속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

롯데렌탈, ISMS에서 ISMS-P 인증 확대 추진…개인정보보호 체계 강화

롯데렌탈이 2025년 지속가능경영보고서를 통해 기존 ISMS 인증에서 ISMS-P 인증으로 확대 추진 중임을 밝혔다. 개인정보보호 관리체계까지 포함하는 통합 인증으로 전환하며 정보보호 수준을 한층 강화한다.

백남정 기자
입력 2026년 7월 2일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/3845ad

핵심 요약

- 롯데렌탈, 기존 ISMS 인증에서 개인정보보호 포함하는 ISMS-P 인증으로 확대 추진 중 - 2025년 지속가능경영보고서를 통해 정보보호 강화 의지 공개 - 2026년 6월 현재 AAA 신용등급 유지하며 투명 경영 지속

주요 내용

롯데렌탈이 2025년 발간한 지속가능경영보고서에서 정보보호 관리체계 고도화 계획을 공개했다. 회사는 기존에 취득한 ISMS(정보보호관리체계) 인증에서 더 나아가 개인정보보호 관리체계까지 포함하는 ISMS-P 인증을 추진 중이다.

ISMS-P는 정보보호와 개인정보보호 관리체계를 통합한 인증제도로, 기존 ISMS가 주로 기술적·물리적 보안에 초점을 맞췄다면, ISMS-P는 고객 개인정보의 수집·이용·제공·파기 등 전 생애주기 관리까지 포괄한다. 특히 차량 렌탈 서비스 특성상 운전자 정보, 결제정보, 위치정보 등 민감한 개인정보를 다루는 롯데렌탈로서는 필수적인 인증 전환이라 할 수 있다.

롯데렌탈은 이번 인증 확대를 통해 투명한 경영 체계를 강화하고 있으며, 2026년 6월 현재 AAA 신용등급을 유지하고 있다. 최진환 대표이사 사장은 다섯 번째 지속가능경영보고서 발간의 의미를 강조하며 친환경차 비중 50% 초과 달성과 함께 정보보호 강화를 핵심 성과로 제시했다.

전문가 시각

롯데렌탈의 ISMS-P 인증 전환은 모빌리티 산업의 디지털 전환 가속화에 따른 전략적 선택으로 평가된다. 차량공유, 구독 서비스, 커넥티드카 확대로 수집되는 개인정보의 종류와 양이 급증하는 상황에서, 기존 ISMS만으로는 개인정보 처리 과정의 법적 요구사항을 충족하기 어렵다. 특히 개인정보보호법 제32조의2에 따른 가명정보 활용이나 위치정보법상 위치기반서비스 제공 시 ISMS-P 인증은 법적 리스크 완화에 실질적 도움이 된다.

실무 관점에서 ISMS에서 ISMS-P로 전환 시 가장 큰 과제는 개인정보 처리 단계별 문서화와 내부 통제 체계 구축이다. 정보보호 조직만으로는 부족하며, 마케팅·영업·고객서비스 등 개인정보를 실제 처리하는 전 부서의 참여와 책임 배분이 필수적이다. 롯데렌탈처럼 대규모 고객 기반을 보유한 기업은 최소 6개월에서 1년의 준비 기간을 확보하고, 외부 컨설팅과 모의심사를 통해 취약점을 사전에 보완하는 것이 바람직하다.

ISMS-P 심사원 체크포인트

1. 개인정보 흐름도 및 처리 단계별 보호조치 (ISMS-P 인증기준 2.3.2, 2.8.1) - 차량 예약·이용·반납 전 과정에서 발생하는 개인정보 흐름도 작성 여부 - 운전면허 정보, 결제정보, 차량 이용기록, 텔레매틱스 데이터 등 정보 유형별 보호조치 적정성 - 개인정보보호법 제29조(안전조치의무) 준수를 위한 암호화, 접근통제, 보관기간 설정 확인

2. 개인정보 처리 위탁 관리 (ISMS-P 인증기준 2.7.2) - 정비업체, 보험사, 결제대행사 등 위탁업체 관리·감독 체계 구축 여부 - 위탁계약서 내 개인정보보호법 제26조에 따른 안전성 확보조치 의무 명시 여부 - 정기적 수탁자 관리·감독 기록 및 재위탁 통제 절차 확인

3. 개인정보 유출 대응 및 고지 체계 (ISMS-P 인증기준 2.9.3) - 개인정보 유출사고 발생 시 개인정보보호법 제34조에 따른 통지·신고 절차 수립 여부 - 모의훈련 실시 기록 및 24시간 내 개인정보보호위원회 신고 체계 구축 확인

CPPG·ISMS-P 연계 포인트

ISMS vs ISMS-P 인증 범위 차이 ISMS는 조직의 정보자산 보호에 초점을 둔 80개 통제항목으로 구성되며, ISMS-P는 여기에 개인정보 생애주기 관리 22개 항목을 추가한 102개 통제항목 체계다. ISMS-P는 개인정보보호법 준수를 인증으로 입증하는 효과가 있어, 연매출 100억 원 이상 정보통신서비스 제공자나 100만 명 이상 정보주체 개인정보 처리자는 ISMS-P 의무 인증 대상이 된다.

개인정보 안전성 확보조치 vs 정보보호 관리체계 개인정보보호법 제29조의 안전성 확보조치는 개인정보의 기술적·관리적·물리적 보호를 위한 최소 기준을 규정한 것이며, ISMS-P는 이를 포함하되 조직 전반의 위험관리·사고대응·지속적 개선까지 요구하는 상위 개념이다. ISMS-P 인증 취득 시 안전성 확보조치 의무는 자동 충족되며, 개인정보보호 법규 위반 시 과징금 감경 사유로도 인정받을 수 있다.

#ISMS-P#롯데렌탈#정보보호관리체계#개인정보보호#인증확대
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사