PrivacyNews
전체개인정보보호법령·정책ISMS-P🔴 침해사고AIPET·신기술DR·재해복구💼 취업·진로칼럼관리자
속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

동양생명, 2026년 ISMS-P 인증 획득...생명보험사 정보보호 관리체계 강화 추세

동양생명이 올해 ISMS-P 인증을 새롭게 취득하며 소비자중심경영과 정보보호 관리체계를 동시에 강화했다. 생명보험업계의 개인정보보호 인증 확대 움직임이 주목받고 있다.

백남정 기자
입력 2026년 6월 26일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/3ac57e

핵심 요약

- 동양생명, 2026년 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 새롭게 취득 - 소비자중심경영(CCM) 인증과 ISMS-P 인증을 동시에 획득하며 관리체계 이중 강화 - 생명보험업계의 고객정보 보호 및 신뢰성 제고를 위한 인증 확보 경쟁 본격화

주요 내용

동양생명이 2026년 ISMS-P 인증을 새롭게 취득하며 정보보호 관리체계를 대폭 강화했다. 이번 인증은 소비자중심경영(CCM) 인증과 함께 올해 동시에 획득한 것으로, 고객 중심 경영과 정보보호를 양대 축으로 한 경영전략을 추진하고 있음을 보여준다.

ISMS-P 인증은 과학기술정보통신부와 한국인터넷진흥원이 주관하는 국내 최고 수준의 정보보호 인증제도다. 생명보험사는 보험계약자의 민감한 건강정보, 재무정보, 신용정보 등 대량의 개인정보를 처리하는 만큼, ISMS-P 인증은 단순한 선택이 아닌 필수 요건으로 자리잡고 있다.

특히 생명보험업계는 디지털 전환 가속화에 따라 온라인 보험 가입, 모바일 보험금 청구, AI 기반 언더라이팅 등 다양한 디지털 서비스를 도입하고 있다. 이 과정에서 개인정보 유출 리스크가 증가함에 따라, 체계적인 정보보호 관리체계 구축이 더욱 중요해지고 있다.

동양생명의 이번 ISMS-P 인증 취득은 금융당국의 개인정보보호 규제 강화와 소비자의 정보보호 요구 증대에 선제적으로 대응하는 조치로 평가된다. 생명보험사들은 고객 신뢰 확보를 위해 ISMS-P 인증을 경쟁력 요소로 인식하고 있으며, 업계 전반에 걸쳐 인증 확대가 예상된다.

전문가 시각

생명보험사의 ISMS-P 인증 취득은 형식적 compliance를 넘어 실질적인 정보보호 거버넌스 구축이 핵심이다. 심사 과정에서 경영진의 정보보호 의지, 조직·인력·예산의 적정성, 위험관리 프로세스의 실효성을 집중 점검하게 된다. 특히 생명보험사는 건강정보라는 민감정보를 대량 처리하므로, 개인정보 영향평가(PIA), 암호화 적용 범위, 접근권한 관리, 제3자 제공 통제 등에 대한 심사 기준이 일반 기업보다 엄격하게 적용된다.

동양생명의 사례에서 주목할 점은 CCM과 ISMS-P를 동시에 추진했다는 점이다. 이는 고객경험(CX)과 정보보호를 통합적으로 관리하겠다는 전략으로, 향후 보험업계의 표준 모델이 될 가능성이 크다. 다만 인증 취득 후 사후관리가 더 중요하다. 연간 자체 점검, 정기 갱신 심사 대비, 개인정보 처리 현황 모니터링 체계를 상시 운영해야 인증의 실효성을 유지할 수 있다.

ISMS-P 심사원 체크포인트

1. 인증기준 2.8.1 (개인정보 수집 시 동의) 및 개인정보보호법 제15조, 제23조 생명보험 가입 과정에서 일반 개인정보와 민감정보(건강정보, 질병정보) 수집 시 분리된 동의 절차 이행 여부를 점검한다. 필수·선택 정보가 명확히 구분되어 있는지, 건강정보 수집 시 별도 동의를 받았는지, 동의서 보관 및 철회 절차가 마련되어 있는지 확인한다. 특히 대면·비대면 채널별 동의 획득 방식의 적법성과 동의 내용의 구체성을 중점 심사한다.

2. 인증기준 2.8.4 (개인정보의 파기) 및 개인정보보호법 제21조 보험계약 종료 후 개인정보 보유기간 산정 기준, 파기 절차 및 방법의 적정성을 검토한다. 상법, 전자금융거래법 등 관련 법령에 따른 보존 의무 기간과 자체 보유 기간을 구분하여 관리하는지, 파기 대상 정보의 자동 추출 및 안전한 삭제(완전 파기, 복원 불가능 조치)가 이루어지는지 점검한다. 특히 백업 시스템 내 개인정보 파기 여부도 확인 대상이다.

3. 인증기준 2.3.2 (위험 식별 및 평가) 및 2.9.3 (개인정보 영향평가) 보험업 특성상 처리하는 개인정보의 종류, 규모, 민감도가 높으므로 정기적 위험평가 수행 여부와 개인정보 영향평가(PIA) 실시 이력을 검토한다. 디지털 채널 확대, 신규 서비스 도입, AI 언더라이팅 등 개인정보 처리 환경 변화 시 사전 영향평가가 수행되었는지, 평가 결과에 따른 보호조치 이행 여부를 확인한다.

CPPG·ISMS-P 연계 포인트

통합 인증제도의 이해: ISMS-P는 2018년 기존 ISMS(정보보호 관리체계)와 PIMS(개인정보보호 관리체계)가 통합된 인증제도로, 정보보호 80개 항목과 개인정보보호 22개 항목(총 102개 통제항목)으로 구성된다. 생명보험사처럼 민감정보를 대량 처리하는 기업은 개인정보보호 영역에 대한 심화 심사를 받게 되며, 개인정보보호법 준수가 인증의 필수 요건이다.

민감정보 처리의 법적 근거: 개인정보보호법 제23조는 건강정보 등 민감정보 처리 시 별도 동의를 요구하며, 보험업법 시행령 제42조의2는 계약 체결을 위해 불가피한 경우 건강정보 수집을 허용한다. ISMS-P 심사에서는 이러한 법적 근거의 적합성, 수집 범위의 최소화, 처리 목적 외 이용 금지 준수 여부를 종합적으로 평가한다.

#ISMS-P#동양생명#정보보호관리체계#개인정보보호#생명보험
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

ISMS-P 기사 더 보기 →
개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
PET·신기술

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화

2026년 6월 19일
[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리
인공지능

[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리

2026년 6월 3일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
취업·진로

공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”

2026년 6월 7일
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
개인정보보호

[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최

2026년 5월 22일