롯데렌탈, ISMS에서 ISMS-P로 인증 범위 확대 추진...AAA 등급 유지
롯데렌탈이 2025 지속가능경영보고서를 통해 기존 ISMS 인증에서 개인정보보호를 포함한 ISMS-P 인증으로 확대 추진 중임을 밝혔다. 2026년 6월 현재 AAA 등급을 유지하고 있다.
https://privacynews.kr/s/f40eb2핵심 요약
- 롯데렌탈이 2025 지속가능경영보고서에서 ISMS에서 ISMS-P로 인증 범위 확대 추진 계획 공개 - 정보보호 및 개인정보보호 관리체계 통합 인증으로 보호 수준 강화 - 2022년·2023년 AA 등급에서 2026년 6월 현재 AAA 등급으로 상향 유지주요 내용
롯데렌탈이 2025년 발간한 지속가능경영보고서를 통해 정보보호 분야의 관리체계 고도화 계획을 밝혔다. 동사는 기존 ISMS(정보보호관리체계) 인증에서 개인정보보호 영역을 포함한 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증으로 범위를 확대 추진하고 있다.
ISMS-P는 정보보호와 개인정보보호 관리체계를 통합한 인증제도로, 기존 ISMS 대비 개인정보 처리 단계별 보호조치, 개인정보 영향평가, 정보주체 권리보장 등 추가 인증기준을 충족해야 한다. 특히 렌탈 서비스 특성상 대량의 고객 개인정보를 처리하는 롯데렌탈의 경우, ISMS-P 인증 취득은 법적 요구사항 준수를 넘어 고객 신뢰 확보를 위한 전략적 선택으로 해석된다.
롯데렌탈의 정보보호 등급은 꾸준한 상승세를 보이고 있다. 2022년과 2023년 AA 등급을 획득한 데 이어, 2026년 6월 현재 최고 등급인 AAA를 유지하고 있다. 이는 지속적인 보안 투자와 관리체계 개선 노력의 결과로 평가된다.
지속가능경영보고서를 통한 정보보호 활동 공개는 ESG 경영의 지배구조(G) 측면에서도 중요한 의미를 갖는다. 정보보호 및 개인정보보호는 기업의 투명성과 책임성을 나타내는 핵심 지표로, 투자자와 이해관계자들의 주요 관심사항이다.
전문가 시각
ISMS에서 ISMS-P로의 전환은 단순한 인증 범위 확대가 아니라 조직 전반의 개인정보보호 거버넌스 체계 구축을 의미한다. 심사원 입장에서 볼 때, 기존 ISMS 인증기업이 ISMS-P로 전환할 경우 개인정보 라이프사이클 전 단계에 걸친 보호대책, 개인정보 영향평가 체계, 정보주체 권리 보장 프로세스 등이 핵심 심사 포인트가 된다. 특히 렌탈 서비스의 경우 계약·결제·배송·AS 등 전 과정에서 개인정보가 처리되므로, 업무 프로세스별 개인정보 흐름도 작성과 처리 단계별 보호조치 이행이 필수적이다.
롯데렌탈과 같은 대형 서비스 기업이 ISMS-P 인증을 추진하는 것은 업계에 긍정적 신호탄이 될 것으로 전망된다. AAA 등급 유지는 최고경영자의 관심과 지원, 충분한 자원 배분, 전문 인력 확보가 뒷받침되었음을 의미한다. 다만 인증 취득 후에도 지속적인 모니터링, 정기적인 위험평가, 임직원 교육, 사고 대응 훈련 등 사후관리가 더욱 중요하다는 점을 강조하고 싶다.
ISMS-P 심사원 체크포인트
1. 개인정보 처리 현황 파악 및 흐름 관리 (ISMS-P 인증기준 2.5.1, 2.5.2) - 개인정보 처리 목록(개인정보 파일 대장) 작성 및 최신 상태 유지 여부 - 업무 프로세스별 개인정보 흐름도 작성 및 처리 단계(수집→이용→제공→파기)별 보호조치 이행 점검 - 개인정보보호법 제32조(개인정보 처리방침 수립·공개), 제30조(개인정보 처리방침의 수립 및 공개) 준수 확인
2. 개인정보 영향평가 체계 구축 (ISMS-P 인증기준 2.5.4) - 개인정보 영향평가 대상 식별 체계 및 평가 수행 이력 검토 - 개인정보보호법 제33조(개인정보 영향평가) 및 시행령 제35조(영향평가 대상) 준수 여부 - 평가 결과에 따른 위험 개선조치 이행 실적 확인
3. 정보주체 권리보장 체계 (ISMS-P 인증기준 2.6.1~2.6.4) - 열람·정정·삭제·처리정지 요구 접수 및 처리 프로세스 운영 현황 - 개인정보 자동수집 장치(쿠키 등) 운영 시 동의 획득 절차 - 개인정보보호법 제4조(정보주체의 권리), 제35조~제37조(열람·정정·삭제·처리정지 요구권) 이행 여부
CPPG·ISMS-P 연계 포인트
1. ISMS와 ISMS-P의 차이 ISMS는 정보자산 보호에 초점을 둔 80개 인증기준으로 구성되며, ISMS-P는 여기에 개인정보 라이프사이클 관리, 정보주체 권리보장 등 개인정보보호 영역 22개 기준이 추가된 102개 기준 체계다. ISMS-P는 개인정보보호법상 안전성 확보조치 의무(제29조)를 포함하여 법적 요구사항을 충족하는 통합 인증이다.
2. 개인정보 영향평가 제도 개인정보 영향평가는 개인정보를 전자적으로 처리하는 시스템 구축·운영 시 개인정보 침해 위험을 사전에 분석·평가하는 제도다(개인정보보호법 제33조). 공공기관은 의무 대상이며, 민간은 5만명 이상의 정보주체에 관한 민감정보·고유식별정보 처리 시스템 구축·변경 시 의무 수행 대상이 된다. ISMS-P 인증에서는 평가 대상 식별 체계와 평가 결과 반영 여부를 중점 심사한다.
관련 기사
📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
2026년 6월 19일![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리
2026년 6월 3일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
2026년 6월 7일![[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1779457815719-co7f98.jpg)
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
2026년 5월 22일