인터뷰

“개인정보 영향평가, 개인정보보호법 대응 위한 최적의 방안”

이유지 기자
- 이경호 시큐베이스 대표, 공공기관 외에 민간기업까지 도입 확대 예상

[디지털데일리 이유지기자] “개인정보 영향평가는 개인정보보호 예방 조치를 체계적으로 취하도록 하는 가장 현실적이며 장기적인 대안이다.”

개인정보보호 전문기업인 시큐베이스 이경호 대표(고려대 정보보호대학원 교수)는 개인정보 영향평가의 의미를 이렇게 설명하고 “개인정보보호법에 선제적으로 대응하기 위한 종합적이고 합리적인 요건”이라고 규정했다.

개인정보 영향평가는 개인정보 침해 위험요인을 사전에 분석해 개선사항을 도출하는 것으로, 지난 9월 30일 시행된 개인정보보호법에 따라 일정규모 이상의 개인정보 파일을 운용하는 공공기관에 의무화됐다. 이에 따라 최근 들어 개인정보 영향평가에 대한 관심이 높아지고 있다.

법 시행령에 따르면, 공공기관은 5만명 이상의 민감정보나 고유식별정보를 처리하는 개인정보 파일을 구축·운용하거나 50만명 이상의 다른 개인정보 파일과 연계·연동할 경우, 또 100만명 이상의 개인정보 파일의 구축·운용·변경할 때 영향평가를 실시해야 한다. 그 결과는 행정안전부 장관에게 제출해야 하며, 개인정보 파일 등록시에도 첨부해야 한다.

사실 개인정보 영향평가 대상은 공공기관에만 국한되는 것은 아니다. 개인정보보호법상 공공기관으로부터 위탁받아 개인정보를 관리하는 수탁자들도 영향평가 대상이 되기 때문이다.
앞으로 대량 개인정보를 취급하는 민간사업자도 법률 준수를 위해 개인정보 영향평가가 활성화될 것이란 예상도 나오고 있다. 이미 통신사나 대형 포털 등 일부 사업자들은 신규 서비스를 개발·변경할 때 개인정보 영향평가를 도입하고 있다.

이 대표 역시 개인정보 영향평가 도입이 민간사업자들까지 확산될 것으로 전망하고 있다. “9만개로 예상되는 영향평가 대상 공공기관 이외에 민간기업도 개인정보보호법을 준수하고 만일의 침해사고에 대비하고 안전한 개인정보 관리 책임을 다하기 위해, 또 신뢰성을 높이기 위해 개인정보 영향평가를 활용하게 될 것”으로 내다보고 있다.

그 이유로 이 대표는 “개인정보 수집·이용 동의에서부터 이용자의 정정·삭제 절차, 파기 방법, 암호화 등 안전조치 수준, 최소한의 수집 최소한의 의무나 개인정보보호 조치 노력 입증 등과 법에서 정한 항목을 개별적으로 대응하기에는 역부족이며, 기술적 규제 조치만 적용한다면 최소한의 조치만 될 뿐”이라고 지적했다.

개인정보 영향평가는 수집·저장·제공·파기되는 개인정보 수명주기 전체를 대상으로 한다.

먼저 개인정보 영향평가 프로세스 범위를 선택해 비즈니스 프로세스에 포함된 개인정보를 식별, 흐름을 분석한 뒤, 침해가능성이나 법적 이슈를 파악해 위험을 완화하기 위한 방안을 도출하는 절차로 진행된다.

따라서 법률적 요건과 함께 현재 운용하는 개인정보체계에서 위험요인이나 피해 발생 가능한 수준 등 미칠 영향을 사전에 점검할 수 있고, 적절한 보호 대책을 적용·관리할 수 있다.

더욱이 개인정보 영향평가는 EU, 미국, 캐나다, 뉴질랜드, 호주 등 해외 주요국가에서도 공공·민간에 법적 의무화하거나 권고하고 있는 글로벌 규제도구라는 점에서 글로벌 기업에도 국내에 특화된 법 규제 한계를 넘어설 수 있다는 것이 이 대표의 설명이다.

이 대표는 “개인정보 영향평가는 기업 스스로 법·기술적 요건과 사람, 프로세스를 포괄해 기업 스스로 수준에 맞는 조치를 취할 수 있다는 점에서 현실적이며 장기적 대안이 된다”고 재차 강조했다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널