이정원 소만사 차장, “개인정보 라이프사이클, 거버넌스 구축해야”

[보안뉴스 호애진] 개인정보보호법이 지난 9월 29일 국회 법안심사소위원회를 통과하고 다음날인 30일 국회 행정안전위원회 전체회의를 통과함에 따라 빠르면 연내 공포가 돼, 내년 7월이면 법안이 효력을 발휘할 것으로 예상되고 있다.

향후 개인정보보호법이 발휘됨에 따라 기업들은 현재와 달라지는 점에 대해 숙지하고 보안에 적극적인 참여와 투자를 해야 할 것으로 보인다.

12월 30일 코엑스 그랜드볼룸에서 개최된 ISEC 2010에서 ‘개인정보보호법이 공공기관, 기업체 개인정보취급자에게 미치는 영향은?’이라는 주제로 발표한 이정원 소만사 홍보마케팅팀 차장은 “개인정보보호법 준수를 위해 먼저 개인정보파일 대장을 작성하고 단계별 보안강화 및 개인정보 유출 시 즉시 통지해야 한다”고 강조했다.

이를 위해 개인정보 보유현황을 파악해 최소화시키고 개인정보 라이프사이클에 대한 거버넌스를 구축해야 한다는 것이 그가 주장하는 바다.

이정원 차장은 “개인정보 보유현황 파악 및 최소화의 경우 활용하지 않고 장기방치된 개인정보 파일을 검출하고 파기해야 한다”며 “특히 개인정보에 접근할 수 있는 사람을 최소화해야 한다”고 말했다.

이는 ‘개인정보의 기술적 관리적 보호조치 기준’ 제 4조에 의거 정보통신서비스제공자 등은 개인정보처리시스템에 대한 접근 권한을 서비스 제공을 위하여 필요한 개인정보취급자, 또는 개인정보관리책임자에게만 부여한다는 내용에 따르는 것이다.

그는 또 “쿼리요청직무와 개인정보를 보는 직무를 분리해야 한다”고 덧붙였다. 즉 개인정보취급자가 DB운영자를 거치지 않고 결과조회시스템에서 바로 개인정보를 내려 받는 시스템으로 개선해야 한다는 것이다.

아울러 이정원 차장은 “개인정보 라이프사이클에 대한 거버넌스 구축의 경우 암호화(보관/저장), DB방화벽(접근/활용), 개인정보 보유통제(활용/공유), 유출통제(전송/유출)의 전체 라이프사이클에 걸쳐 개인정보를 보호해야 한다”고 설명했다.

이는 개인정보보호법 입법예고 제32조, 개인정보처리자는 개인정보 유출이 발생하였음을 알게 된 때에는 지체없이 해당 정보주체에게 유출된 개인정보의 항목, 유출이 발생한 시점과 그 경위, 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 취할 수 있는 방법 등에 관한 정보, 개인정보처리자의 대응 조치 및 피해구제절차, 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처를 통지해야 하기 때문이다.

그는 “개인정보보호를 해야 하는 것은 시대의 흐름”이라며 “개인정보보호법이 내년에 공포되고 행정안전부 산하기관 개인정보 진단이 강화되기 때문에 기업의 경우 정보보호를 위해 많은 노력을 기울여야 한다”고 당부했다.

[호애진 기자(is@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>