속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

롯데렌탈, ISMS에서 ISMS-P로 인증 범위 확대 추진...AAA 등급 유지

롯데렌탈이 2025 지속가능경영보고서를 통해 기존 ISMS 인증에서 개인정보보호를 포함한 ISMS-P 인증으로 확대 추진 중임을 밝혔다. 2026년 6월 현재 AAA 등급을 유지하고 있다.

백남정 기자
입력 2026년 7월 1일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/f40eb2

핵심 요약

- 롯데렌탈이 2025 지속가능경영보고서에서 ISMS에서 ISMS-P로 인증 범위 확대 추진 계획 공개 - 정보보호 및 개인정보보호 관리체계 통합 인증으로 보호 수준 강화 - 2022년·2023년 AA 등급에서 2026년 6월 현재 AAA 등급으로 상향 유지

주요 내용

롯데렌탈이 2025년 발간한 지속가능경영보고서를 통해 정보보호 분야의 관리체계 고도화 계획을 밝혔다. 동사는 기존 ISMS(정보보호관리체계) 인증에서 개인정보보호 영역을 포함한 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증으로 범위를 확대 추진하고 있다.

ISMS-P는 정보보호와 개인정보보호 관리체계를 통합한 인증제도로, 기존 ISMS 대비 개인정보 처리 단계별 보호조치, 개인정보 영향평가, 정보주체 권리보장 등 추가 인증기준을 충족해야 한다. 특히 렌탈 서비스 특성상 대량의 고객 개인정보를 처리하는 롯데렌탈의 경우, ISMS-P 인증 취득은 법적 요구사항 준수를 넘어 고객 신뢰 확보를 위한 전략적 선택으로 해석된다.

롯데렌탈의 정보보호 등급은 꾸준한 상승세를 보이고 있다. 2022년과 2023년 AA 등급을 획득한 데 이어, 2026년 6월 현재 최고 등급인 AAA를 유지하고 있다. 이는 지속적인 보안 투자와 관리체계 개선 노력의 결과로 평가된다.

지속가능경영보고서를 통한 정보보호 활동 공개는 ESG 경영의 지배구조(G) 측면에서도 중요한 의미를 갖는다. 정보보호 및 개인정보보호는 기업의 투명성과 책임성을 나타내는 핵심 지표로, 투자자와 이해관계자들의 주요 관심사항이다.

전문가 시각

ISMS에서 ISMS-P로의 전환은 단순한 인증 범위 확대가 아니라 조직 전반의 개인정보보호 거버넌스 체계 구축을 의미한다. 심사원 입장에서 볼 때, 기존 ISMS 인증기업이 ISMS-P로 전환할 경우 개인정보 라이프사이클 전 단계에 걸친 보호대책, 개인정보 영향평가 체계, 정보주체 권리 보장 프로세스 등이 핵심 심사 포인트가 된다. 특히 렌탈 서비스의 경우 계약·결제·배송·AS 등 전 과정에서 개인정보가 처리되므로, 업무 프로세스별 개인정보 흐름도 작성과 처리 단계별 보호조치 이행이 필수적이다.

롯데렌탈과 같은 대형 서비스 기업이 ISMS-P 인증을 추진하는 것은 업계에 긍정적 신호탄이 될 것으로 전망된다. AAA 등급 유지는 최고경영자의 관심과 지원, 충분한 자원 배분, 전문 인력 확보가 뒷받침되었음을 의미한다. 다만 인증 취득 후에도 지속적인 모니터링, 정기적인 위험평가, 임직원 교육, 사고 대응 훈련 등 사후관리가 더욱 중요하다는 점을 강조하고 싶다.

ISMS-P 심사원 체크포인트

1. 개인정보 처리 현황 파악 및 흐름 관리 (ISMS-P 인증기준 2.5.1, 2.5.2) - 개인정보 처리 목록(개인정보 파일 대장) 작성 및 최신 상태 유지 여부 - 업무 프로세스별 개인정보 흐름도 작성 및 처리 단계(수집→이용→제공→파기)별 보호조치 이행 점검 - 개인정보보호법 제32조(개인정보 처리방침 수립·공개), 제30조(개인정보 처리방침의 수립 및 공개) 준수 확인

2. 개인정보 영향평가 체계 구축 (ISMS-P 인증기준 2.5.4) - 개인정보 영향평가 대상 식별 체계 및 평가 수행 이력 검토 - 개인정보보호법 제33조(개인정보 영향평가) 및 시행령 제35조(영향평가 대상) 준수 여부 - 평가 결과에 따른 위험 개선조치 이행 실적 확인

3. 정보주체 권리보장 체계 (ISMS-P 인증기준 2.6.1~2.6.4) - 열람·정정·삭제·처리정지 요구 접수 및 처리 프로세스 운영 현황 - 개인정보 자동수집 장치(쿠키 등) 운영 시 동의 획득 절차 - 개인정보보호법 제4조(정보주체의 권리), 제35조~제37조(열람·정정·삭제·처리정지 요구권) 이행 여부

CPPG·ISMS-P 연계 포인트

1. ISMS와 ISMS-P의 차이 ISMS는 정보자산 보호에 초점을 둔 80개 인증기준으로 구성되며, ISMS-P는 여기에 개인정보 라이프사이클 관리, 정보주체 권리보장 등 개인정보보호 영역 22개 기준이 추가된 102개 기준 체계다. ISMS-P는 개인정보보호법상 안전성 확보조치 의무(제29조)를 포함하여 법적 요구사항을 충족하는 통합 인증이다.

2. 개인정보 영향평가 제도 개인정보 영향평가는 개인정보를 전자적으로 처리하는 시스템 구축·운영 시 개인정보 침해 위험을 사전에 분석·평가하는 제도다(개인정보보호법 제33조). 공공기관은 의무 대상이며, 민간은 5만명 이상의 정보주체에 관한 민감정보·고유식별정보 처리 시스템 구축·변경 시 의무 수행 대상이 된다. ISMS-P 인증에서는 평가 대상 식별 체계와 평가 결과 반영 여부를 중점 심사한다.

#ISMS-P#롯데렌탈#정보보호인증#지속가능경영#개인정보보호
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사