• 디지털산업정보학회논문지
• /
• 제8권1호
• /
• pp.89-98
• /
• 2012

According to the enforcement of Personal Information Protection Act as of September 2011, the laws and regulations for the protection of personal information that were applied only to the certain sectors such as information & communication network, financial institutions, public sector etc. for the time being has been expanded to apply to all public and private sectors to process personal information. In particular, because the public institutions are obliged to be mandatorily conducted of the Privacy Impact Assessment, it will be enforced in earnest for each agency's informationization business that handles personal information. In this paper, I examine the most derived vulnerability and set up the improvement measure to supplement it with the examples of 10 of all the institutions conducting the Privacy Impact Assessment in the year 2011. And, I suggest the measures to be prepared by the institutions to observe the Personal Information Protection Act.

• Journal of Platform Technology
• /
• 제12권1호
• /
• pp.151-163
• /
• 2024

우리 나라의 개인정보 영향평가는 개인정보보호법 제33조 및 같은 법 시행령 제35조에 규정된 개인정보파일을 운용하는 기관이 필수적으로 수행하여야 하는 위험요인 분석과 개선사항 도출의 과정을 의미한다. 우리나라의 개인정보 영향평가 제도에는 크게 두가지의 한계가 존재한다고 볼 수 있다. 첫 번째 한계는 개인정보 영향평가를 받아야 하는 대상이 공공기관과 공공기관에 준하는 기관으로 한정되어 있다는 점이고, 두번째 한계는 적정한 인력과 설비 및 그 밖에 필요한 요건을 갖춘 기관만이 개인정보 영향평가를 수행할 수 있다는 점이다. 본 연구에서는 최근 들어 급속하게 발전하고 있는 데이터 시대에 민간기업 또는 중소벤처기업, 소상공인 등도 직접 수행할 수 있는 사전진단도구 개발을 위한 제안을 하고, 구체적인 평가 요소에 대한 분석을 제시한다. 본 연구의 결과는 셀프-체크리스트 형식의 제공되어, 일반 국민들이 손쉽게 접근할 수 있는 개인정보 영향평가 사전진단도구의 역할을 할 것으로 기대된다. 국가적으로도 개인정보 보호를 강화하고 관련한 법적 준수를 달성하는 데 기여할 것으로 예상된다.

• 한국콘텐츠학회논문지
• /
• 제11권3호
• /
• pp.84-99
• /
• 2011

정보 시스템 고도화로 인한 정보의 집적화, 대량화가 점차 확대됨에 따라 개인 정보의 유출 가능성은 날로 높아지고 있다. 이에 따라 개인정보 침해 요소를 사전에 분석하고 최소화 할 수 있는 개인정보 영향평가(PIA)의 필요성이 대두 되고 있다. 그러나, 대부분의 정보시스템 감리에서 시스템 아키텍쳐 영역의 물리적, 관리적, 기술적 보안 항목을 감리하여 일반적인 항목만을 체크하고 있어서 실질적인 개인정보보호를 위한 감리는 제대로 이루어 지지 않고 있다. 이에 따라 본 논문에서는 개인정보 침해를 사전에 최소화하기 위해 개인정보영향을 평가하고 그에 따른 개인정보보호 감리 절차 및 방법을 제시하였다. 본 논문에서 제시한 방법을 프로젝트에 적용한 결과 개인정보 보호를 위한 개선사항이 도출되었음을 확인할 수 있었다.

• 디지털융복합연구
• /
• 제10권8호
• /
• pp.149-157
• /
• 2012

개인정보보호법이 새로 제정이 되어 기업 및 기관에서 이에 대한 준비와 대책 마련이 활발히 전개되고 있다. 개인정보를 취급하는 정보시스템에 대하여 개인정보 침해의 위협을 사전에 예방 및 점검을 수행하는 개인정보영향평가를 K병원의 분석 사례를 통해 연구하였다. 결론적으로 K병원의 개인정보 영향평가 분석을 수행한 결과 평가영역별로는 대상기관관리체계는 79.0, 대상시스템의 보호수준은 97.9, 개인정보처리단계의 결과는 67.4이고 CCTV는 90.0으로 나타났다. 개인정보보호수준이 가장 낮은 항목은 개인정보생명주기관리 항목의 저장 및 보유단계 50.0, 이용 및 제공 64.1 및 파기 단계 66.7로 나타났다. 위험도 분석결과 고위험도 항목은 개인정보처리구역 항목 11.0과 개인정보생명주기 영역의 저장 및 보유단계 항목이12.5, 파기단계 항목이 13.0으로 높은 수치가 나왔다. 종합적으로 보면 고위험도이면서 저보호수준인 항목은 저장 및 보유단계와 파기단계로 파악이 되었다.

• 융합보안논문지
• /
• 제15권4호
• /
• pp.57-63
• /
• 2015

세계적으로, IT 기술의 발전 및 급격한 정보화 사회로의 변화는 정보의 디지털화를 가속시켜 왔으며, 전자상거래 등의 활성화로 여러 유형의 민감 정보가 수집, 보관, 운용되는 경우가 급격히 증가하고 있다. 현재, 공공부문 및 금융뿐만이 아니라 민간부분에서도 다수의 개인정보들을 활용하고 있으며, 정보의 유출로 인한 사고도 나날이 증가하는 추세이다. 이러한 민감 정보에 대한 보안상의 문제점들의 검토와 방지를 위해, 보다 쉬운 평가관리체계 지원도구의 필요성이 제기되고 있다. 본 논문에서는 민간부문에서 효과적으로 적용 가능한, 기업을 위한 개인정보영향평가 관리 시스템인 E-PIAMS (Enterprise- Privacy Impact Assessment Management System)를 제안하고자 한다.

• 정보보호학회논문지
• /
• 제23권1호
• /
• pp.127-142
• /
• 2013

2011년 9월 개인정보보호법의 발효로 공공기관의 개인정보영향평가가 의무화됨에 따라 영향평가 전문인력의 수요가 증가할 것으로 예상된다. 하지만 국내에는 이에 특화된 전문자격이 존재하지 않아 현 시점에서는 불가피하게 유사자격 등의 기준으로 영향평가 전문인력을 인정하고 있는 상황이나, 향후 중장기적으로 볼 때 이는 영향평가 시장의 걸림돌로 작용할 것으로 예상된다. 이에 본 논문에서는 유사자격과 영향평가 자격체계와의 비교를 통해 개인정보영향평가 자격요건에 대한 유사자격의 충족 여부를 분석하여 유사자격 인정의 타당성 여부를 확인한다. 비교 결과 유사자격의 타당성이 낮다고 판단됨에 따라 새로운 전문자격 수립, 유사자격에 추가 시험 또는 교육 운영, 전문자격의 모듈화 운영 등의 자격기준 개선방안을 제시하였으며, 세 가지 개선방안은 개인정보영향평가 시장의 품질 향상에 기여할 것으로 기대한다.

• 정보관리연구
• /
• 제40권1호
• /
• pp.69-86
• /
• 2009

최근 정보통신 분야의 가장 큰 패러다임은 유비쿼터스 컴퓨팅(ubiquitous computing)이다. 이는 유비쿼터스 사회(ubiquitous society)를 실현하는 기반 기술로서 사회, 경제, 문화 등 모든 분야에 긍정적인 영향력을 미치게 될 것이나, 유비쿼터스 사회로의 진입은 개인 프라이버시를 침해할 수 있다는 우려의 목소리도 함께 나타나고 있다. 따라서 이를 보호하기 위한 법적, 기술적 규제 방안의 존재는 향후 RFID 기술 및 산업의 확산에 큰 장애요인이 될 것이며, 문제 해결을 위해 기술적인 방법으로만 접근한다면 기업 측면에서는 막대한 비용과 기술력을 투자해야만 할 것이다. 이에 본 연구에서는 한필구(2006)가 개발한 "RFID 활용단계별 개인정보보호 영향평가(안)"의 8개의 RFID 활용단계, 단계별 과정, 점검사항 그리고 85개의 평가항목들을 RFID 개인정보 영향평가를 측정할 수 있는 지표로 선정하여, 해당전문가를 대상으로 설문조사를 통한 객관적 자료를 활용해 RFID 개인정보 영향평가지수를 개발하고자 한다. 이는 RFID 관련 분야 기업에는 타당성과 신뢰성 있는 자료를 제공할 수 있을 것이며, RFID 개인정보에 관한 정책 수립에도 활용할 수 있을 것이다. 또한 RFID 활용에 있어서 개인정보에 대한 진단 도구로서 하나의 기준 및 유비쿼터스 사회의 기반 구축에 기여할 것으로 기대한다.

• 한국컴퓨터정보학회논문지
• /
• 제29권6호
• /
• pp.61-67
• /
• 2024

본 논문에서는 개인정보 영향평가의 법적 준거성을 확보하고 개인정보 영향평가 시 프라이버시 강화 방안을 제시함으로써 개인정보 유출 사고를 방지할 수 있는 강화 방안을 제시하였다. 최근 빅데이터를 기반으로 한 다양한 서비스들이 생성되면서 EU의 GDPR, 국내는 개인정보 보호법을 중심으로 개인정보보호를 위해 노력하고 있다. 이런 사회 속에서 기업들은 최신기술을 기반으로 한 개인의 맞춤형 서비스를 제공하기 위해 개인정보를 위탁 처리하게 되는데, 이때 수탁사를 통해 개인정보 유출 문제가 심각하게 발생하고 있다. 따라서 수탁사들의 개인정보 사용에 따른 법적 준거성을 확보하면서 체계적으로 개인정보를 관리 할 수 있는 방안에 대해 고찰한다.

• 한국산업정보학회논문지
• /
• 제17권6호
• /
• pp.73-82
• /
• 2012

이 논문은 개인정보를 취급하는 정보시스템에 대하여 개인정보 침해에 대한 위협을 사전에 예방 및 점검을 수행하는 개인정보영향평가를 C쇼핑몰의 분석 사례를 통해 연구하였다. 결론적으로 C쇼핑몰의 개인정보 영향평가 분석을 수행한 결과 평가영역별로는 대상기관관리체계는 29.2, 대상시스템의 보호수준은 68.8, 개인정보처리단계의 결과는 25.5이고 신기술은 60.0으로 나타났다. 개인정보보호수준이 가장 낮은 항목은 대상기관의 개인정보파일관리 16.7, 개인정보생명주기관리 항목의 저장 및 보유단계 12.5, 이용 및 제공 단계 11.5, 파기 단계 16.7로 나타났다. 위험도 분석결과 고위험도 항목은 개인정보생명주기 영역의 저장 및 보유단계 항목이13.3, 파기단계 항목이 13.0으로 높은 수치가 나왔다. 종합적으로 보면 고위험도이면서 저보호수준인 항목은 저장 및 보유단계와 파기단계로 파악이 되었다.

• 정보보호학회논문지
• /
• 제26권4호
• /
• pp.973-983
• /
• 2016

정보시스템에 수집 이용되는 개인정보에 대한 개인정보영향평가가 법적 근거에 의해 시행된 지 2016년으로 6년차가 된다. 이에 ITSM(Information Technology Service Management)의 3대 구성요소를 기준으로 운영상의 문제점을 분석하였다. 다양한 개인정보 처리시스템에 대한 평가자로써의 역할을 수행하면서 product에 해당하는 평가 보고서의 품질 향상 방안에 대해 주된 고민을 하였고, 평가 수행 시 적용하는 보고서의 형식적 타당성을 갖추기 위한 개선안을 평가 단계별 산출물 4종을 기준으로 제시하였다. 다음으로 people에 해당하는 평가수행자에게 요구되는 능력을 GRC(Governance, Risk, Compliance)로 인식하여 개선안을 제시하였고, process인 제도 운영에 관한 개선안도 부가하였다. 2011년 개인정보보호법 제정 시 명시한, 개인정보영향평가 완료 기한인 2016년 이후에도 실효성 있는 평가제도로 정착하기 위해서는 평가자 평가기관과 주관기관이 협력하여 평가제도를 완성해가야 할 것이다.