PIMS (Personal Information Management System)

■ PIMS의 개념 (Personal Information Management System)

 - 기업이 개인정보 보호활동을 체계적ㆍ지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도

 

■ PIMS의 인증체계

 

1) PIMS의 인증체계

 - 3년간 인증이 유효하며, 1년에 한 번씩 사후관리를 수행해야 한다

 

2) PIMS 인증심사기준

관리과정 요구사항 (ISMS)	보호대책 요구사항	생명주기 요구사항
- 개인정보 정책 수립 - 관리체계 범위 설정 - 위험관리 - 구현 - 사후관리	- 개인정보 보호정책 - 교육 및 훈련 - 기술적 보호조치 - 물리적 보호조치 - 내부검토 및 감사 - 개인정보 분류	- 개인정보 수집에 따른 조치 - 개인정보 이용 및 제공에 따른 조치 - 개인정보 관리 및 폐기에 따른 조치

3) PIMS의 장점 및 동향

 - 개인정보침해 최소화 및 자발적 개인정보 보호활동 강화

 - 기업 내부 및 해외 유출방지

 - 2009년 기반 구축 → 2010년 제도 도입 → 2011년 제도 활성화 → 2012년 PIMS를 기반으로 국제 표준화 추진

 

 

■ PIMS (Personal Information Management System : 개인정보보호관리체계) 인증제도

 - PIMS 인증제도는 기업이 전사차원에서 개인정보 보호활동을 체계적, 지속적으로 수행하기 위해 필요한 일련의 보호조치체계를 구축했는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도이다

 - 한국인터넷진흥원(KISA)이 정보보호 활동을 계속하는 데 적합한 체계를 마련했는지를 살펴 인증해준다

 - 기업으로부터 개인정보가 대량으로 누출되는 사고가 늘자 보안 수준을 높이기 위해 마련한 제도

 - PIMS 인증을 받으면 개인정보 관련 사고가 일어났을 때 과징금ㆍ과태료의 절반(최대 경감치)까지 줄여 준다

 - 그동안 방송통신위원회 의결로 인증제를 운용했고, 2013년 2월 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 시행 근거를 마련한다

 - 제도를 활성화하려는 뜻이다. PIMS 인증을 통해 시민이 개인정보를 잘 관리하는 기업을 식별하는 효과를 기대했다

 

 ★ PIMS의 인증대상

   - 개인정보 보호활동을 체계적이고 지속적으로 수행하기 위하여 필요한 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계를 수립ㆍ운영하고 있는 개인정보 수집ㆍ취급 사어자들을 대상으로 한다

 

 ★ PIMS 인증심사 기준

   ① 인증기준은 국내ㆍ외의 표준과 '개인정보 보호법', '정보통신망 이용촉진 및 정보보호 등에 관한 법률', 국내환경을 고려하여 개발되었다

   ② 개인정보 유관 컴플라이언스 대응을 위한 최소 구현 사항, 법적 준거성, 체계적 운영 측면을 보완한다

   ③ 개인정보보호 관련 조직 및 담당자가 해야 할 실제 활용 부분을 강조한다

 

 ★ PIMS 구성 요소

  1) 관리과정 요구사항

    - 관리체계 수립 (정책, 범위, 조직 등)

    - 실행 및 운영 (개인정보 식별, 위험관리, 구현 등)

    - 검토 및 모니터링 (사후관리)

    - 교정 및 개선 (개선활동, 교육)

  2) 생명주기 및 권리보장 요구사항

    - 생명주기 관리 (수집, 이용 및 제공, 보유, 파기)

    - 정보주체 권리보장

  3) 보호대책 요구사항

    - 관리적 (인적, 침해사고)

    - 기술적 (접근권한, 접근통제, 운영보안, 암호화, 개발보안)

    - 물리적 (영상정보처리기기, 물리적 보안, 매체)

 

■ PIMS 특징

 - 인증제도의 객관성 및 신뢰성 확보를 위해 정책기관, 인증기관, 인증위원회를 분리하여 운영한다

 - 인증제도를 관리ㆍ감독하는 정책기관은 행정안전부/방송통신위원회가 직접 수행한다

 - 한국인터넷진흥원은 인증기관으로서 인증제도를 운영한다

 - PIMS 인증심사원은 산업계, 학계 등 관련 전문가 10명 이내로 각 분야별 외부 전문가로 인증위원호를 구성하여 인증결과를 심의한다

 - 인증심사팀은 인증심사원 양성교육을 수료하고, 자격 요건을 갖춘 자들로 구성된다

 - PIMS 인증취득 기업에 사고 발생 시 과징금 과태료가 경감된다

 - 인증심사 기준은 개인정보관리과정과 개인정보보호 대책, 개인정보 생명주기 등이 있다

 - PIMS는 기업이 자율적으로 심사를 신청하는 민간자율 제도로 운영한다

 - 3년간 인증이 유효하며, 1년에 한 번씩 사후관리를 수행해야 한다