PIPL
Personal Information Protection Level
PIPL의 개요
PIPL의 정의
개인정보를 이용하는 기관별 규모 고려하여, 개인정보보호 관리체계와 보호대책 승인을 인증하는 제도
PIPL의 특징 및 인증대상
| 분류 | 구성 | 설명 |
|---|---|---|
| 특징 | 인증범위 구분 | 대기업/중소기업/소상공인에 따른 관리체계 및 보호대책 차등 |
| 심사항목 차이 | ISMS, PIMS 등과 비교 시 세부 항목 차이 존재 | |
| 인증대상 | 공공기관 | 중앙부처, 지방자치단체, 공사, 공단, 학교 등 2.8만 기관 |
| 헌법기관 | 국회/법원/헌법재판소, 중앙선거관리 위원회 등 | |
| 민간사업자 | 병원, 학원, 제조업, 서비스업 등 72개 업종 350만 사업자 | |
| 비영리단체 | 사업자 협회/복지법인 등 |
PIPL의 프레임워크 및 심사 세부영역
PIPL의 프레임워크
- 인증심사기준은 크게 ‘개인정보 보호 관리체계’ 분야와 ‘개인정보 보호대책’ 분야로 구성
PIPL의 심사 세부영역
| 분야 | 심사 영역 | 심사 내용 |
|---|---|---|
| 개인정보보호 관리체계 | 보호관리 체계 수립 | 개인정보 보호 관리계획 수립 개인정보 보호 조직 구축 경영진의 책임 부여 |
| 실행 및 운영 | 보호체계의 문서화 개인정보 자산 식별 위험관리방안 수립 및 보호대책 이행 |
|
| 검토 및 모니터링 | 개인정보 보호 관리 계획과 보호체계 이행간의 일치 여부 검토 | |
| 교정 및 개선 | 주기적인 개선 활동 여부 각종 개인정보보호 관리 계획의 공유 상황 검토 |
|
| 개인정보보호 대책 구현 | 개인정보 처리 | 개인정보 처리단계별 보호조치 여부 |
| 정보주체 권리보장 | 정보주체의 열람, 정정, 삭제, 처리정지 요구 등의 처리 | |
| 관리적 안정성 확보 조치 | CPO 지정, 개인정보 보호 교육 및 훈련 실시 위탁업무 관리 현황, 유출사고 대응절차 마련 |
|
| 기술적 안정성 확보 조치 | 접근 권한 및 접속기록 관리, 암호화 적용 여부 | |
| 물리적 안정성 확보 조치 | CCTV 설치 및 운영, 출입통제장비의 구비 인증기관은 신청기관과 협의하여 개인정보 처리 규모, 업무 특성 등을 고려하여 심사항목 |
기존 개인정보보호 관련 인증제와 비교
| 구분 | 개인정보보호 인증 | 정보보안 인증 | |
|---|---|---|---|
| 인증명 | PIPL | PIMS | ISMS |
| 목적 | 공공/민간기관의 개인정보보호 | 정보통신 서비스 제공자의 개인정보보호 | 기업의 정보보안 |
| 인증대상 | 모든 개인정보 처리자(정보통신 서비스 제공자 제외) | 개인정보 수집/이용 정보통신서비스 제공자 | 정보통신서비스 제공자 |
| 평가항목체계 | 2개 분야, 9개 심사영역, 26개 심사영역, 65개 심사항목 | 3개 분야, 118개 통제사항, 325개 세부점검 항목 | 2개 분야, 12개 통제항목(5단계), 통제항목 92개(13개 분야) |
| 근거법률 | 개인정보보호법 | 정보통신망법 | 정보통신망법 |
| 수행기관 | NIA(안정행정부) | KISA(방송통신위원회) | KISA(미래창조과학부) |