• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보 보호 및 활용을 위한 비식별조치와 PIMS 2017.06.20

PIS FAIR 2017, 실제 사례를 통한 개인정보보호 보호와 활용 소개
개인정보 비식별화와 PIMS 인증 획득을 위한 지원

[보안뉴스 원병철 기자] 개인정보보호에 있어서 비식별조치는 어떤 의미를 가질까? 2016년 6월 비식별조치 가이드라인이 발표된 후, 개인정보를 수집 및 활용하는 기관과 기업들은 활용과 보호의 측면에서 운용의 묘를 찾기 위해 노력해 왔다. 이러한 가운데 19일과 20일, 양일간 서울 코엑스 그랜드볼룸에서 열리는 2017 개인정보보호 페어(PIS FAIR 2017)은 비식별조치에 대한 다양한 의견을 나누는 것은 물론, 정부 및 관련 기관의 정책과 기준을 들을 수 있는 자리였다.

▲ PIS FAIR 2017 강연장 모습[사진=보안뉴스]


한국인터넷진흥원(KISA) 비식별지원센터 김동현 선임은 PIS FAIR 2017에서 ‘개인정보 비식별화와 데이터 활용’에 대한 강연을 펼쳤다. 김 선임은 3차 산업혁명이 컴퓨팅 파워, 즉 지식정보라면, 4차 산업혁명은 소프트 파워, 즉 새로운 IT 기술과 융합산업의 출연이라고 그 차이점을 설명했다.

김 선임은 개인정보의 활용과 보호를 위해 세계 각국은 개인정보를 비식별화하는 데 노력하고 있다면서, 아직 우리나라는 비식별정보에 대해 완벽하게 대응하지 못하고 있다고 아쉬워했다. 특히, 우리나라는 기본적으로 제3자에게 개인정보를 제공하지 못하도록 되었지만, 통계 작성과 학술 연구 등을 위해서는 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다고 정의했다.

2016년 6월 30일 개인정보 비식별조치 가이드라인이 나왔는데, 여기서는 총 4단계에 걸쳐 비식별조치와 사후관리를 하도록 되어 있다. EU GDPR에서도 마찬가지지만, ‘그 자체로 특정 개인을 알아볼 수 있는 정보와 개인정보가 아닌 것으로 추정’하는 것이다.

두개의 예를 들어 설명한 김 선임은 먼저 카드사와 판매사가 데이터를 공동으로 결합한 경우 구매내역과 카드 결제내역을 결합한 결과 특정 성향의 고객을 대상으로 양사가 공동의 프로모션을 진행할 수 있었고, 신규 고객 유치와 상품 구성 등 마케팅 전략에 활용할 수 있었다고 강조했다. 또 다른 데이터 결합에서는 통신사와 보험사의 데이터 결합을 수행해 통신비 연체와 보험료 연체의 상관관계를 알아낼 수 있었다

한편, 김 선임은 “개인을 특정할 수 없을 정도로 정보를 지웠는데, 거기서 의미 있는 데이터를 뽑아낼 수 있냐고 물어보는 사람들이 많다”며, “데이터를 결합할 경우 생각보다 충분히 많은 데이터를 취합할 수 있다”고 설명했다.

PIMS 인증 획득을 위한 6단계
이어진 강연에서는 KISA 보안수준인증팀의 김선미 팀장이 ‘개인정보보호 관리체계 인증을 위한 구축 사례’를 발표했다. 김 팀장은 PIMS를 통해 기관과 기업의 개인정보보호를 설명했다. PIMS는 개인정보를 보호하기 위해 관리적, 기술적, 물리적 보호조치를 포함한 종합적 관리체계라고 말한 김 팀장은 PIMS가 사이버 침해, 유출사고 방지 외에도 이용자의 개인정보에 대한 법률 요구사항과 권리보장 등에 대한 항목을 포함한다고 말했다.

김 팀장은 한 쇼핑몰을 예로 들어 PIMS 인증 획득에 대해 소개하면서 PIMS에는 심사를 포힘한 6단계의 과정을 설명했다. 우선 1단계는 기업의 PIMS 담당자는 조직에서 취급하는 개인정보를 파악하고, 개인정보 취급 여부에 따라 인증범위에 포함하는 △정책수립 및 범위설정을 진행한다.

2단계는 기업의 개인정보보호 책임자와 조직, 협력체를 지정 및 구성하고, PIMS 운영을 위한 자원을 확보하는 △경영진 책임 및 조직구성 단계를 거친다. 3단계는 기업 내 개인정보와 정보자산을 식별하고, 자산에 대한 위험식별과 취약점을 점검한 후, 개인정보보호 대책을 수립하는 △개인정보 식별 및 위험관리 단계다.

이후 부서별로 PIMS 이행과 준수 기록을 확보하고, 내외부 임직원 교육을 실시하는 △개인정보보호 대책 구현의 4단계를 거쳐 관리 법률과 개인정보보호 대책 등에 대한 준수 확인을 위해 내부감사를 수행하고, 확인된 문제점들을 개선하는 △내부 감사 및 점검·개선 5단계를 진행한다. 마지막 6단계는 인증관련 필수 문서를 정리하고 담당자 지정 및 심사기간 대응을 할 수 있는 △인증심사 및 사후관리다.

가상의 기업이 PIMS 인증을 획득하는 과정을 예로 들며 강연을 진행한 김 팀장은 이번 강연을 통해 많은 기업들이 PIMS 인증에 도전하고, 이를 통해 기관과 기업의 개인정보보호를 강화했으면 좋겠다고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>