“개인정보 영향평가, 개인정보보호법 대응 위한 최적의 방안”
- 가
- 가
이유지 기자
- 이경호 시큐베이스 대표, 공공기관 외에 민간기업까지 도입 확대 예상
[디지털데일리 이유지기자] “개인정보 영향평가는 개인정보보호 예방 조치를 체계적으로 취하도록 하는 가장 현실적이며 장기적인 대안이다.”
개인정보보호 전문기업인 시큐베이스 이경호 대표(고려대 정보보호대학원 교수)는 개인정보 영향평가의 의미를 이렇게 설명하고 “개인정보보호법에 선제적으로 대응하기 위한 종합적이고 합리적인 요건”이라고 규정했다.
개인정보 영향평가는 개인정보 침해 위험요인을 사전에 분석해 개선사항을 도출하는 것으로, 지난 9월 30일 시행된 개인정보보호법에 따라 일정규모 이상의 개인정보 파일을 운용하는 공공기관에 의무화됐다. 이에 따라 최근 들어 개인정보 영향평가에 대한 관심이 높아지고 있다.
법 시행령에 따르면, 공공기관은 5만명 이상의 민감정보나 고유식별정보를 처리하는 개인정보 파일을 구축·운용하거나 50만명 이상의 다른 개인정보 파일과 연계·연동할 경우, 또 100만명 이상의 개인정보 파일의 구축·운용·변경할 때 영향평가를 실시해야 한다. 그 결과는 행정안전부 장관에게 제출해야 하며, 개인정보 파일 등록시에도 첨부해야 한다.
사실 개인정보 영향평가 대상은 공공기관에만 국한되는 것은 아니다. 개인정보보호법상 공공기관으로부터 위탁받아 개인정보를 관리하는 수탁자들도 영향평가 대상이 되기 때문이다.
앞으로 대량 개인정보를 취급하는 민간사업자도 법률 준수를 위해 개인정보 영향평가가 활성화될 것이란 예상도 나오고 있다. 이미 통신사나 대형 포털 등 일부 사업자들은 신규 서비스를 개발·변경할 때 개인정보 영향평가를 도입하고 있다.
이 대표 역시 개인정보 영향평가 도입이 민간사업자들까지 확산될 것으로 전망하고 있다. “9만개로 예상되는 영향평가 대상 공공기관 이외에 민간기업도 개인정보보호법을 준수하고 만일의 침해사고에 대비하고 안전한 개인정보 관리 책임을 다하기 위해, 또 신뢰성을 높이기 위해 개인정보 영향평가를 활용하게 될 것”으로 내다보고 있다.
그 이유로 이 대표는 “개인정보 수집·이용 동의에서부터 이용자의 정정·삭제 절차, 파기 방법, 암호화 등 안전조치 수준, 최소한의 수집 최소한의 의무나 개인정보보호 조치 노력 입증 등과 법에서 정한 항목을 개별적으로 대응하기에는 역부족이며, 기술적 규제 조치만 적용한다면 최소한의 조치만 될 뿐”이라고 지적했다.
개인정보 영향평가는 수집·저장·제공·파기되는 개인정보 수명주기 전체를 대상으로 한다.
먼저 개인정보 영향평가 프로세스 범위를 선택해 비즈니스 프로세스에 포함된 개인정보를 식별, 흐름을 분석한 뒤, 침해가능성이나 법적 이슈를 파악해 위험을 완화하기 위한 방안을 도출하는 절차로 진행된다.
따라서 법률적 요건과 함께 현재 운용하는 개인정보체계에서 위험요인이나 피해 발생 가능한 수준 등 미칠 영향을 사전에 점검할 수 있고, 적절한 보호 대책을 적용·관리할 수 있다.
더욱이 개인정보 영향평가는 EU, 미국, 캐나다, 뉴질랜드, 호주 등 해외 주요국가에서도 공공·민간에 법적 의무화하거나 권고하고 있는 글로벌 규제도구라는 점에서 글로벌 기업에도 국내에 특화된 법 규제 한계를 넘어설 수 있다는 것이 이 대표의 설명이다.
이 대표는 “개인정보 영향평가는 기업 스스로 법·기술적 요건과 사람, 프로세스를 포괄해 기업 스스로 수준에 맞는 조치를 취할 수 있다는 점에서 현실적이며 장기적 대안이 된다”고 재차 강조했다.
<이유지 기자> yjlee@ddaily.co.kr
[디지털데일리 이유지기자] “개인정보 영향평가는 개인정보보호 예방 조치를 체계적으로 취하도록 하는 가장 현실적이며 장기적인 대안이다.”
개인정보보호 전문기업인 시큐베이스 이경호 대표(고려대 정보보호대학원 교수)는 개인정보 영향평가의 의미를 이렇게 설명하고 “개인정보보호법에 선제적으로 대응하기 위한 종합적이고 합리적인 요건”이라고 규정했다. 개인정보 영향평가는 개인정보 침해 위험요인을 사전에 분석해 개선사항을 도출하는 것으로, 지난 9월 30일 시행된 개인정보보호법에 따라 일정규모 이상의 개인정보 파일을 운용하는 공공기관에 의무화됐다. 이에 따라 최근 들어 개인정보 영향평가에 대한 관심이 높아지고 있다.
법 시행령에 따르면, 공공기관은 5만명 이상의 민감정보나 고유식별정보를 처리하는 개인정보 파일을 구축·운용하거나 50만명 이상의 다른 개인정보 파일과 연계·연동할 경우, 또 100만명 이상의 개인정보 파일의 구축·운용·변경할 때 영향평가를 실시해야 한다. 그 결과는 행정안전부 장관에게 제출해야 하며, 개인정보 파일 등록시에도 첨부해야 한다.
사실 개인정보 영향평가 대상은 공공기관에만 국한되는 것은 아니다. 개인정보보호법상 공공기관으로부터 위탁받아 개인정보를 관리하는 수탁자들도 영향평가 대상이 되기 때문이다.
앞으로 대량 개인정보를 취급하는 민간사업자도 법률 준수를 위해 개인정보 영향평가가 활성화될 것이란 예상도 나오고 있다. 이미 통신사나 대형 포털 등 일부 사업자들은 신규 서비스를 개발·변경할 때 개인정보 영향평가를 도입하고 있다.
이 대표 역시 개인정보 영향평가 도입이 민간사업자들까지 확산될 것으로 전망하고 있다. “9만개로 예상되는 영향평가 대상 공공기관 이외에 민간기업도 개인정보보호법을 준수하고 만일의 침해사고에 대비하고 안전한 개인정보 관리 책임을 다하기 위해, 또 신뢰성을 높이기 위해 개인정보 영향평가를 활용하게 될 것”으로 내다보고 있다.
그 이유로 이 대표는 “개인정보 수집·이용 동의에서부터 이용자의 정정·삭제 절차, 파기 방법, 암호화 등 안전조치 수준, 최소한의 수집 최소한의 의무나 개인정보보호 조치 노력 입증 등과 법에서 정한 항목을 개별적으로 대응하기에는 역부족이며, 기술적 규제 조치만 적용한다면 최소한의 조치만 될 뿐”이라고 지적했다.
개인정보 영향평가는 수집·저장·제공·파기되는 개인정보 수명주기 전체를 대상으로 한다.
먼저 개인정보 영향평가 프로세스 범위를 선택해 비즈니스 프로세스에 포함된 개인정보를 식별, 흐름을 분석한 뒤, 침해가능성이나 법적 이슈를 파악해 위험을 완화하기 위한 방안을 도출하는 절차로 진행된다.
따라서 법률적 요건과 함께 현재 운용하는 개인정보체계에서 위험요인이나 피해 발생 가능한 수준 등 미칠 영향을 사전에 점검할 수 있고, 적절한 보호 대책을 적용·관리할 수 있다.
더욱이 개인정보 영향평가는 EU, 미국, 캐나다, 뉴질랜드, 호주 등 해외 주요국가에서도 공공·민간에 법적 의무화하거나 권고하고 있는 글로벌 규제도구라는 점에서 글로벌 기업에도 국내에 특화된 법 규제 한계를 넘어설 수 있다는 것이 이 대표의 설명이다.
이 대표는 “개인정보 영향평가는 기업 스스로 법·기술적 요건과 사람, 프로세스를 포괄해 기업 스스로 수준에 맞는 조치를 취할 수 있다는 점에서 현실적이며 장기적 대안이 된다”고 재차 강조했다.
<이유지 기자> yjlee@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
당신이 좋아할 만한 뉴스
많이 본 기사
연재기사
실시간 추천 뉴스
-
금감원 신임 부원장에 김병칠 부원장보...공채 출신 임원도 탄생
2024-09-20 19:57:05 - 2024-09-20 19:50:04
-
아이폰16 공시지원금, 전작과 비교해보니…"기본 모델은 낮아져"
2024-09-20 19:39:53 -
오징어게임2, 새 게임은 '이것'?…티저 영상에 '힌트' 있다
2024-09-20 19:37:56 -
입사 축하금 300만원 지급…코인원, 백엔드 개발자 하반기 채용 ‘성료’
2024-09-20 18:20:55
회사명: ㈜디지털데일리|제호: 디지털데일리|등록번호 : 서울아00039|등록발행연월일: 2005년 9월 6일|사업자 등록번호: 101-86-13419
주소: (04057)서울특별시 마포구 신촌로14길 24(노고산동 54-46)|대표전화: 02-334-7781|Fax: 02-334-7782
대표자: 양경진|편집국장: 채수웅|개인정보·청소년보호책임자: 오주엽
Copyright © DIGITAL DAILY Co.,Ltd. All Rights Reserved.