사용자 중심의 프라이버시 선호도 관리 프레임워크 ‘ISO/IEC 27556’
데이터 활용을 위한 근간이 될 수 있는 국내 마이데이터 서비스의 기반 표준으로 활용 기대

[보안뉴스= 염흥열 ITU-T SG17 의장/순천향대 정보보호학과 교수] 마이데이터 서비스는 사용자 동의 기반으로 서로 다른 조직 간에 개인정보의 처리를 가능케 하며, 디지털 플랫폼 정부의 데이터 활용을 위한 핵심 기반으로 활용될 수 있다.


마이데이터 서비스를 국내외 차원에서 상호 호환성 있게 제공될 수 있게 하는 국제표준이 2022년 10월 ISO에서 발간됐다. 국제표준 번호는 ‘ISO/IEC 27556’이고, 표준 이름은 ‘사용자 중심의 프라이버시 선호도 관리 프레임워크’다.

이 표준은 ICT 시스템에서 정보주체의 통제 하에 ‘프라이버시 선호도(Privacy Preference) 설정 관리자’를 기반으로 개인정보를 처리한다. 예를 들어, 표준에서 정의된 개인정보 선호도 시스템은 어떤 데이터를 개인정보처리자가 수집할 수 있고, 어떤 데이터를 개인정보처리자가 이용할 수 있으며, 어떤 데이터를 개인정보수탁자에게 위탁할 수 있고, 그리고 어떤 데이터를 제3자에게 제공할 수 있는지를 결정한다.


국제표준 용도 및 활용
이번 표준은 개인정보가 조직 간에 공유되는 경우 정보주체의 의지대로 개인정보를 처리하기 위한 사용자 중심 프레임워크를 제시한다. 프레임워크는 ‘개인정보 선호도 관리자’ 구성 요소를 기반으로 △정보주체 △개인정보처리자 △개인정보 수탁자 △제3자 등 주요 이해당사자로 구성된다.

이 프레임워크에서는 개인정보보호 중심 설계(PhD) 원칙을 적용하며, 개인정보 처리 매커니즘을 포함하고, 정보주체가 제공한 개인정보 선호도 설정에 기반해 개인정보를 처리한다. 프레임워크에는 개인정보 처리를 위해 요구되는 여러 구성 요소와 기능을 정의하고 있다. 이 국제표준의 활용은 다음과 같다.

- 프라이버시 선호도 기본 설정을 기반으로 동작하는 개인정보 공유 플랫폼
- 조직 간에 개인정보를 제공하는 ICT 시스템
- 개인정보 선호도 기본 설정 관리 서비스

국제표준 개발 과정 및 주체
해당 국제표준은 ISO/IEC JTC 1/SC 27/WG 5에서 개발됐다. 2018년 11월부터 2019년 2월까지 신규워크 아이템 제안 투표가 성공적으로 완료됐고, 2020년 7월 첫 번째 CD, 2022년 4월 첫 번째 DIS, 2022년 9월 FDIS 투표가 성공적으로 완료됐다. 그리고 2022년 10월 국제표준으로 최종 발간됐다. 개발기간은 총 48개월이 걸렸으며, 필자와 일본 KDDI 신사쿠 기요모토 박사, 프랑스 안토니오 쿵 박사가 ‘프로젝트 리더’로 국제표준화 작업을 주도했다.

특히, 총 9회의 SC 27/WG 5 회의 때마다 개인 의견 또는 국가 의견을 제출해 반영하는 등 한국 개인정보 처리 관행을 국제표준에 반영했다. 이번 국제표준이 데이터 활용을 위한 근간이 될 수 있는 국내 마이데이터 서비스의 기반 표준으로 활용될 수 있을 것으로 기대된다.
[글_염흥열 ITU-T SG17 의장/순천향대 정보보호학과 교수]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>