Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

An Evaluation of the Necessity of Security Management of Personal Information Consignees : using Privacy Policy and ISMS data

개인정보 수탁사의 보안관리 대상 식별 방안 연구 : 개인정보처리방침 및 정보보호인증 데이터 이용

  • 최원녕 (서울과학기술대학교 IT정책전문대학원 산업정보시스템) ;
  • 국광호 (서울과학기술대학교 글로벌융합산업공학과)
  • Received : 2020.07.04
  • Accepted : 2020.09.28
  • Published : 2020.09.30
Download PDF
⟨ Previous Next ⟩

Abstract

Business consignment using personal information is increasing for the operating profit and work efficiency of Internet companies. If the personal information leakage accident occurs at the consignee, the consigner who provided personal information will be damaged greatly. The purpose of this study is to analyze the business attributes of consignee using consigned personal information and present a model that can be used to select companies with high risk of personal information leakage by considering the importance of the involved personal information. For this, personal information consignment relations, consignment services, and personal information items used were analyzed. Social network analysis and cluster analysis were applied to select companies with high network centrality that are advisable to obtain information security certification. The results of this study could be used to establish information protection strategies for private or public enterprises that manage companies using personal information.

인터넷 기업의 영업 이익과 업무 효율성을 높이기 위해 개인정보를 이용한 업무 위탁행위가 증가되고 있다. 개인정보를 위탁받은 업체들에서 개인정보 노출 사고가 발생하는 경우 업무를 위탁한 기업들이 고스란히 피해를 입게 된다. 본 연구는 개인정보를 위탁받은 업체들의 업무 속성들을 분석하고 개인정보의 중요도에 따른 가중치를 적용하여 개인정보 노출 위험성이 높은 업체를 식별할 수 있는 모델을 제시하는데 목적이 있다. 이를 위해 개인정보 위탁관계, 개인정보 위탁서비스, 개인정보 이용항목들을 분석하고 사회연결망 분석과 군집분석을 활용하여 네트워크 중심성이 높은 업체 중 정보보호인증 획득이 필요한 업체를 식별하였다. 본 연구 결과는 개인정보를 이용하는 기업들을 관리하는 민간기업이나 공공기업의 정보보호 전략 수립에 활용될 수 있을 것이다.

Keywords

References

  1. 행정안전부, 한국정보보호진흥원, '민간기업 개인정보 매뉴얼', pp. 10, 2008.
  2. 행정자치부 보도자료, "6천여 IT수탁사에 대한 대대적인 개인정보관리실태 점검실시", 2015.4.3.
  3. 금융위원회, "신용카드업자 고객정보 유출 관련 현황 및 대응방안", 2014.1.8.
  4. 보안뉴스 홈페이지, , 2018.5.18.
  5. 행정안전부, '개인정보보호법', 법률 제14839호, 2017.7.26.
  6. 강태훈, "개인정보보호 수탁사 관리체계 강화 방안 연구", 高麗大學校情報經營工學專門大學院, 2014.
  7. 임동성, 이상준, "수탁사 개인정보 관리 수준점검 항목의 상대적 중요도 분석", 예술인문사회융합멀티미디어논문지, 제8권, pp. 1-11, 2018. https://doi.org/10.35873/AJMAHS.2018.8.11.001
  8. 이재근, 김현진, 강상욱, 염흥열, "네트워크 이론을 적용한 개인정보 유통구조 분석", 정보화정책, 제21권, 제1호, pp. 17-34. 2014. https://doi.org/10.22693/NIAIP.2014.21.1.017
  9. 이재근, "개인정보보호 정책 공시 데이터를 이용한 개인정보보호 성과 수준 예측모델에 관한 연구", 순천향대학교 대학원, 2014.
  10. 이용진, "금융회사 개인신용정보 수탁사에 대한 관리.감독 현황 및 개선방향에 관한 연구", 高麗大學校情報保護大學院, 2014.
  11. 이용진, 임종인, "금융회사 개인신용정보 수탁사에 대한 관리.감독 현황 및 개선 방향에 대한 연구", 보안공학연구논문지, 제11권, 제3호, pp. 233-250, 2014.
  12. 강태훈, 임종인, "개인정보보호 수탁사 관리체계 강화 방안 연구", 정보보호학회논문지, 제23권, 제4호, pp. 781-797, 2013. https://doi.org/10.13089/JKIISC.2013.23.4.781
  13. 행정안전부, 한국인터넷진흥원, '개인정보 영향평가 수행안내서', 201804.
  14. 이기성, 안효범, 이수연, "개인정보 노출을 예방하는 방법에 관한 연구", 융합보안 논문지, 제12권, 제1호, pp. 71-77, 2012.
  15. 천명호, 최종석, 신용태, "SNS에서 개인정보유출방지를 위한 개인정보 유출위험도 측정 방법", 정보보호학회논문지. 제23권, 제6호, pp. 1199-1206, 2013. https://doi.org/10.13089/JKIISC.2013.23.6.1199
  16. 전동진, 정진홍, "C쇼핑몰 개인정보 영향평가 사례연구", 한국산업정보학회논문지, 제17권, 제6호, pp. 73-82, 2012a. https://doi.org/10.9723/jksiis.2012.17.6.073
  17. 전동진, 정진홍, "개인정보 영향평가 사례 연구", 디지털융복합연구, 제10권, 제8호, pp. 149-157, 2012b. https://doi.org/10.14400/JDPM.2012.10.8.149
  18. 정해산, "공공기관 개인정보영향평가제도의 실효성 확보방안 연구", 고려대학교 정보보호대학원, 2018.
  19. 김형건, 최석환, 윤광욱, 최윤호, "회원가입 약관 정보 자동 수집을 통한 웹기반 개인정보보호 영향도 평가 시스템", 정보과학회 컴퓨팅의 실제 논문지, 제25권, 제9호, pp. 425-435, 2019.
  20. 최원녕, 김우제, 국광호, "기업의 정보보호활동의 효율성 평가", 융합보안논문지, 제18권, 제5호, pp. 25-32, 2018.
  21. 한국인터넷진흥원 홈페이지, , 2019.7.