울산복지진흥원, ISO37301 준법경영시스템 인증 취득...AI스마트케어사업에 개인정보보호 체계 강화
울산복지가족진흥사회서비스원이 2026년 ISO37301 준법경영시스템 인증을 취득하며 개인정보 보호, 회계, 인사노무 등 전 영역의 컴플라이언스 체계를 구축했다. AI스마트케어 등 신규 사업에서 개인정보보호 리스크 관리가 핵심 과제로 부각되고 있다.
https://privacynews.kr/s/5b5764핵심 요약
- 울산복지가족진흥사회서비스원, 2026년 7월 ISO37301 준법경영시스템 국제 인증 취득 - 개인정보 보호, 회계·계약, 인사·노무, 공익신고자 보호 등 전방위 컴플라이언스 체계 구축 - AI스마트케어사업, 긴급돌봄지원사업 등 개인정보 처리 고위험 사업에 준법경영 체계 적용주요 내용
울산복지가족진흥사회서비스원(이하 울산복지진흥원)이 2026년 7월 ISO37301 준법경영시스템(Compliance Management System) 인증을 취득했다고 17일 밝혔다. ISO37301은 국제표준화기구(ISO)가 제정한 준법경영 관리 체계로, 조직이 법규 및 규제 요구사항을 체계적으로 준수하는지를 평가하는 국제 인증이다.
이번 인증 취득을 통해 울산복지진흥원은 개인정보 보호, 회계·계약 관리, 인사·노무, 공익신고자 보호 등 사회서비스 기관의 핵심 컴플라이언스 영역을 체계적으로 관리하는 기반을 마련했다. 특히 공공기관 및 사회서비스 분야에서 개인정보 유출 사고가 지속적으로 발생하고 있는 가운데, ISO37301은 개인정보보호법, 근로기준법, 공익신고자보호법 등 다층적 법규 준수를 통합 관리하는 프레임워크로 작동한다.
울산복지진흥원은 긴급돌봄 지원사업, AI스마트 케어사업, 촘촘안전망지원사업, 중·장년 정신건강통합 지원사업 등 지역사회 복지 서비스를 운영하고 있다. 이들 사업은 취약계층의 민감한 개인정보(건강정보, 경제상황, 가족관계 등)를 다량 처리하며, 특히 AI스마트케어사업의 경우 인공지능 기술을 활용한 돌봄 서비스로 AI 알고리즘의 개인정보 처리 투명성과 설명가능성이 중요한 쟁점으로 부상하고 있다.
2026년 현재 AI기본법 시행을 앞두고 있는 상황에서, 공공서비스 분야의 AI 활용은 알고리즘의 공정성, 차별 금지, 개인정보 최소 수집 원칙 등 복합적인 법적 요구사항을 충족해야 한다. ISO37301 인증은 이러한 신규 규제 환경에 선제적으로 대응하는 거버넌스 체계를 갖췄음을 대외적으로 입증하는 효과가 있다.
전문가 시각
ISMS-P 선임심사원 관점에서 볼 때, ISO37301 준법경영시스템은 ISMS-P(개인정보보호 관리체계) 인증과 상호 보완적인 관계에 있다. ISMS-P가 정보보호 및 개인정보보호 기술적·관리적 통제에 집중한다면, ISO37301은 조직의 전반적 법규 준수 문화와 거버넌스 체계를 다룬다. 울산복지진흥원과 같이 개인정보 처리가 핵심 업무인 기관은 두 체계를 통합 운영함으로써 'Privacy by Design' 원칙을 조직 문화에 내재화할 수 있다.
특히 AI스마트케어사업에서 주목해야 할 지점은 AI 모델 학습 데이터의 개인정보 비식별 처리 적정성과 알고리즘 의사결정의 설명가능성이다. 2026년 시행 예정인 AI기본법은 고위험 AI 시스템에 대한 사전 영향평가를 의무화하고 있으며, 취약계층 돌봄 서비스는 고위험 영역으로 분류될 가능성이 높다. 준법경영시스템 내에 AI 거버넌스 체계를 통합하여, 데이터 수집 단계부터 모델 배포, 모니터링까지 전 생애주기에 걸친 컴플라이언스 점검 프로세스를 구축하는 것이 실무적 과제다.
CPPG·ISMS-P 연계 포인트
1. 통합 컴플라이언스 관리 체계 (ISMS-P 1.1.2 경영진 책임) ISO37301과 ISMS-P는 모두 최고경영진의 의지와 책임을 강조한다. ISMS-P 인증 요구사항 중 '1.1.2 경영진의 참여 및 지원'은 개인정보보호 정책 수립 및 자원 할당에 대한 최고경영진의 책임을 명시하며, ISO37301의 준법 통제 거버넌스와 동일한 맥락이다. 두 체계를 통합 운영 시 중복 통제를 제거하고 효율적 관리가 가능하다.
2. AI 시스템의 개인정보 영향평가 (개인정보보호법 제33조의2) AI스마트케어와 같이 자동화된 의사결정 시스템을 운영하는 경우, 개인정보보호법상 개인정보 영향평가(PIA) 대상이 될 수 있다. ISMS-P 인증 심사 시 '2.7.2 개인정보 영향평가' 항목에서 AI 알고리즘의 개인정보 처리 방식, 프로파일링 여부, 민감정보 처리 현황을 중점적으로 확인한다. 준법경영시스템 내 AI 거버넌스 정책을 수립하여 알고리즘 투명성과 설명가능성을 확보하는 것이 핵심이다.


