속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

롯데렌탈, ISMS-P 최고등급 유지로 글로벌 수준 정보보호 체계 입증

롯데렌탈이 ISMS-P 인증 최고등급을 2026년 6월 현재까지 유지하며 ESG 경영의 핵심 축인 정보보호 역량을 강화하고 있다. 개인정보 처리 기업의 통합 인증 사례로 주목받고 있다.

백남정 기자
입력 2026년 7월 1일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/a5c6a9

핵심 요약

- 롯데렌탈이 ISMS-P 인증 최고등급을 획득하고 2026년 6월 현재까지 유지 - 기존 ISMS에서 진화한 ISMS-P 통합 인증으로 정보보호·개인정보보호 체계 동시 검증 - ESG 경영의 거버넌스(G) 영역에서 글로벌 탑티어 수준 정보보호 경쟁력 확보

주요 내용

롯데렌탈이 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증에서 최고등급을 획득하고 2026년 6월 현재까지 이를 유지하며 정보보호 역량을 입증하고 있다. ISMS-P는 기존 정보보호 관리체계(ISMS)에 개인정보보호 관리체계(PIMS)를 통합한 인증제도로, 정보자산 보호와 개인정보 처리 전반을 총체적으로 검증하는 최상위 인증이다.

렌터카 서비스 특성상 고객의 개인정보와 위치정보, 결제정보 등 민감정보를 대량으로 처리하는 롯데렌탈은 ISMS-P 인증을 통해 체계적인 정보보호 거버넌스를 구축했다. 최고등급 유지는 단순 인증 획득을 넘어 지속적인 개선활동과 사후관리가 이루어지고 있음을 의미한다.

이번 성과는 ESG 경영의 거버넌스(Governance) 영역에서 핵심 지표로 평가된다. 최근 투자자와 이해관계자들은 기업의 정보보호 수준을 ESG 평가의 중요 요소로 고려하고 있으며, ISMS-P 최고등급은 글로벌 탑티어 수준의 정보보호 역량을 객관적으로 입증하는 지표로 작용한다.

전문가 시각

ISMS-P 최고등급 유지는 인증 획득보다 훨씬 어려운 과제다. 3년 주기 갱신심사와 연차 사후심사를 통해 지속적으로 관리체계 운영 실효성을 검증받아야 하며, 특히 개인정보 침해사고, 관리체계 미흡 사항이 발견될 경우 등급 하향이나 인증 취소가 가능하다. 롯데렌탈의 사례는 최고경영진의 의지, 전담조직 운영, 정기적 위험평가 및 개선활동이 체계적으로 이루어지고 있음을 보여준다.

모빌리티 산업에서 ISMS-P는 선택이 아닌 필수가 되고 있다. 차량 공유, 구독 서비스 확대로 개인정보 처리 범위가 확장되고, 텔레매틱스 데이터 수집이 일상화되면서 정보보호 리스크가 증가하고 있다. 기업들은 ISMS-P 인증을 통해 법적 요구사항 준수는 물론, 고객 신뢰 확보와 ESG 경영 강화라는 다층적 효과를 얻을 수 있다. 특히 최고등급 유지는 입찰 가점, 보험료 할인, 투자유치 시 긍정적 평가 등 실질적 경영 이익으로 연결된다.

ISMS-P 심사원 체크포인트

1. 인증기준 1.1.1 경영진의 참여 (관리체계 수립 및 운영) 최고경영진이 정보보호 및 개인정보보호 정책을 승인하고, 충분한 자원을 배정하며, 정기적으로 관리체계 성과를 검토하는지 확인한다. 심사 시 이사회 보고 자료, 경영진 검토 회의록, 예산 배정 내역을 점검하며, 형식적 참여가 아닌 실질적 의사결정 권한 행사 여부를 평가한다. 개인정보보호법 제31조(개인정보 보호책임자의 지정)와 연계하여 책임자 지정 및 권한 부여의 적정성을 검토한다.

2. 인증기준 2.4.1 개인정보 수집 시 동의 (개인정보 수명주기 보호) 렌터카 예약 시 수집하는 개인정보 항목이 서비스 제공에 필수적인지, 선택 정보와 필수 정보가 명확히 구분되는지 심사한다. 고지 및 동의 절차가 개인정보보호법 제15조(개인정보의 수집·이용), 제22조(동의를 받는 방법)를 준수하는지, 특히 위치정보는 위치정보법 제15조에 따른 별도 동의를 받는지 확인한다. 웹사이트와 모바일 앱 모두에서 동의서 양식, 철회 절차의 실효성을 점검한다.

3. 인증기준 2.8.1 개인정보 처리업무 위탁 (개인정보 위탁 관리) 차량 정비, 보험 처리, 콜센터 운영 등 위탁업무에서 개인정보가 적법하게 처리되는지 검증한다. 위탁계약서에 개인정보보호법 제26조(업무위탁에 따른 개인정보 처리 제한) 필수 포함사항이 명시되었는지, 수탁자에 대한 정기 교육 및 관리·감독 활동(현장 점검, 보안서약서 징구)이 실시되는지 심사한다. 재위탁 발생 시 사전 동의 절차 이행 여부도 중점 확인한다.

CPPG·ISMS-P 연계 포인트

ISMS와 ISMS-P의 차별점 ISMS는 정보자산 보호에 초점을 둔 80개 인증기준으로 구성되며, ISMS-P는 여기에 개인정보 처리 관련 22개 기준을 추가한 102개 통합 인증이다. 개인정보를 처리하는 사업자는 개인정보보호법 제32조의2에 따라 ISMS-P 인증 획득 의무가 있으며(정보통신서비스 부문 전년도 매출 100억 이상 등), 통합 인증으로 이원화된 관리 부담을 해소할 수 있다.

ESG와 정보보호 거버넌스의 연계 ESG 평가의 G(거버넌스) 항목에서 정보보호·개인정보보호 관리체계는 핵심 평가 요소다. ISMS-P 인증은 MSCI, Sustainalytics 등 글로벌 ESG 평가기관이 참조하는 객관적 지표이며, 특히 최고등급은 리스크 관리 역량의 우수성을 입증한다. 투자자들은 정보유출 사고가 재무적·평판적 손실로 직결됨을 인식하고, ISMS-P 인증 여부를 투자 의사결정에 반영하는 추세다.

#ISMS-P#롯데렌탈#정보보호#개인정보보호인증#ESG
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사