GDPR 대응을 위한 주요 키포인트 가운데 하나로 국내 개인정보 영향평가가 주목받고 있다.

이와 관련 PIS FAIR 2018에서 ‘GDPR 대응방안 국내 영향평가 기준과의 비교’란 주제로 발표한 제이앤시큐리티 김경하 대표는 개인정보 영향평가에 대해 “영향평가는 문제점 뿐만 아니라 효율적인 개선 및 보호조치를 찾는 것”이라고 말했다.

이어 그는 개인정보 영향평가 장점으로 △개인정보 보호 조치의 내재화 △개인정보 침해의 사전 예방 △개인정보 보호 조치 비용절감 △GDPR의 입증 정보로의 활용 등을 꼽았다.

개인정보 영향평가 수행방안에 대해 △개인정보 흐름분석 △7가지 원칙 준수 여부 △8가지 정보주체 권리 △국외 이전에 있어 적법한 요건 여부 △위험평가 △위험 처리 계획 수립이 필요하다고 제시했다.

이와 관련 김경하 대표는 “8가지 정보주체 권리에서 정정권, 삭제권, 처리제한권 행사 시에는 수령인에게 반드시 알려야 한다”며 “또한, 국외이전에 적법한 요건의 경우 적정성 결정에 따른 이전, 적절한 보호조치를 했는지 살펴봐야 한다”고 강조했다.

특히, 위험 처리 계획 수립에서 보안조치의 선정 및 적용시 고려사항으로는 가명처리 및 암호화, 기밀성, 무결성, 가용성 및 복원력 보장 능력, 사고발생 시 개인정보의 가용성 및 접근을 적시에 복원할 능력, 효과성을 정기적으로 시험 및 평가하기 위한 프로세스를 갖춰야 한다는 것.

이와 함께 GDPR 대응을 위한 8가지 스탭으로 ①GDPR 적용여부 판단 ②개인정보 처리 단위별 현황 및 법적 요구사항 파악 ③개인정보 처리 단위별 흐름 분석(Flow Analysis) ④개인정보 처리 단위별 갭 분석(Gap Analysis) ⑤보안 조치의 적정성 평가(Risk Assessment 포함 ⑥개인정보 영향평가 수행(DPIA) ⑦개인정보 침해사고 대응체계 구축 ⑧개인정보 보호 관리체계 수립 및 운영해야 한다고 제시하며, 필요 조치 적용과 함께 문서화 및 문서관리가 필요하다고 설명했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>