회가 인증제를 직접 관리, 감독하고, 한국인터넷진흥원(KISA)이 인증 신청 기업의 심사를 수행할 예정

 

2. PIMS의 프레임워크

- 프레임워크는 3개 분야, 119개 통제사항, 325개 세부 점검항목으로 구성됨

1) 관리과정 요구사항

  ㄴ 개인정보보호 활동을 체계적, 지속적으로 수행하는지 기본 체계를 점검

  ㄴ 5단계의 관리(정책수립, 범위 설정, 위험관리, 구현, 사후관리)를 수행하여 개인정보관리체계를 수립하고 지속 운영

2) 보호대책 요구사항

  ㄴ 개인정보를 안전하게 보호하기 위한 관리적, 기술적, 물리적 보호조치를 점검

  ㄴ 인증신청기관 사업모델에 따라 선택적으로 적용 가능

3) 생명주기 요구사항

  ㄴ 법률에 명시되어 있는 개인정보 생성에서 파기까지 생명주기 요구사항을 점검

  ㄴ 개인정보 수집에 따른 조치, 개인정보 이용 및 제공에 따른 조치, 개인정보 관리 및 파기에 따른 조치

 

3. PIMS 인증체계 및 인증심사 종류

- 제도를 관리/감독하는 인정기관(방송통신위원회), 인증 결과를 심의하는 인증위원회, 인증심사를 수행하는 인증기관(KISA)을 구분하여 운영

구 분	관련기관	상세내용
인정기관	방송통신위원	-방송통신위원회가 인증기관 및 제도운영을 관리감독 - 인증기관 관리,감독, 인증기관 지정공고 및 심사, 인증기관 지정서 발급 및 관리, 인증기관 심사 위원회 운영 및 관리
인증위원회	관련기관, 학계, 연구기관 등의 전문가	-인증심사결과 심의 인증취득의 타당성 심의, 인증기관에 인증심의 결과서 제출 - 인증심사원이 실사한 인증 결과가 인증심사 기준에 적합 여부를 심의
인증기관	한국 인터넷 진흥원	한국 인터넷 진흥원이 인증기관 역할 수행 심사수행 : 인증신청 사업자 심사, 사후관리, 인증서 발급 및 관리 제도운영 : 인증위원회 운영, 인증심사원 양성, 인증제도 개선, 기타 인증수행관련 업무

- 인증심사의 종류는 최초 심사, 재심사, 사후심사, 갱신심사로 구분되며, 기본적으로 인증 유효기간은 3년이며 인증 취득 후 1년에 1회 이상 사후관리심사 필요함

 ㄴ 최초심사 : 개인정보보호관리체계 인증 취득을 위한 심사

 ㄴ 재심사 : 인증을 받은 개인정보보호관리체계의 범위 내에서 중대한 변경이 발생한 경우의 심사

 ㄴ 사후관리 : 개인정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사 (연 1회 이상)

 ㄴ 갱신심사 : 유효기간(3년) 만료일 이전에 유효기간의 연장을 목적으로 하는 심사

 

4. PIMS 인증절차

- 준비단계, 심사단계, 인증단계, 사후관리 단계의 4단계로 구성

- 심사단계를 서면과 기술로 구분되며, 기술심사 시 다음과 같은 절차가 이뤄짐

  ㄴ 심사위원간의 문서심사의 문제점 공유

  ㄴ 네트워크 및 시스템 취약점 점검 등

  ㄴ 심사기준에 따른 심사(Checklist)

  ㄴ 위험 분석 결과 및 확인

  ㄴ 관련 중적 자료 및 문서 확인

  ㄴ 보호대책 수립 및 관계자 면담

  ㄴ 연장 이행 점검 및 관계자 면담

  ㄴ 신청기관과의 심사결과에 대한 확인

* 참고 :인증 심사 수수료

- PIMS 인증 심사 수수료는 소프트웨어 기술 노임단가를 적용하고 개인정보 취급자 수에 따른 심사일수와 개인정보취급 정보통신시설의 수에 따른 심사일수에 따라 산정됨

- 인증심사수수료 산정기준 : 신청비 + 직접인건비 + 직접경비

 

5. PIMS 인증 혜택

- PIMS 인증 취득기업이 개인정보보호 법규 위반 시 과징금/과태료 감경 혜택 부여

*과징금/과태료 감경 혜택 근거

(과징금) 방통위 고시(제2011-2호)([별표] 임의적 가중.감경 금액)-"임의적 가중.감경 금액(제8조 관련)"의 감경 사유 및 비율 : 위반 전기통신사업자가 개인정보 보호를 위해 방송통신위원회가 인정하는 인증을 받은 경우 100분의 50 이내

(과태료) 정보통신망법 시행력([별표9]과태료의 부과기준)-부과권자는 위반행위의 동기.내용.결과.유형 및 개인정보보호를 위한 사업자의 노력 등을 고려하여 과태료 금액의 2분의 1의 범위에서 그 금액을 가중하거나 감경할 수 있다.

 

6. PIMS 인증 후 고려사항

- PIMS인증 취득 시 혜택 부여 : ISMS는 인증 취득에 준하는 혜택 부여 예정, 과징금 경감

- 중소기업 수준 진단 방법 : 중소기업에 대한 개인정보관리 수준을 진단하여 개선방법 안내

 

7. PIMS 인증제도를 통한 기대효과

1) 개인정보보호를 위한 최고의 가이드
- PIMS 는 사업자가 개인정보보호를 위해 최소한 지켜야 할 항목 위주로 명확한 가이드를 제시

2) 개인정보보호 관련 대외 신뢰성 확보
- 객관적인 평가인 PIMS 인증을 획득한다면, 사업자의 개인정보보호관리 능력에 대한 대외적인 신뢰성을 확보 가능
3) 개인정보보호를 위한 효과적인 관리체계 확보
- PIMS인증 유지를 통해 사업자의 개인정보보호 수준의 유지 및 개선을 위한 효과적인 관리체계 확보