• 정보보호학회지
• /
• 제23권4호
• /
• pp.65-72
• /
• 2013

개인정보보호 관리체계(PIMS: Personal Information/privacy Management System)는 개인정보에 특화해 기업이 고객들의 개인정보를 보호 활동을 지속적이고 체계적으로 수행하기 위한 체계를 지칭한다. 기업에 의해 다양한 개인정보가 수집되어 이용되고 있고 비즈니스 목적의 개인정보 국외 이전에 대한 요구가 증가하고 있는 점을 고려하면, 글로벌 차원에서 합의된 개인정보보호 관리체계의 국제 표준화된 지침 (관리 프로세스 요구사항과 리스크를 관리하기 위한 보호대책) 의 개발이 요구되고 있는 실정이다. 이러한 국제표준에 근거한 개인정보보호 관리체계를 위한 기준은 국경을 넘어선 개인정보의 이전을 가능케 하는 기반을 제공하며, 이 기준을 이용하면 국가별로 다르게 운영되고 있는 개인정보보호 관리체계에 대한 국가간 상호 인정도 가능케 할 것이다. 본 논문에서는 정보보호관리체계와 개인정보보호 관리체계의 주요 특성을 살펴보고, 두 체계 간의 유사점과 차이점을 식별하며, 개인정보관리체계의 운영을 위한 국제 표준 구성 요소를 제시한다. 또한, 한국 주도로 추진 중인 개인정보보호 관리체계 지침을 위해 2011년 8월 이후 ITU-T SG17과 ISO/IEC JTC 1/SC 27에 의해 추진되고 있는 지금까지 국제 표준화 추진 경과 사항을 살펴보고, 향후 표준화 전망을 제시한다.

• 정보보호학회지
• /
• 제25권4호
• /
• pp.6-10
• /
• 2015

기업에 의해 수집되어 관리되고 있는 개인정보가 유출되는 사고가 빈번하게 발생하고 있어서 기업의 개인정보보호 대응능력을 강화하기 위한 관리체계의 도입이 요구되고 있다[1,2]. 국제표준화위원회/전기위원회 합동위원회 1의 정보보호 기술연구반 아이덴터티 관리 및 프라이버시 작업반 (ISO/IEC JTC 1/SC 27/WG 5)에서는 기업을 위한 개인정보보호 원칙을 제시하고, 개인정보보호 위험 평가 지침을 제시하며 개인정보보호를 위한 각종 통제를 제시하기 위한 국제 표준화 작업을 수행하고 있다[18]. 정보보호관리체계 작업반(WG 1)에서는 2013년부터 정보보호관리 요구사항을 다룬 ISO/IEC 27001[6]을 이용해 여러 섹터에 적용되는 정보보호관리체계 구축을 위한 요구사항에 대한 국제표준화를 추진하고 있다. 본 논문에서는 작업반 1과 작업반 5에서 수행되고 있는 개인정보보호 관련 국제 표준화 활동의 동향을 살펴보고, 개인정보보호 관리체계 구축을 위한 국제 표준의 배열을 제시한다.

• 정보보호학회지
• /
• 제18권6호
• /
• pp.1-5
• /
• 2008

개인정보보호가 단순히 개인의 권익에 관한 문제로 국한되지 않고, 기업의 사활을 좌우하는 이슈로 대두되고 있다. 또한 개인정보의 활용과 보호라는 두 가지 상충되는 기업 내 목표와 관련 개인정보보호법이나 규정 준수 등 대내외 요구사항을 만족시켜야 한다. 기업 내 개인정보보호활동의 효과성을 높이기 위해서는 현재 산발적으로 진행되는 개인정보 영향평가 등 단순 기법이나 정보유출방지 솔루션 도입 등의 접근방법으로는 한계가 있으며 새로운 접근방법이 필요하다. 본 고에서는 일상적 관리활동의 하나로서 개인정보보호를 위한 관리체계의 필요성과 관리과정을 소개하며 이를 평가, 지시 및 모니터링 할 수 있는 거버넌스의 목표와 중요성에 대해 기술한다.

• 정보보호학회지
• /
• 제21권5호
• /
• pp.27-36
• /
• 2011

국내 주요기업(83개)의 개인정보보호책임자를 대상으로 조사한 결과 1백만명 이상의 개인정보를 수집하고 있는 기업이 61.4%(08년 기준)나 되고 국내 개인정보 침해건수는 2005년 18,000여건이던 건수가 급격하게 증가하여 2008년에는 39,000여건에 이르고 있다. 국민들이 개인정보를 안전하게 관리하는 기업을 손쉽게 식별할 수 있는 기준이나 정보가 미흡한 실정이며, 기업 스스로가 개인정보 침해사고를 사전에 방지하고 개인정보를 안전하게 관리할 수 있는 개인정보보호 체계의 필요성이 절실한 시기이다. 이에 본고에서는 국내 외(개인)정보보호관리체계 동향을 비교 분석하고 국내 환경에 적합하도록 개인정보보호에 특화된 개인정보보호관리체계 인증제도를 소개하고 구축에 필요한 방법을 선구축한 기업의 입장에서 살펴보고자 한다.

• 정보보호학회지
• /
• 제26권4호
• /
• pp.6-10
• /
• 2016

기업의 개인정보보호 수준을 강화하기 위한 개인정보보호관리체계 인증을 구축하기 위해서는 개인정보관리체계를 위한 추가 요구사항, 보안 측면의 통제, 프라이버시 측면의 통제가 요구된다[1,2]. 국제표준화위원회/전기위원회 합동위원회 1의 정보보호기술연구반 신원 관리 및 프라이버시 작업반 (ISO/IEC JTC 1/SC 27/WG 5)에서는 개인정보보호를 위한 여러 국제 표준을 개발하고 있다[18, 32, 22]. 본 논문에서는 작업반 1과 작업반 5에서 2016년 4월 SC27 회의에서 논의된 개인정보보호 관련 주요 표준화 이슈와 대응 방안을 제시한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2018년도 제57차 동계학술대회논문집 26권1호
• /
• pp.179-182
• /
• 2018

최근 여기어때, 인터파크 등 전자상거래 기업을 대상으로 발생한 개인정보 해킹사고 사례를 보면, 사람의 취약점을 노리는 지능화지속위협(APT) 공격과 알려진 해킹 기술이 복합적으로 이루어지고 있다. 해킹사고가 발생한 기관은 한국인터넷진흥원(KISA) 정보보호관리체계(ISMS) 의무대상 기관으로써 정보보호관리체계를 유지 관리하고 있었다. 그럼에도 불구하고 대형의 개인정보 유출사고가 발생한 주요 원인은 정보보호관리체계가 적용되지 않았던 정보시스템과 인력을 대상으로 해킹이 이루어졌기 때문이다. 해킹 위협의 변화에 따라 전자상거래 보안 수준도 변화해야 하는데, 개인정보보호 관련 규제 준수도 전자상거래 기업에서는 힘든 상황이다. 고객의 개인정보 유출 사고는 일반인을 매출 기반으로 서비스하고 있는 전자상거래 기업에서는 치명적이다. 안전한 전자상거래 플랫폼 기반에서 고객에게 서비스를 제공하기 위해서는 무엇보다도 중요 자산인 고객의 개인정보보호를 위해 역량을 집중해야 한다. 한정된 예산과 자원으로 안전한 서비스를 제공하기 위해서는 기존에 구축된 정보보호관리체계를 기반으로 IT보안감사체계를 전사적으로 확대하여 지속적으로 모니터링 할 필요가 있다. 이에 본 연구에서는 최신 사이버 보안 위협 동향과 전자상거래 기업 대상으로 발생한 최근 개인정보유출사고 사례를 분석을 통해 시사점을 도출하여 전자상거래 개인정보 보호를 위한 IT보안감사체계를 제시하였다.

• 정보보호학회지
• /
• 제23권5호
• /
• pp.20-23
• /
• 2013

방송통신위원회는 2011년부터 개인정보보호 관리체계(PIMS)를 시행하고, 심사를 통해 신청기업이 개인정보보호를 위해 일정수준 이상의 관리적 기술적 물리적 대책을 수립 및 운영하고 있을 경우 인증을 부여하고 있다. 이에 따라 이용자 및 정보주체는 해당 기관의 인증취득 여부를 통해 개인정보의 누출가능성을 최소화하고 효과적으로 보호하고 있음을 갈음하는 수단이 되고 있다. 본고에서는 개정 정보통신망법에 따라 지난 9월11일 방통위 의결을 통과한 개정 PIMS 고시에서의 주요하게 변화된 내용 중 민간인증기관 지정, 인증심사 항목의 개선에 대해 살펴보고, PIMS 인증을 준비 중인 기업의 이해를 돕고자 한다.

• 인터넷정보학회논문지
• /
• 제17권4호
• /
• pp.95-113
• /
• 2016

주민번호를 포함한 개인정보의 처리업무는 상당한 전문지식과 많은 비용이 소요되어 IT 전문 업체에 위탁 처리하는 경우가 보편화 되었다. 개인정보 관련 사고는 점차 증가하고 있으며, 사고 유형의 대부분은 수탁자에 의한 누출 혹은 유출에 의해 발생하고 있다. 개인정보보호 실태점검과 관리수준 진단 결과 공공기관에서의 수탁자에 대한 개인정보 사고 예방노력과 개인정보보호 관리체계 구축 노력이 시급한 상황이다. 본 논문에서는 개인정보 보호의 효율적 제고 방안에 대하여 연구하였다. 개인정보 처리 업무위탁에 대한 법률사항을 분석하고, 관리체계 구축을 위한 법률 기준 지표를 선택하여, 수탁자에 대한 개인정보보호 관리수준 분석 방안과 수탁자 개인정보보호 관리체계 강화 방안을 제시하였다. 개인정보보호 관리체계 강화 방안으로 수탁자 개인정보보호 관리체계를 제시하였고, 세 가지 법률 강화방안을 제시하였다. 본 논문에서는 개인정보보호 관리체계 강화 방안을 구성하기 위하여 공공기관의 대표적 개인정보 처리 위탁업무 중 IT유지보수, 고지서인쇄, 콜센터와 관련된 30개 수탁자들을 대상으로 설문조사를 통해 조사하였고, 강화 방안에 대한 문헌 근거를 제시하였으며, 개인정보 위탁자와 수탁자에 대한 FGI를 통해 강화방안에 대한 검증을 실시하였다.

• 정보보호학회지
• /
• 제27권5호
• /
• pp.43-48
• /
• 2017

개인정보관리체계 [1,2] 를 구축하기 위해서는 관리체계를 위한 요구사항과 프라이버시 통제가 필요하다. 국내에서 시행되고 있는 개인정보관리체계도 요구사항과 개인정보 전주기동안의 프라이버시 보호조치에 근거해 시행하고 있다. 빅데이터 환경에서는 개인정보를 처리하기 위한 비식별화 기법(de-identification technique)이 요구된다. 그리고 온라인 사용자 친화적 고지 및 통보 방법이 필요하다. 국제표준화위원회/전기위원회 합동위원회 1의 정보보호기술연구반 신원 관리 및 프라이버시 작업반 (ISO/IEC JTC 1/SC 27/WG 5)에서는 개인정보보호를 위한 여러 가지 국제표준을 개발하고 있다[20],[21],[22],[30]. 본 논문에서는 작업반 5에서 2017년 4월 뉴질랜드 해밀턴 SC27 회의에서 논의된 개인정보보호 관련 주요 표준화 이슈와 대응 방안을 제시한다.

• 정보보호학회지
• /
• 제23권1호
• /
• pp.68-77
• /
• 2013

최근 들어 개인정보 유출 사고가 빈번히 발생하고 있어, 개인정보 보호를 위한 법제도적 대책뿐만 아니라 기술적 보호대책의 강화가 요구되고 있다. 그러나 국가마다 지역마다 서로 다른 개인정보보호관련 법 제도적 요구사항의 상이는 서로 다른 보호조치 수준을 초래하며, 이는 궁극적으로 국가 간 또는 지역 간 개인정보의 자유로운 이전의 커다란 장애물이 되고 있다. 따라서 글로벌하게 합의된 프라이버시 원칙이 요구되었으며, 이에 기반을 둔 보호대책(control)의 개발이 필요하게 되었으며, 이 보호대책은 기업에 의해 수립되는 개인정보보호관리체계 (PIMS, personal information management system)의 인증 기준이 되며, 개인정보관리체계의 인증은 국가간 개인정보보호의 원만한 이동을 가능케 할 것이다. 본 논문에서는 각각 경제협력개발기구(OECD), 아시아태평양경제협력기구(APEC), 그리고 국제표준화 기구인 ISO/IEC, 그리고 한국 정보통신기술협회(TTA) 정보통신단체표준에서 정의된 프라이버시 원칙을 살펴보고, 각 프라이버시 원칙을 비교한다. 또한, 최근 구글의 개인정보통합관리에 대응할 수 있는 비연결성(unlikability) 원칙을 포함한 추가적인 프라이버시 원칙도 제시한다. 참고로 본 논문의 내용은 TTA 표준[4] 개발 시에도 반영 되었다.