[디지털데일리 이민형기자] 한국정보화진흥원(NIA, 원장 장광수)이 오는 28일 ‘개인정보보호 인증제(PIPL)’시행을 앞두고 기존 개인정보영향평가(PIA), 개인정보보호 관리체계(PIMS) 제도 차별화에 진땀을 빼고 있다.
김두현 NIA 개인정보보호사업부장은 18일 열린 설명회에서 “PIPL은 기존 PIA, PIMS 제도와는 다른 성격의 인증”이라고 강조하며 “특히 PIPL은 자율인증으로 기관, 기업의 상황에 따라 적용할 수 있다는 장점이 있으므로 많은 참여를 부탁한다”고 말했다.
안전행정부는 개인정보보호 인증제(PIPL) 시행에 앞서 최근 ‘개인정보보호 인증제 운영에 관한 규정’을 고시해 NIA를 인증기관으로 지정한 바 있다. PIPL은 기관, 기업이 개인정보보호법상 필수조치사항을 이행하고 일정한 보호수준을 갖추면 인증마크와 함께 이를 외부에 공개하는 제도다.
보안업계에서는 PIPL 제정안이 등장할 당시 기관, 기업의 개인정보보호 수준을 측정하는 인증제라는 점에서 기존 PIA, PIMS과 함께 중복 인증이 될 수 있다고 지적한 바 있다.
실제 이 때문에 이날 설명회에 참석한 인증 대상업체, 컨설팅 업체, 법률사무소 담당자들은 PIPL과 기존 제도와의 차별점에 대한 질의를 쏟아냈다.
이날 모 보안컨설팅 업체 부장은 “PIMS는 기업의 전사적인 개인정보보호 활동을 체계적으로 수행하기 위한 일련의 보호조치체계인데, PIPL 역시 기관이나 기업의 개인정보보호를 위한 조치사항 이행 여부를 측정하는 제도로 둘은 매우 유사하다”며 “어떤 인증제도를 받아야하는지, PIPL을 꼭 받아야하는지 혼란스럽다”고 지적했다.
김 부장은 “PIMS는 정보통신서비스 사업자와 같은 대규모의 기업이 받는 것으로 PIPL과 중복되는 요소는 일부 있을 수 있으나 적용 대상이 다르다”며 “특히 소상공인, 중소기업들이 개인정보보호법을 준수하고 정보보호 수준을 높일 수 있도록 유도하기 위한 인증제도라고 생각해 달라”고 설명했다.
NIA는 PIPL이 자율인증인 점을 재차 강조하며 인증 획득시 많은 혜택을 누릴 수 있도록 노력하겠다고 강조했다. 현재 PIPL 인증을 획득할 경우 개인정보보호법에 따라 실시하는 기획점검 대상에서 제외되거나 점검을 유예받을 수 있다.
또 금융위원회, 미래창조과학부 등 관련부처와 협의해 앞으로 더욱 실질적인 혜택을 줄 수 있도록 노력하겠다고 김 부장을 말했다.
NIA는 일각에서 우려하는 PIPL 인증 심사원 부족 우려도 빠르게 해결할 방침도 밝혔다.
오는 28일부터 PIPL 제도가 시행되지만 현재 인증 심사원의 수가 40여명에 불과하다. 이들 대부분은 ISMS, PIMS 인증 심사원을 겸직하고 있다. 이로 인해 향후 신청기업이 늘어나면 평가 적체가 발생할 우려가 나오고 있기 때문이다.
이에 대해 김 부장은 “매월 심사원 교육을 진행해 심사 적체 등이 발생하지 않도록 최선을 다할 것”이라며 “내년 상반기까지 추이를 살펴 심사원 양성에 나설 계획”이라고 전했다.
한편 PIPL은 공공기관, 대기업, 중소기업, 소상공인 등으로 나뉘어 심사된다. 주요 심사 항목은 ▲개인정보수집 제한 ▲정보주체의 동의 ▲개인정보보호 책임자 지정 ▲개인정보 품질보장 ▲개인정보 파기 ▲개인정보 처리 정지 ▲교육 및 훈련 시행 ▲개인정보 유출 사고 대응 등(34개 항목)이다.
안행부는 진입장벽을 낮추기 위해 인증심사 수수료에 대한 부담도 줄일 계획이다. 일반적으로 대기업의 인증심사 수수료는 3000만원 선이지만 소상공인과 중소기업의 경우 규모 등을 고려해 적은 비용으로도 인증심사를 받을 수 있도록 할 계획이다.
김 부장은 “소상공인의 경우 심사원에 지급되는 인력비 외에는 추가로 비용을 받지 않을 것”이라고 말하며 소상공인의 적극적인 참여를 부탁했다.