• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.637-644
• /
• 2012

오늘날과 같은 정보화 사회에서는 정보가 기업의 핵심자산으로 인식되고 있으며, 특히 금융권에서는 고객의 개인정보 유출이 커다란 이슈로 대두되고 있다. 현재 상용화된 개인정보보호 기술은 전사적인 차원이 아닌 일부 기능으로 국한되거나 극히 일부분의 개인정보만 포함되는 경우가 많다. 따라서 전사적인 차원에서 개인정보 유출을 사전에 예방하기 위해서는 개인정보 유출의 징후를 지속적으로 모니터링 할 수 있는 체계에 대한 연구가 필요하다. 본 연구에서는 개인정보 접근에 대한 패턴분석 및 SRI(Security Risk Indicator)를 이용한 모니터링 체계 구축 방법론을 제안하였으며, 실제 금융권 기업에 적용하여 사례 연구를 수행하였다. 이를 통해 탐지된 개인정보 유출 시도는 탐지된 유형에 맞춰 체계화된 대응 방안을 수립할 수 있게 되었다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1293-1308
• /
• 2014

2014년 카드사 개인정보유출 사고의 원인은 테스트시스템에서 원본 데이터가 사용되었기 때문이다. 금융감독원 전자금융감독규정과 금융회사 정보기술(IT)부문의 정보보호업무 모범규준에는 테스트시스템에서 고객을 식별하는 정보는 변환하여 사용하도록 규정하고 있다. 금융회사는 이 지침에 따라 고객식별정보를 변환한 데이터를 테스트시스템에 적재하여 사용한다. 하지만, 테스트 과정에서의 사용자 실수 또는 기술적, 관리적 보안의 미비 등으로 의도치 않게 실제 개인식별정보가 유입될 수 있으나, 이를 통제 및 관리하는 프로세스는 현재 연구된 바가 없고, 감독기관의 컴플라이언스 위반 가능성을 높이는 원인이 되고 있다. 본 논문에서는 이러한 테스트시스템의 변환 미확인 고객식별정보를 관리 및 통제함으로써 감독기관의 컴플라이언스 위반 가능성을 없애는 프로세스를 제시 및 실증하고, 그 효과성을 확인해 본다.

• Journal of Platform Technology
• /
• 제11권3호
• /
• pp.56-67
• /
• 2023

최근 데이터 기반 산업계의 오랜 숙원이었던 개인정보 비식별화가 2020년 8월 데이터3법[1]이 개정되어 명시화 되었다. 4차 산업시대의 원유[2]라 불리는 데이터를 산업 분야에서 활성화할 수 있는 기틀이 되었다. 하지만, 일각에서는 비식별개인정보(personally non-identifiable information)가 정보주체의 기본권 침해를 우려하고 있는 실정이다[3]. 이에 개인정보 비식별화 자동화 도구인 Batch De-Identification Tool을 개발 연구를 수행하였다. 본 연구에서는 첫 번째로, 학습용 데이터 구축을 위해 사람 얼굴(눈, 코, 입) 및 다양한 해상도의 자동차 번호판 등을 라벨링하는 이미지 라벨링 도구를 개발하였다. 두 번째로, 객체 인식 모델을 학습하여 객체 인식 모듈을 실행함으로써 개인정보 비식별화를 수행할 수 있도록 하였다. 본 연구의 결과로 개발된 개인정보 비식별화 자동화 도구는 온라인 서비스를 통해 개인정보 침해 요소를 사전에 제거할 수 있는 가능성을 보여주었다. 이러한 결과는 데이터 기반 산업계에서 개인정보 보호와 활용의 균형을 유지하면서도 데이터의 가치를 극대화할 수 있는 가능성을 제시하고 있다

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1267-1276
• /
• 2013

클라우드 컴퓨팅 서비스를 이용하는 클라우드 소비자는 사용자의 개인정보에 대한 처리를 위탁받은 클라우드 제공자의 법적 준거성을 검토 및 감독해야 하는 의무를 갖는다. 본 논문에서는 국내 개인정보보호법의 위탁 시 준수사항을 토대로 클라우드 및 개인정보 관련 국제 표준과 국내 인증 제도를 분석하여 클라우드 개인정보 위탁이 가능한 시나리오를 제시하고 클라우드 환경에서 개인정보 위탁자에 해당하는 클라우드 소비자와 개인정보 수탁자에 해당하는 클라우드 제공자 간의 위탁 관리를 위한 개인정보보호 관리체계 통제를 제안하였다. 본 논문의 클라우드 개인정보 위탁 통제항목은 클라우드 제공자에게 개인정보의 처리를 위탁하고자 하는 조직에서 개인정보보호법을 준수하기 위한 지침을 개발하거나 개인정보보호 관리체계 인증에서 위탁 관리를 점검하기 위한 기준의 개발에 활용이 가능하다.

• 동의생리병리학회지
• /
• 제32권2호
• /
• pp.126-133
• /
• 2018

The aim of this survey is to investigate the current state of pattern identification, treatment and management on chronic fatigue in the Korean medicine. From May 25, 2017 to June 7, we distributed contents of questionnaires to 17,992 Korean medical doctors via e-mail, and then received answers from 329 people. The surveys were conducted by a specialized research organizations. Researchers were blinded to the participant's personally identifiable information or whether they participated in the investigation. In Korea, almost Korean medicine doctors (94.5%) used pattern identification in the treatment of chronic fatigue patients. The main diagnostic methods were visceral (38.5%), qi-blood-fluid-humor (32.3%), and sasang constitutional pattern identification (14.3%). The high-frequent therapy were herbal medicine (37.0%), acupuncture (27.9%), moxibustion (11.7%), and cupping (8.6%). The primary goals of treatment were Improvement and relaxation of stress condition (18.1%), improvement of quality of life (13.1%), increase of functional vitality (34.0%), and fatigue management (23.3%). The key factors affecting treatment outcomes were the patient's aggressiveness in treatment (23.5%) and his/her lifestyle and environment(22.7%). This study was a pioneering research for chronic fatigue on the aspect of medical service provider in the Korean medicine. We hope that this study can be used as a basis for developing a more appropriate and reasonable practice guidelines for chronic fatigue.

• Asia pacific journal of information systems
• /
• 제18권3호
• /
• pp.45-65
• /
• 2008

The rapid growth of the Internet has increased the amount of transmission of personally identifiable information. At the same time, with new Internet related technologies, organizations are trying to collect and access more personal information than before, which in turn makes individuals concern more about their information privacy. For their successful businesses, organizations have tried to alleviate these concerns in two ways: (1) by offering privacy policies that promise certain level of privacy protection; (2) by offering benefits such as financial gains or convenience. In this paper, we interpret these actions in the context of the information processing theory of motivation. This paper follows Hann et al.(2007)'s methods to analyze Internet users privacy concerns in Korea and tries to compare the findings. Our research objectives are as follows: First, we analyze privacy concern mitigation strategies in the framework of the expectancy theory of motivation. Subsequently, we show how the expectancy theory based framework is linked o the conjoint analysis. We empirically validate the predictions that the means to mitigate privacy concerns are associated with positive valences resulting in an increase in motivational score. In order to accommodate real-life contexts, we investigate these means in trade-off situation, where an organization may only be able to offer partially complete privacy protection and/or promotions and/or convenience, While privacy protection (secondary use, improper access) are associated with positive valences, we also find that financial gains can significantly increase the individuals' motivational score of a website in Korea. One important implication of this empirical analysis is that organizations may possess means to actively manage the privacy concerns of Internet users. Our findings show that privacy policies are valued by users in Korea just as in the US or Singapore. Hence, organizations can capitalize on this, by stating their privacy policy more prominently. Also organizations would better think of strategies or means that may increase online users' willingness to provide personal information. Since financial incentives also significantly increase the individuals' motivational score of website participation, we can quantify the value of website privacy protection in terms of monetary gains. We find that Korean Internet users value the total privacy protection (protection against errors, improper access, and secondary use of personal information) as worthy as KW 25,550, which is about US 28. Having done this conjoint analysis, we next adopt cluster analysis methodology. We identify two distinct segments of Korea's internet users-privacy guardians and information sellers, and convenience seekers. The immediate implication of our study is that firms with online presence must differentiate their services to serve these distinct segments to best meet the needs of segments with differing trade-offs between money and privacy concerns. Information sellers are distinguished from privacy guardians by prior experience of information provision, To the extent that businesses cannot observe an individual's prior experience, they must use indirect methods to induce segmentation by self-selection as suggested in classic economics literature of price discrimination, Businesses could use monetary rewards to attract information sellers to provide personal information. One step forward from the societal trends that emphasize the need of legal protection of information privacy, our study wants to encourage organizations and related authorities to have the viewpoints to consider both importance of privacy protection and the necessity of information trade for the growth of e-commerce.

• 한국전자거래학회지
• /
• 제24권1호
• /
• pp.121-137
• /
• 2019

비식별화는 데이터셋으로부터 개인정보를 제거함으로써 개인을 식별할 수 없도록 하는 방법으로, 정보를 수집, 가공, 저장, 배포하는 과정에서 발생할 수 있는 개인정보 노출 위험도를 낮추기 위해 사용한다. 그간 비식별화와 관련된 알고리즘, 모델 등의 관점에서 많은 연구가 이루어졌지만, 대부분은 정형 데이터를 대상으로 하는 제한적인 연구로, 비정형 데이터에 대한 고려는 상대적으로 많지 않은 실정이다. 특히 비정형 텍스트가 빈번히 사용되는 의료 분야의 경우에서는 개인 식별 정보들을 단순 제거함으로써 개인정보 노출 위험도는 낮추지만, 그에 따른 데이터 활용성이 떨어지는 점을 감수하는 실정이다. 본 연구는 개인정보 보호 이슈가 가장 중요하고 따라서 비식별화가 활발하게 연구되고 있는 의료분야 데이터 중 비정형 텍스트를 대상으로 k-익명성 보호모델을 적용한 비식별화 수행 방안을 제시하고, 비식별화 결과에 대한 새로운 유용도 측정 기법을 제안하여 이를 통해 직관적으로 데이터 활용성을 판단할 수 있도록 하는 것을 목표로 한다. 따라서 본 연구의 결과물이 의료 분야뿐만 아니라 비정형 텍스트가 활용되는 모든 산업 분야에서 활용될 경우, 개인 식별 정보가 포함된 비정형 텍스트의 활용도를 향상시킬 수 있을 것으로 기대한다.

• 의료법학
• /
• 제22권4호
• /
• pp.117-157
• /
• 2021

본 연구에서는 미국의 보건의료데이터 관련 주요 법령으로 HIPAA/HITECH, 21세기 치료법, 공통규칙, 주법 등을 검토, 데이터의 보호 및 활용 관점에서 관련 법령의 발전과정, 구체적 쟁점에 관한 입법방침을 검토하였으며, 다음과 같은 시사점을 도출하였다. 첫째, 미국의 경우 개인의료정보에 관한 단일법제를 통하여 보호와 활용 기준을 비교적 명확하게 규율하고 있다. 미국의 경우 1996년 의료정보보호에 관한 기본법으로 HIPAA를 도입, 의료정보를 개인식별정보, 비식별정보, 한정데이터세트로 구분하여 PHI의 경우 목적에 따른 활용범위를 규정하였으며, 의료정보의 비식별조치 방식 규정, 한정데이터세트의 삭제정보 대상, 데이터 재식별 금지합의서 등에 관하여 규정하였다. 한편, 연구목적 의약품 및 의료기기 혁신 촉진을 위하여 제정된 21세기 치료법에서는 정보의 공유와 정보접근성 강화를 위하여 데이터 공유를 위한 상호호환성, 데이터 차단 금지, 정보주체의 접근성 강화를 규정하였으며, 공통규칙에서는 포괄적 동의제도를 도입, 절차를 명확하게 규정하고 있다. 우리나라의 경우 개인정보보호법을 기초로 하되, 보건의료데이터를 규율하는 일관된 법제를 제정한다면 규제체계와 내용을 보다 명확히 하여 정보소유자와 이용자에게 정보이용에 대한 신뢰를 높일 수 있을 것으로 생각된다. 둘째, 미국의 경우 의료정보의 활용 측면에서 규제체계를 비교적 간소화하고 명확하게 규정하고 있다는 점에서 의미가 있는 것으로 생각된다. 구체적으로 식별가능 의료정보의 익명조치 방안으로 전문가 합의 방식과 세이프 하버 방식을 규정하고, 구체적인 방법을 규정하고 있다. 특히 세이프하버 방식의 경우 18가지 식별자를 제거하면 비식별조치가 된 것으로 판단하고 있어 비식별조치 방식과 절차를 명확하게 규정하고 있다는 점, 전문가 합의 방식도 전문가 판단기준, 절차 등을 규정하고 있어 판단절차에 대한 신뢰를 높이고 있다는 점에서 의미가 있다. 보건의료데이터의 경우 치료목적, 연구목적 등으로 활용될 경우 그 가치가 증가될 것으로 생각되므로 보다 간소하고 명확한 기준을 제안함으로써 정보보호와 활용의 목적을 달성할 수 있을 것으로 생각된다. 셋째, 미국의 경우 정보주체의 권리보호 방안을 구체화하되, 설명의무를 상세히 규정하되 식별정보에 대한 소비자의 정보권한(옵트아웃 절차)를 명시하고 있다. 구체적으로 HHS 규칙과 FDA 규정에서 인간대상 연구에 대하여는 포괄적 동의제도를 인정하되 공통규칙을 통하여 동의절차, 방법, 요건을 규정하고 있다. 특히 정보주체에 대한 고지의무, 옵트아웃 제도, 삭제요구권 등에 관하여 규정하고 있으며, 동의절차에서 동의 대상자가 쉽고 명확하게(8th grade reading level 기준) 이해할 수 있도록 하며, 최신성·편의성을 유지하도록 하고 있다. 특히 최근 미국 주법(뉴욕, 캘리포니아 주 등)은 데이터 보호 및 활용에 관한 법령을 제정하면서 정보접근권, 삭제요구권, 옵트아웃 제도, 정보처리 동의의 투명성 강화조치 마련 등을 규정하여 데이터 활용에 있어서 정보주체의 권리를 보장하고 있다. 정보주체의 권리 보호는 정보의 가치보존과 활용 측면에서 가장 중요한 전제요건이 될 것이므로 우리나라의 입법에서도 참조할 수 있을 것으로 생각된다. 넷째, 미국의 경우 보건의료데이터 법제 전반에서 신뢰기반 제도를 활용하고 있다는 점은 중요한 의미가 있을 것으로 생각된다. 예컨대 HIPAA에서는 Limited Data Set의 경우 연구자의 재식별금지 합의서를 전제로 정보를 활용할 수 있도록 규정하고 있으며, 익명조치를 전문가 합의, 세이프하버 방식 등으로 간소화하여 연구목적 정보이용을 활성화하는 방안, 동의제도를 간소화하는 방안도 정보주체와 정보이용자간 신뢰에 기반한 것으로 볼 수 있다. 의료정보는 정보주체, 생성·보관·활용자가 모두 신뢰에 기반하여 협력할 때 그 가치가 나타날 수 있을 것으로 생각되므로 정보주체의 권리보장을 전제로 하되, 정보이용자가 당해 정보를 보다 가치 있게 이용(meaningful use)하도록 하는 신뢰에 기반한 법제도 마련이 필요할 것으로 생각된다.

• 사물인터넷융복합논문지
• /
• 제8권5호
• /
• pp.119-125
• /
• 2022

최근 고령화로 인한 치매환자의 증가로 그들의 배회행동과 실종예방을 위한 대책이 시급하다. 이러한 문제를 해결하기 위해 다양한 인증 방법과 위치 탐지 기법들이 소개되고 있으나 개인인증의 보안성 문제와 실내·외를 전반적으로 확인할 수 있는 시스템은 찾아보기 어려웠다. 본 연구에서는 프라이빗 블록체인 환경에서 손목 밴드 형태의 웨어러블 디바이스를 활용해 개인인증, 기본적 건강 상태 파악 및 실내·외의 전반적인 위치를 파악할 수 있는 시스템을 제안하고자 한다. 이 시스템에서 개인인증은 위변조가 어렵고 개인식별성이 높은 ECG를, 실내는 저전력, 비접촉 및 자동 송수신 방식으로 사용이 용이한 블루투스 비콘을, 실외는 GPS 위성의 의사거리 오차를 보정한 DGPS를 활용하여 치매환자의 위치를 파악함으로써 배회행동 및 이상징후를 탐지하고자 한다. 이를 통해 재가나 요양시설 등에서 생활하는 치매환자의 배회행동 및 이상징후 시 신속한 대처와 실종예방에 기여하고자 한다.