김두현 NIA 부장, 개인정보영향평가 시행효과 및 운용사례 제시

[보안뉴스 김정완] 공공기관에 의무적으로 수행하도록 한 개인정보 영향평가제도가 18개 개인정보 영향평가기관 지정 이후 본격적으로 진행되고 있다. 그러나 아직 제도 시행 초기로 적용사례가 많지 않고 그에 따른 효과가 가시화되지 않아 이를 의무적으로 시행해야 하는 공공기관 담당자들에게는 어려움이 따르고 있는 상황이다.

이러한 상황에서 김두현 한국정보화진흥원(NIA) 부장은  ‘개인정보보호 페어 2012(PIS FAIR 2012)’의 세션 발표자로 나서 ‘개인정보 영향평가 시행효과 및 운용사례’란 주제로 강연을 펼쳐 높은 관심을 받았다.

‘개인정보 영향평가’란 개인정보를 취급·활용하는 정보시스템을 신규 구축하거나 기존 정보시스템의 중대한 변경시 개인정보에 미치는 영향을 사전에 조사·예측·검토해 개선방안을 도출하는 체계적인 절차를 말한다.

이에 김두현 부장은 개인정보 영향평가로 “수집·저장·관리되는 개인정보에 대한 현황분석 및 위험분석을 통해 위험수준을 도출할 수 있고, 개인정보 활용시 발생할 수 있는 개인정보 문제에 대한 보호대책을 수립·적용할 수 있다”며, “국내 개인정보보호와 관련 법·제도 요구사항을 준수하도록 프로세스를 구축해야 한다”고 설명했다.

이어 김두현 부장은 “개인정보 영향평가는 의무적으로 시행해야 하는 공공기관에만 해당되는 것은 아니”라며, “기업에서도 개인정보 영향평가를 통해 개인정보보호와 관련한 프로세스 구축은 물론 조직, R&D 등을 정의할 수 있는 토대가 될 수 있다”고 덧붙였다.

특히, 김두현 부장은 개인정보 영향평가의 추진시점을 강조하면서 “새로운 시스템을 구축하거나 기존 시스템의 변경 및 서비스 운용에 위험이 발생할 경우 영향평가를 실시할 수 있다”며, “정보화 사업을 본격 추진하기 전에 수행하는 것은 물론 정보시스템을 분석하거나 설계하는 단계에서 수행하는 것이 적절하다”고 조언했다.

아울러 김두현 부장은 “정보시스템을 운용 중이더라도 개인정보 침해위험의 발생이 우려되거나 전반적인 개인정보관리체계를 점검해 개선하기 위한 경우에도 실시하는 것이 좋다”고 말했다.

마지막으로 김두현 부장은 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에 올해 12월 31일까지 의무적으로 암호화 기술을 적용하거나 이에 상응하는 조치를 취해야 한다는 것을 강조하기도 했다.

암호화 기술 적용 여부가 개인정보 영향평가 또는 개인정보 위험도 분석 결과에 크게 좌우되기 때문이다. 이에 김 부장은 지난 3월 공개된 ‘개인정보 위험도 분석 기준 및 해설서’에 대해 언급하기도 했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>