개인정보보호관리체계(Personal Information Management System:이하 PIMS)란 기업이 수집ㆍ이용ㆍ보유ㆍ제공ㆍ파기하는 모든 개인정보에 대해 안전성과 신뢰성을 제공함은 물론 이용자의 자기정보결정권(개인이 스스로 정보의 이용과 제공, 공개 등에 대해 결정할 수 있는 권리)을 보장하기 위한 전사(全社)적인 활동을 말한다.

PIMS는 단편적ㆍ일회적 조치가 아니라 체계적ㆍ지속적으로 개인정보보호 조치가 가능하도록 하는 일련의 시스템으로 정보통신망 이용촉진 및 정보보호에 관한 법률(이하 정보통신망법) 등 개인정보보호 관련 법령뿐 아니라 각종 지침ㆍ가이드 및 기업 내부 규정 등을 이행하기 위한 다양한 보호조치로 이뤄진다. PIMS인증이란 이러한 기업의 개인정보보호를 위한 전사적인 활동에 대해 신뢰된 인정기관(방송통신위원회)과 인증기관(한국인터넷진흥원, KISA)을 통해 기업의 노력을 인정해 주는 제도로 볼 수 있다.

PIMS 인증 도입, 왜 필요한가?

대부분의 기업들은 개인정보를 보호하고 싶어도 어디서부터 시작해서 어느 수준으로 해야 하는지에 대한 명확한 가이드가 없는 상황에서 많은 기업들이 적절한 대응을 하기에 어려움을 겪고 있다. 일부 대기업은 자체적인 개인정보보호관리체계를 구축하고 기업 스스로 개인정보 유ㆍ노출 및 개인정보의 수집ㆍ보관ㆍ이용 등 취급 절차상에서 발생할 수 있는 침해 요인을 파악해 이를 미연에 방지하고 있으나 이는 일부 기업에 국한된 사항이라 볼 수 있다. 더불어 정부가 실태점검을 통해 정보통신서비스 제공자의 개인정보보호 조치 이행 여부를 일일이 확인ㆍ감독하는 것은 현실적으로 불가능하다.

개인정보를 취급하는 기업은 다양한 업종에 수많은 기업들이 존재하는데 이런 기업을 정부가 일일이 단속하고 감독한다는 것은 가능하지도 않을뿐더러 바람직하다고 볼 수도 없다.

따라서 자율적인 규제 확산을 통해 실태점검 등에 소요되는 행정력을 절감하고 사회 전반의 개인정보보호 수준 및 인식을 향상할 수 있는 수단이 필요하다. 또한 기업이 수집ㆍ취급하는 개인정보의 양적ㆍ질적 증가에 따라 사업자가 내부적으로 관리ㆍ통제해야 하는 개인정보의 보호 범위도 크게 확대되고 있다. 현행 정보통신망법 제22조 이하의 개인정보보호 관련 규정과 『개인정보의 기술적ㆍ관리적 보호조치 기준(고시)』는 사업자가 준수해야 할 최소한의 기준에 불과하며 새로운 개인정보 침해 위험에 능동적ㆍ체계적으로 대응하는데 한계가 있는 것이 현실이다. 따라서 정보통신망법에 따른 단편적 보호조치를 넘어서 기업 전반에 걸쳐 다양한 사업 유형과 수반되는 개인정보 취급에 따른 위험을 관리할 수 있는 방안이 필요하다.

PIMS 인증의 활용 가치 ‘무궁무진’

PIMS 인증은 개인정보와 관련한 다양한 이해당사자에게 여러 가지 측면에서 활용 가치가 있다. 개인정보를 제공하는 정보주체로서 개인은 늘 제공한 개인정보를 기업이 안전하게 사용하는지에 대해 궁금해 하고 있다. 또한 내 개인정보가 불법으로 이용되거나 허가 받지 않은 업체가 사용하는 것에 대해 정보를 제공한 기업이 자율적인 보호조치를 수행하길 기대하고 있다.

하지만 이런 기대감은 증가하는 휴대폰 광고성 문자와 스팸메일, 각종 언론매체를 통해 끊임없이 발생하는 개인정보 유출사고 기사를 보면서 여지없이 무너지고 있는 실정이다. 이런 현상들은 결국 기업에 대한 불신으로 이어진다. 따라서 정보 주체인 개인의 경우 PIMS 인증에 대해 개인정보를 보호하려는 기업의 의지를 평가하고 더불어 기업을 신뢰하는 수단으로 활용할 수 있을 것이다.

기업적인 측면에서 보면, 개인정보 사용 용도와 범위는 기업의 비즈니스 형태에 따라 다양한 양상을 띠고 있으며 대부분의 기업에서 이미 기업의 부가가치 창출을 위한 핵심자원이 된지 오래다. 어떤 기업이 더 많은 개인정보를 보유하고 있느냐가 기업의 경쟁력이 되기도 하고 보유하고 있는 개인정보의 정확성이 비즈니스에 중대한 영향을 미치기도 한다.

PIMS인증을 획득한다는 것은 개인정보와 관련한 이해당사자에게 기업의 노력을 전달하는 유용한 수단이 될 수 있다. 이외에도 기업이 PIMS 인증을 획득함으로써 활용할 수 있는 가치는 다양할 수 있는데 개인정보를 취급하는 기업간의 상호 인정의 수단으로도 사용할 수 있다.

정부의 측면에서 보면, 일단 정부는 사회 저변의 개인정보보호 수준을 높이고 안전한 개인정보 활용에 따른 기업활동을 보장해야 할 의무를 지닌다. 법규강화, 실태점검 등 규제위주의 정책에서 기업이 자율적으로 개인정보보호 활동을 수행할 수 있는 수단을 제공함으로써 정부는 자율적인 개인정보보호 문화를 확산시킬 수 있다.

또한 규제와 점검 위주의 네거티브 정책보다 기업이 스스로 개인정보보호 활동을 수행할 수 있는 기반을 제공해 줌으로써 정부는 불필요한 행정력과 예산을 줄이고 기업의 경제 행위를 촉진시키는 효과를 달성할 수 있을 것이다.

PIMS 인증 활용해 가치 창출

현재 정보보호관리체계(ISO27001, KISMS), 안전진단 등 여러 가지 인증제도와 각종 규제들이 정보보호를 위한 수단으로 존재하고 있다. 개인정보보호의 중요성이 점차 강조되면서 해외에서는 BS10012라는 개인정보보호규격까지 등장해 국내에 소개된 바 있다.

이러한 정보보호 인증 및 제도는 강제성 여부에 따라 2가지로 구분할 수 있는데 기업이 의무적으로 이행해야 하는 법적 규제 형태의 제도와 기업의 비즈니스를 촉진시키기 위해 자발적으로 선택하는 제도로 나눌 수 있다. PIMS는 후자에 속하는 제도다.

따라서 PIMS의 활용가치는 기업의 비즈니스 유형에 따라 얼마나 많은 개인정보를 취급하고 개인정보의 안전한 취급이 비즈니스에 얼마나 많은 영향을 끼치느냐에 따라 결정될 수 있을 것이다. 이제 곧 개인정보를 보호하기 위한 유용한 수단이 기업에게 제공될 예정이고 그 수단을 잘 활용해 가치를 창출하는 것은 기업의 몫이다.

<글 : 허경석 SK인포섹 융합컨설팅 / SI 사업본부 지식컨설팅 담당 부장(ksheo@skinfosec.co.kr)>

[월간 정보보호21c 통권 제121호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>