이해당사자·개인정보 취급부서·정보주체의 자기결정권 등 고려해야

거버넌스 핵심영역, 전략적연계·가치제공·자원 및 위험관리 등 

[보안뉴스 김경애] 데이터 시대에서의 개인정보는 기업에서 쿠키정보를 활용해 온라인 맞춤광고, 구매정보를 활용한 고객 신분 및 성향 분석, SNS 및 위치정보를 활용한 맞춤형 광고, 모바일 이용자 정보를 활용한 광고플랫폼 제공 등에 널리 이용된다.

의료기관에서는 검색정보를 바탕으로 독감 트렌드 서비스를 제공하고, 의료 데이터를 활용해 질병을 예측하기도 하며, 경찰 등 수사기관은 범죄DB를 이용해 범죄감시 시스템을 구현하게 된다.

그러나 데이터 처리과정에서 개인정보가 무분별하게 활용돼 문제가 되고 있다. 이는 정작 정보주체 본인이 인지하지 못하는 사이에 개인정보가 저장, 분석, 관리되고 있기 때문이다.

데이터 수집 및 공유로 공개된 정보나 데이터의 소유권 문제가 발생하기도 하고, 과도하게 수집된 데이터는 마케팅에 사용되기도 한다. 뿐만 아니라 잘못된 분석 자료의 축적·이용으로 재산·인격적 손해를 초래하기도 한다. 또한 개인정보 유출사고에 따른 조직의 존폐 위기가 발생하기도 한다.

이로 인해 개인정보보호를 위한 엄격한 법, 규정 등 통제 요구가 증가하고 있으며, 각종 업무처리 시에도 개인정보보호 요구가 늘고 있다. 뿐만 아니라 개인정보보호  분야 투자 확대에 따른 가시적인 효과 및 성과관리도 요구되고 있다.

이와 관련 한국정보화진흥원 김두현 부장은 ‘개인정보보호페어 & CPO워크숍(PIS FAIR 2014)’에서 “개인정보보호를 위해서는 다양한 이해당사자, 다수의 개인정보 취급부서, 정보주체의 개인정보 자기결정권 등이 고려되어야 한다”고 말했다.

다양한 이해당사자에 대한 고려는 개인정보가 단순히 조직 내부 뿐만 아니라 국민(고객)이라는 또 다른 권리주체가 존재하는 것을 의미한다. 따라서 전통적인 정보보호의 범위(내부 이해관계자)보다 폭넓은 영역을 관리해야 한다.

다수의 개인정보 취급부서는 단순히 개인정보보호 업무담당자 차원의 관리가 아닌 마케팅 부서, 고객지원 부서 등 수많은 현업부서에서 직접 취급·관리해야 한다는 얘기다. 

자기결정권 고려는 개인정보의 권리주체에게 자기정보 결정권을 보장해야 하기 때문에 개인정보 처리과정에 참여, 수집·이용·수정·변경·삭제 등의 요구권을 행사할 수 있도록 고려해야 한다는 것이다.  

뿐만 아니라 법·규정 등과 같이 다양한 컴플라이언스 측면에서는 개인정보보호 관련 법령 이외에도 영역별 개별 법령에 포함돼 있는 개인정보관련 조항들을 모두 준수해야 한다.

▲ 한국정보화진흥원 김두현 부장

개인정보보호 거버넌스의 필요성과 관련해서 김 부장은 △개인정보보호 컴플라이언스의 준수 및 지속적 유지 기반 마련 △개인정보보호 투자 성과 확보 △기관내 개인정보보호 수준 향상을 역설했다.  

개인정보보호 거버넌스 핵심영역의 경우 △전략적 연계(Strategic Alignment) △가치제공(Value Delivery) △자원관리(Resource Management) △위험관리(Risk Management) △성과관리(Performance Management) 등으로 구성되어야 한다고 강조했다.

이는 개인정보보호 목적과 기관의 비즈니스 계획(전략)이 서로 연계되고, 개인정보보호 투자비용을 최적화해야 한다는 것을 의미한다. 위험관리는 주요한 위험에 대해 투명성을 확보해야 하고, 개인정보보호 준수 요구사항에 대한 이해가 필요하다는 것을 의미한다. 또한 개인정보보호 성과관리를 위해서는 개인정보 성과 및 지속적인 모니터링이 이뤄져야 한다.

특히 개인정보보호 거버넌스 구현을 위해 김 부장은 “개인정보보호 프로세스, 개인정보보호 조직 및 정책, 개인정보보호 인력, 개인정보보호 솔루션 및 시스템, 개인정보보호 문화와 인식이 무엇보다 중요하다”고 강조했다. 
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>