법률 준수와 신뢰 확보 위해 인증 획득이 도움 

개인정보보호법이 국회 본회의를 통과함으로써 올해 9월 말부터 시행이 확실시 되고 있다.

기존에 개인정보와 관련된 법률의 적용을 받아온 조직의 경우는 어느 정도 준비가 되어있겠지만 그렇지 않은 조직이 적지 않은 현실에서 그들에게 어떤 식으로 도움이 될 것인지를 먼저 고민해야 하고 준비할 수 있도록 도와주는데 당분간 정책의 초점을 맞추어야 할 것으로 보인다.

특히 개인정보 보호를 위한 투자가 쉽지 않은 중소기업들에 대한 다양한 방법들이 제시되어 많은 비용이 들지 않더라도 자체적으로 보호 대책을 적용할 수 있을 정도의 가이드 마련이 필요하다.

이는 정부 측면에서의 고민도 필요하고 정보보호 전문업체도 함께 고민하고 풀어나가야 할 숙제이고 보안담당자들도 도움이 될 수 있는 방법들을 제안할 필요가 있다.

또한 법률에서 주요한 내용 중 하나로 대상범위를 확대하여 기존 개별법의 사각지대를 상당부분 해소시킨 부분과 더불어 이용자의 권리 보장과 자기결정권을 보장하기 위한 조항들에 대해서도 적절한 대응이 필요해 보인다.

정보주체에게 개인정보의 열람청구권, 정정·삭제 청구권, 처리정지 요구권 등을 부여하는 제35조부터 38조까지의 경우, 대통령령으로 내용이 구체화 되면 이에 따라 조직에서는 적절한 프로세스 구축이 필요할 것이고 개인정보처리자가 법률을 위반하여 정보주체에게 피해를 입혔을 경우 그 손해 배상을 청구할 수 있으며 이 경우 입증 책임을 개인정보처리자에게 부담하도록 하고 있는 부분(제39조)도 정보주체의 권리 보장을 위해 필요한 조항이지만 개인정보처리자 입장에서는 포렌직 등의 업무까지 처리할 수 있는 역량 확보도 검토해 볼 부분으로 해석될 수 있다.

개인정보보호의 경우 법률적 기준도 중요하지만 별도로 도덕적 책임에 대한 요구가 내포되어 있는 이슈로서 최소한의 사회적 기준인 법률 준수만으로 조직의 노력을 인정받기 보다는 근본적으로 이용자들에게 신뢰를 줄 수 있는 다양한 노력이 필요한 상황이다.

법률 준수에 대한 자체적인 검증과 신뢰 확보를 위한 노력의 일환으로 개인정보보호에 특화된 PIMS 인증과 일반 기업들을 위한 ISMS, 그리고 공공부문을 위한 G-ISMS 까지 다양한 툴들이 마련되어 있는 만큼 이를 적극적으로 활용하는 방법도 조직의 적절한 대응에 도움이 될 것이다.
[글 _ 박나룡 보안전략연구소 소장(isssi@daum.net)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>