롯데렌탈, ISMS에서 ISMS-P 인증 확대 추진…개인정보보호 강화 본격화
롯데렌탈이 2026년 기존 ISMS 인증보다 범위가 넓은 ISMS-P 인증을 추진하며 정보보호 체계를 강화하고 있다. ESG 평가 2년 연속 AAA 등급 유지.
https://privacynews.kr/s/3de04c핵심 요약
- 롯데렌탈이 기존 ISMS 인증에서 개인정보보호를 포함한 ISMS-P 인증으로 확대 추진 중 - 2025년 ESG 평가에서 2년 연속 AAA 등급 획득, 2026년 6월 현재 등급 유지 - 정보보호 및 개인정보보호 통합 관리체계 구축을 통한 지속가능경영 강화주요 내용
롯데렌탈이 2026년 정보보호 관리체계를 한 단계 업그레이드하며 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 추진에 나섰다. 이는 기존 ISMS(정보보호 관리체계) 인증보다 개인정보보호 영역을 통합적으로 포함하는 상위 인증으로, 렌터카 및 리스 사업 특성상 대량의 고객 개인정보를 취급하는 기업 특성을 반영한 결정으로 분석된다.
ISMS-P 인증은 정보보호 관리체계(80개 항목)에 개인정보 처리 단계별 요구사항(22개 항목)을 추가한 총 102개 인증기준으로 구성되어 있다. 특히 개인정보 수집·이용·제공·파기 등 생애주기 전반에 걸친 보호대책과 정보주체 권리보장, 개인정보 영향평가 등이 핵심 심사항목이다. 롯데렌탈과 같이 회원가입, 차량 예약, 결제정보, 운전자 정보 등 민감정보를 포함한 대규모 개인정보를 처리하는 기업에게는 필수적인 인증이라 할 수 있다.
롯데렌탈은 이번 ISMS-P 인증 추진을 지속가능경영보고서에 포함시키며 ESG 경영의 핵심 과제로 설정했다. 실제로 동사는 2025년 ESG 평가에서 2년 연속 최상위 AAA 등급을 획득했으며, 2026년 6월 현재까지 해당 등급을 유지하고 있다. 특히 거버넌스(G) 영역에서 정보보호와 개인정보보호 체계 강화가 주요 평가요소로 작용한 것으로 보인다.
금융·보험업을 제외한 일반 기업의 경우 ISMS-P 인증은 의무가 아닌 자율 인증이지만, 최근 개인정보보호법 위반에 따른 과징금 및 손해배상 리스크가 커지면서 대형 유통·서비스 기업들이 자발적으로 인증을 추진하는 추세다. 롯데렌탈의 이번 결정은 업계 내 개인정보보호 수준 상향 평준화를 유도하는 선도적 사례로 평가된다.
전문가 시각
ISMS에서 ISMS-P로의 전환은 단순한 인증 범위 확대가 아니라, 조직 내 개인정보 거버넌스 체계 전반의 재설계를 의미한다. 특히 렌터카 사업은 운전면허 정보, 신용카드 정보, 위치정보, 사고이력 등 민감정보와 고유식별정보를 복합적으로 처리하므로, 개인정보 영향평가(PIA), 개인정보 처리방침 고도화, 제3자 제공 동의 체계 정비, 개인정보 처리 위탁계약 재검토 등이 필수적으로 수반된다. 또한 디지털 전환 과정에서 모바일 앱, 웹사이트, 텔레매틱스 시스템 등 다양한 채널을 통해 수집되는 개인정보의 흐름을 명확히 문서화하고, 각 단계별 보호대책을 수립해야 한다.
실무적으로는 ISMS-P 인증 추진 시 최고경영층의 의지 표명(정책·조직·예산 확보), CPO(Chief Privacy Officer) 또는 개인정보보호책임자의 권한 강화, 전 직원 대상 개인정보보호 교육 체계화, 개인정보 처리시스템에 대한 접근통제 및 암호화 적용, 개인정보 유출 대응 절차 마련 등이 선행되어야 한다. 특히 심사 시에는 문서화된 정책과 실제 운영 간의 정합성을 집중 점검하므로, 형식적 대응보다는 실효성 있는 체계 구축이 중요하다.
ISMS-P 심사원 체크포인트
1. 개인정보 처리 단계별 보호조치 (인증기준 3.1.1~3.1.8) - 개인정보 수집 시 최소수집 원칙 준수 여부, 수집·이용 목적의 명확성 및 동의 획득 절차 적정성 점검 - 렌터카 예약·결제·차량인도 과정에서 수집되는 개인정보 항목별 법적 근거(동의, 계약이행 등) 명시 여부 확인 - 개인정보보호법 제15조(수집·이용), 제16조(제공), 제17조(동의), 제21조(파기) 준수 실태 심사
2. 개인정보 영향평가 및 위험관리 (인증기준 3.2.1) - 100만 명 이상 이용자 정보 보유 시 의무적으로 수행해야 하는 개인정보 영향평가 이행 여부 - 신규 서비스 도입(예: AI 기반 추천, 텔레매틱스 보험 등) 시 사전 프라이버시 영향평가 수행 체계 구축 여부 - 개인정보보호법 제33조(영향평가) 및 시행령 제35조 해당 여부 판단 기준 적용
3. 정보주체 권리보장 체계 (인증기준 3.3.1~3.3.5) - 열람·정정·삭제·처리정지 요구 접수 및 처리 프로세스의 실효성, 10일 이내 처리 원칙 준수 여부 - 고객센터, 웹사이트, 모바일 앱 등 다양한 채널을 통한 권리행사 편의성 제공 여부 - 개인정보보호법 제35조~제37조(열람, 정정·삭제, 처리정지) 이행 실태 및 내부 규정 정비 수준
CPPG·ISMS-P 연계 포인트
ISMS와 ISMS-P의 차이 ISMS는 정보자산 전반의 기밀성·무결성·가용성 보호에 초점을 둔 정보보호 관리체계(80개 통제항목)인 반면, ISMS-P는 여기에 개인정보 생애주기별 보호조치 22개 항목을 추가하여 개인정보보호법 준수를 통합 검증하는 상위 인증이다. 시험에서는 두 인증의 법적 근거(정보통신망법 vs 개인정보보호법 통합), 인증 의무대상 차이, 심사항목 구성 비교가 출제된다.
개인정보 영향평가 요건 개인정보 영향평가는 ①5만 명 이상 민감정보·고유식별정보 처리, ②100만 명 이상 일반 개인정보 처리, ③개인정보 처리시스템 구축·변경 시 의무 수행 대상이다. CPPG 시험에서는 평가 시기, 대상 시스템 판단 기준, 평가기관 자격요건, 결과 제출 시한(시스템 가동 전 또는 변경 후 30일 이내) 등이 자주 출제되며, ISMS-P 심사 시에도 필수 확인 서류로 요구된다.
관련 기사
📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
2026년 6월 19일![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리
2026년 6월 3일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
2026년 6월 7일![[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1779457815719-co7f98.jpg)
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
2026년 5월 22일