본문 바로가기
인증 가이드

ISO 27701 도입 전 필수 확인: PII 컨트롤러 vs 프로세서 구분법

by 인증 해결사 2026. 5. 15.

ISO 27701 도입 전 필수 확인: PII 컨트롤러 vs 프로세서 구분법
ISO 27701 도입 전 필수 확인: PII 컨트롤러 vs 프로세서 구분법

안녕하세요. [ISO 인증 성공 파트너]입니다.

최근 글로벌 비즈니스 확장이나 데이터 자산 가치 제고를 위해 ISO 27701(개인정보보호 관리체계) 인증을 검토하는 기업이 급증하고 있습니다. 하지만 많은 실무자가 가장 먼저 마주하는 난관이 있습니다. 바로 "우리 회사는 PII 컨트롤러인가, 아니면 프로세서인가?"를 결정하는 일입니다.

이 구분이 중요한 이유는 간단합니다. ISO 27701 표준은 컨트롤러(부속서 A)와 프로세서(부속서 B)에 대해 서로 다른 통제 항목을 요구하기 때문입니다. 잘못된 역할 정의는 인증 범위 설정의 오류로 이어져 심사 부적합의 원인이 됩니다.

오늘은 이 두 역할의 차이점과 우리 회사의 위치를 확인하는 논리적 체크리스트를 공유합니다.


1. 용어의 정의: 누가 '목적'을 결정하는가?

  • PII 컨트롤러 (PII Controller): 개인정보 처리에 대한 '목적'과 '수단'을 결정하는 주체입니다. 정보주체(고객)로부터 직접 동의를 받고, 데이터를 어떻게 활용할지 설계하는 기업이 여기에 해당합니다.
  • PII 프로세서 (PII Processor): 컨트롤러의 위탁을 받아 개인정보를 처리하는 주체입니다. 스스로 데이터 활용 목적을 정할 수 없으며, 컨트롤러가 지시한 범위 내에서 기술적인 처리만을 수행합니다.

2. 컨트롤러 vs 프로세서 판별 체크리스트

다음 질문에 'Yes'가 많을수록 귀사는 컨트롤러에 가깝습니다.

  • 우리 회사가 정보주체(고객)로부터 직접 개인정보 수집 동의를 받는가?
  • 개인정보를 수집하는 법적 근거와 목적을 우리 회사가 직접 정의하는가?
  • 어떤 데이터를 수집하고, 얼마나 오래 보관할지 우리가 결정하는가?
  • 개인정보 유출 사고 시 정보주체에게 통지할 법적 책임이 우리에게 있는가?

반면, 다음 상황이라면 귀사는 프로세서의 역할을 수행하고 있는 것입니다.

  • 고객사(컨트롤러)로부터 데이터를 전달받아 시스템 운영이나 분석만 대행하는가?
  • 고객사와의 계약(위탁 계약서)에 명시된 범위 내에서만 데이터를 처리하는가?
  • 데이터 삭제나 파기 시점을 고객사가 결정하여 지시하는가?

3. 실무적 주의사항: '공동 컨트롤러'와 '중복 역할'

실제 비즈니스 현장에서는 역할이 칼로 물 베듯 나뉘지 않는 경우가 많습니다.

  1. 공동 컨트롤러 (Joint Controller): 두 회사가 마케팅 제휴 등을 통해 수집 목적을 함께 결정한다면 양사 모두 컨트롤러로서의 책임을 집니다.
  2. 중복 역할: 우리 회사 직원의 개인정보에 대해서는 '컨트롤러'이지만, 고객사의 데이터를 관리해 주는 솔루션을 제공할 때는 '프로세서'가 됩니다. 이 경우 인증 범위 내에서 어떤 역할에 집중할지 전략적 선택이 필요합니다.

🤝 전문가의 한마디: 역할 정의는 리스크 관리의 시작입니다

PII 컨트롤러와 프로세서를 명확히 구분하는 것은 단순한 서류 작업을 넘어, 우리 기업이 져야 할 법적 책임과 보안 통제의 범위를 확정하는 일입니다. 특히 M&A나 투자 유치를 앞둔 기업이라면, 이러한 데이터 거버넌스가 얼마나 정교하게 구축되어 있는지가 기업 가치 평가의 핵심 요소가 됩니다.

우리 기업이 수행하는 데이터 비즈니스가 ISO 27701 표준의 어떤 역할에 적합한지, 그리고 그에 따른 최적의 보안 로드맵은 무엇인지 전문가의 진단을 받아보시기 바랍니다.

감사합니다.