출처 : http://www.boannews.com/media/view.asp?idx=58074&page=1&kind=1
IoT, AI, 빅데이터, 클라우드, 블록체인, 자율자동차 등 전 세계는 계속적으로 새로운 트랜드를 만들어 내며 제4차 산업혁명 시대를 이끌어 가고 있다. 이 모든 흐름의 중심은 Human, 사람 중심의 변화를 사람들이 주도해 가고 있다는 것이다.
따라서 그 중심에는 개인정보 보호라는 중요한 명제가 내포되어 있고 4차 산업혁명의 핵심인 인간의 편리성 증대를 위해 개인정보 보호의 중요성은 계속 증가된다고 볼 수 있다. 따라서 우리는 개인정보보호의 중요성을 늘 인식하고 준비하며 관리해야 한다.
[이미지=정환석 이학박사]
국내에서는 2011년 개인정보보호법을 제정·시행해오고 있으며, 시대적 흐름과 요구사항의 증가에 따라 계속적으로 보완·개정되고 있다. 민간기업이나 공공기관(이하 위탁자)은 디지털 경영화를 위해 개인정보처리 시스템 등 장비를 증축하고, ERP 등 어플리케이션을 도입해 적용하고 있다. 또한, 이들의 유지보수를 위해 전문업체에게 위탁하고 있다.
하지만, 입찰 참가조건 등 수탁자 선정 조건에 개인정보보호를 위한 관리체계가 구축돼 있는 업체인지 확인하는 위탁자는 많지 않다. 이는 수탁자는 위탁 받은 고유 업무만 충실히 수행할 수 있는 전문성만 있으면 된다는 인식 때문이라고 생각한다.
이러한 생각들은 2014년 카드3사의 개인정보 처리 수탁자에 의한 개인정보 유출사건에서 보듯이 수탁자 스스로 이런 사고를 대비할 수 있는 관리체계가 구축·시행되고 있거나, 위탁업무 특성에 맞는 관리지표에 의해 계속적으로 관리감독 및 교육됐다면 개인정보 유출사건은 사전에 예방되었으리라 생각한다. 이에 개인정보 처리 위탁 시 위탁자가 취해야 될 2가지 중요한 사항에 대해 제시하고자 한다.
1. 개인정보 처리 수탁자 선정 시 개인정보보호 관리체계 수립 및 시행여부를 꼭 확인하자
위탁자가 개인정보 처리 업무를 위탁하는 경우 전문업체를 선정하게 된다. 이때 수탁자 선정기준에 ‘개인정보보호 관리체계 수립 및 시행여부’ 사항을 추가해야 한다. 물론 이러한 관리체계 시행여부 확인을 위하여는 단순히 ‘예, 아니오’로 판단하는 것이 아니라 관련 법령에서 요구하는 관리지표를 생성하고 이를 확인해야 한다는 의미다. 필요하다면 관련 증빙자료를 첨부하는 것이 판단을 위해 도움이 될 것이라 본다.
예를 들어 보자. 내부관리계획 수립, 개인정보책임자 지정, 개인정보처리방침의 수립 및 공개, 취급자 대상 정기적인 교육, 개인정보 유출사고 발생 시 대응절차 수립 및 대응훈련 등 개인정보관리체계가 수립되고 정기적인 점검 및 교육을 통하여 잘 훈련되어 있는 업체인지 확인한다면 위탁자의 개인정보를 효과적으로 처리할 수 있으리라 본다. 따라서, 개인정보관리체계가 잘 정립되어 있는 수탁자를 선정하는 것이 위탁자에게는 상당히 중요하다.
[이미지=정환석 이학박사]
2. 개인정보 처리 업무 특성에 따른 수탁자 점검 지표를 개발하고 관리감독 및 교육하자
선정된 개인정보 처리 수탁자에 대해 정기적인 관리감독 및 교육을 실시함으로써 수탁자의 법 위반사항을 최소화할 수 있다. 이때 일반적으로 법령에 있거나 공공기관의 우수사례로 공개되는 지표를 이용하는 경우가 많다.
문제는 수탁자 관리점검 지표가 획일적이고 단순해 수탁자 업무 특성을 고려하지 못하고 있다는 점이다. 서버나 네트워크 유지보수 업체에게 개인정보 수집 여부를 확인할 필요가 있을까? 개인정보 수집이 허용되는 수탁자에게 수집양식의 적절성은 왜 확인하지 않을까? 수탁기간이 끝났을 때 기존 제공되거나 수집된 개인정보 파기 여부는 확인하고 있는가? 네트워크 유지보수자는 접근권한 또는 업무 범위를 초과해 과업 수행을 하고 있지는 않았는가? 등등 해당 수탁업무의 특성과 법률 내용을 잘 융합해 점검지표를 만들고, 감독과 교육을 한다면 수탁자에 의한 개인정보 유·누출 사고 발생빈도는 확연히 낮아질 수 있다.
따라서 개인정보 처리 위탁 업무별 중점 점검사항 및 법 준수사항 등을 라이브러리 형태로 구성한 후, 위탁 시 업무특성에 따른 점검지표를 도출하여 관리 감독한다면, 수탁자에 의한 개인정보 유출은 최소화되리라 판단된다.
'old > 관리적 보안' 카테고리의 다른 글
| [기사] 의료기기 보안 가이드라인, 드러난 윤곽 짚어보기 (0) | 2017.12.04 |
|---|---|
| [기사] 정보보호제품 성능평가제도 (0) | 2017.11.26 |
| [기사] 보안 내재화의 핵심은 시스템을 간결하게 하는 것 (0) | 2017.11.06 |
| [기사] 비식별 조치 가이드라인 개선사항 (0) | 2017.11.04 |
| [기사] GDPR이 요구하는 DPO를 어떻게 확보할 것인가? (0) | 2017.10.17 |
