속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
인공지능AI 초안

제약 3사 ISO 27701 인증 획득...개인정보 거버넌스 강화 나서

유한양행·한미약품·대웅제약이 2026년 지속가능경영보고서에서 ISO 27701 개인정보보호 인증 획득을 공개했다. 제약업계의 데이터 거버넌스 강화 움직임이 주목받고 있다.

백남정 기자
입력 2026년 7월 16일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/ab6abd

핵심 요약

- 유한양행·한미약품·대웅제약이 2026년 지속가능경영보고서에서 ISO 27701 개인정보보호 인증 획득 사실 공개 - 제약사들이 정보보호(ISO 27001)와 개인정보보호(ISO 27701) 통합 인증으로 데이터 거버넌스 강화 - 내부 윤리징계 19건 발생으로 인적 보안 관리와 개인정보 취급자 교육의 중요성 재확인

주요 내용

국내 주요 제약사들이 개인정보보호 관리체계 강화에 나섰다. 유한양행, 한미약품, 대웅제약 등 전통 제약 3사가 2026년 공개한 지속가능경영보고서(ESG 보고서)에서 ISO 27001(정보보호 관리체계)과 ISO 27701(개인정보보호 관리체계) 동시 인증을 획득했다고 밝혔다.

ISO 27701은 ISO 27001을 기반으로 개인정보 처리에 특화된 확장 표준이다. 제약사들은 임상시험 데이터, 환자 정보, 의료진 개인정보 등 민감정보를 대량으로 처리하는 특성상 개인정보보호 인증이 필수적이다. 특히 EU GDPR, 국내 개인정보보호법 등 글로벌 규제 강화에 대응하기 위한 전략으로 평가된다.

보고서에 따르면 제약 3사는 데이터 거버넌스 체계를 구축하며 개인정보 생명주기 관리, 처리자 교육, 기술적 보호조치 등을 강화했다. 그러나 동시에 내부 윤리징계 건수가 19건 발생한 것으로 집계됐다. 이는 기술적 보호조치만큼 인적 보안 관리와 내부자 위협 대응이 중요함을 보여주는 사례다.

제약업계는 2026년 들어 디지털 헬스케어, AI 신약개발, 원격의료 등 디지털 전환이 가속화되면서 개인정보 침해 리스크도 함께 증가하고 있다. 이에 따라 ISO 27701 인증은 ESG 경영의 핵심 요소이자 글로벌 시장 진출을 위한 필수 요건으로 자리잡고 있다.

전문가 시각

제약사의 ISO 27701 인증 획득은 단순한 컴플라이언스를 넘어 전략적 데이터 거버넌스 구축의 신호탄이다. ISMS-P 심사 현장에서 보면, 제약·헬스케어 분야는 '민감정보 처리 최소화', '목적 외 이용 금지', '안전성 확보조치' 등 개인정보보호법 핵심 의무사항에 가장 취약한 업종 중 하나다. ISO 27701은 개인정보 처리 단계별 통제 항목을 세분화하여 제시하므로, ISMS-P와 병행 인증 시 관리체계의 완성도를 크게 높일 수 있다.

다만 내부 윤리징계 19건이라는 수치는 기술적 보호조치만으로는 불충분함을 시사한다. 개인정보 유출 사고의 70% 이상이 내부자에 의해 발생하며, 특히 제약사의 경우 영업·마케팅 부서의 의료진 개인정보 오·남용 사례가 빈번하다. 따라서 ① 개인정보 취급자 정기 교육 강화 ② 접근권한 최소화 및 로그 모니터링 ③ 내부 신고 채널 활성화 ④ 징계 사례 공유를 통한 예방 문화 구축이 필수적이다. ISO 27701 인증 유지를 위해서는 연 1회 이상 내부심사와 지속적 개선활동이 요구된다.

CPPG·ISMS-P 연계 포인트

ISO 27701과 ISMS-P 연계: ISO 27701은 ISO 27001의 확장 표준으로, 개인정보 처리자(controller)와 처리위탁자(processor)의 역할별 통제 항목을 제시한다. ISMS-P 인증 기업이 ISO 27701을 추가 획득하면 글로벌 수준의 개인정보보호 체계를 갖춘 것으로 인정받아 EU GDPR, 미국 CCPA 등 해외 규제 대응이 용이하다. 심사 시 '개인정보 처리 단계별 보호조치', '개인정보 영향평가', '처리위탁 관리' 항목에서 높은 평가를 받을 수 있다.

내부자 위협 관리: 내부 윤리징계 발생은 '인적 보안' 영역의 취약점을 의미한다. ISMS-P 인증심사 시 ① 개인정보 취급자 지정 및 교육 실시 여부 ② 접근권한 관리 및 정기 검토 ③ 개인정보 처리 로그 기록 및 모니터링 ④ 내부 위반 시 조치 절차가 핵심 심사항목이다. 징계 건수 자체보다 '사고 발견→조사→조치→재발방지' 프로세스가 문서화되고 실제 이행되는지가 평가 포인트다.

#ISO27701#개인정보보호#제약사ESG#데이터거버넌스#ISMS-P
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사