오늘날은 모든 정보가 디지털화 되어 유통되는 정보화 시대이다. 따라서 개인정보의 흐름과 이용도 활발해지고 있다. 전 세계적으로 정보통신기술을 적용한 정보이용이 보편화되면서, 지역적 범위를 넘어 개인정보의 수집 및 이용이 증가하게 되었다. 따라서 해외로부터 개인정보가 수집되어서, 악의적인 노출이나 유출이 발생하고 있다. 특히 전자정부(e-Government)가 구현된다면 주민들은 각종 민원행정업무를 인터넷에서 신청 하고 그 처리과정을 알아보면서 그 결과물도 인터넷 통해 받아볼 수 있기 때문에 전자정부를 가능하게 했던 다양한 행정정보의 활용이 개인정보 ...
오늘날은 모든 정보가 디지털화 되어 유통되는 정보화 시대이다. 따라서 개인정보의 흐름과 이용도 활발해지고 있다. 전 세계적으로 정보통신기술을 적용한 정보이용이 보편화되면서, 지역적 범위를 넘어 개인정보의 수집 및 이용이 증가하게 되었다. 따라서 해외로부터 개인정보가 수집되어서, 악의적인 노출이나 유출이 발생하고 있다. 특히 전자정부(e-Government)가 구현된다면 주민들은 각종 민원행정업무를 인터넷에서 신청 하고 그 처리과정을 알아보면서 그 결과물도 인터넷 통해 받아볼 수 있기 때문에 전자정부를 가능하게 했던 다양한 행정정보의 활용이 개인정보 침해 사고로 이어지는 경우가 발생되고 있다. 그래서 개인정보와 프라이버시에 대한 침해가 그 어느 시대보다 높은 우려감을 나타내게 되었다.
이러한 이유로 고객의 개인정보를 보호하기 위한 국내 개인정보 유관법률과 OECD 등의 국제적 개인정보보호 원칙 준수에 있어 개인정보보호 관리체계를 통하여 조직차원의 개인정보보호활동의 효과성 및 효율성을 높여야 할 필요가 있다. 그러나 영국 BS 10012를 비롯한 개인정보보호체계는 OECD 가이드라인을 전면 수용하지만 세분적인 각각의 통제항목들이 어떤 OECD 원칙에 준수해야하는지에 대해서는 설명하지 못하고 있다. 이러한 이유로 OECD 원칙에 따라 PIMS 통제항목 분류의 필요성이 존재하다. 또한 한국 PIMS의 통제항목의 완전성 검토하기 위하여 한국 PIMS에서 빠진 통제항목 역시 추가해야할 필요가 있다. 게다가, 최근 중소기업들은 PIMS의 통제항목이 너무 많아서 실무 수행 시 문제점이 있다는 의견을 토대로 중소기업에 적용되지 않는 통제항목 삭제에 대한 연구 역시 요구되고 있다.
본 연구는 OECD 원칙에 입각한 개인정보보호 통제체계 비교분석으로서 한국 PIMS(KISA) 및 영국 PIMS(BS 10012)의 통제항목을 OECD 원칙에 따라 분류하였다. 분류된 한국 및 영국 PIMS 통제항목의 내용 비교분석을 통하여 유사한 통제항목들을 식별하고, 한국 PIMS의 추가 및 삭제 가능한 후보항목으로 작성하였다. 마지막으로 전문가 대상으로 설문을 통해 OECD원칙에 중요성과 실행용이성 2가지 측면에서 도출된 한국 PIMS 추가 및 삭제 가능한 후보 통제항목의 타당성을 검증하였다. 설문 결과 보며, 한국 PIMS의 추가 가능한 통제항목은 "데이터 매칭" 등 5개 결정하였다. 한국 PIMS의 삭제 가능한 통제항목은 "운영체제 변경시의 검토"와 "케이블 보호" 2개 결정하고 "원격작업" 등 4개 통제항목들이 OECD 원칙에 중요성은 어느 정도 높은 반면, 실행용이성이 낮에 측정되어서 기업의 상황에 따라 삭제 할 수 있다고 결정하였다.
그러나 본 논문은 정성적 분석방법에 의존하여 한국 및 영국 PIMS의 통제항목을 OECD 원칙에 따라 분류하고, 유사한 통제항목들을 식별하였다. 따라서 도출된 한국 PIMS의 추가 및 삭제 가능한 후보항목의 객관성과 정확성 확보가 어렵다는 것이다. 즉, 연구소, 정보보호 분야의 정문가의 의견을 수렴하는데 실질적으로 개인정보보호 실무의 의견을 반영하지 못하였다. 끝으로 본 논문에서 제시한 한국 PIMS의 추가 및 삭제 가능한 통제항목을 실무에 적용하기 위해서는 BS 10012와 KISA PIMS의 표준화 및 KISA PIMS에서 중복 통제항목의 선별과 필수, 선택 기준에 대한 연구가 추가적으로 이루어져야 할 것이다.
오늘날은 모든 정보가 디지털화 되어 유통되는 정보화 시대이다. 따라서 개인정보의 흐름과 이용도 활발해지고 있다. 전 세계적으로 정보통신기술을 적용한 정보이용이 보편화되면서, 지역적 범위를 넘어 개인정보의 수집 및 이용이 증가하게 되었다. 따라서 해외로부터 개인정보가 수집되어서, 악의적인 노출이나 유출이 발생하고 있다. 특히 전자정부(e-Government)가 구현된다면 주민들은 각종 민원행정업무를 인터넷에서 신청 하고 그 처리과정을 알아보면서 그 결과물도 인터넷 통해 받아볼 수 있기 때문에 전자정부를 가능하게 했던 다양한 행정정보의 활용이 개인정보 침해 사고로 이어지는 경우가 발생되고 있다. 그래서 개인정보와 프라이버시에 대한 침해가 그 어느 시대보다 높은 우려감을 나타내게 되었다.
이러한 이유로 고객의 개인정보를 보호하기 위한 국내 개인정보 유관법률과 OECD 등의 국제적 개인정보보호 원칙 준수에 있어 개인정보보호 관리체계를 통하여 조직차원의 개인정보보호활동의 효과성 및 효율성을 높여야 할 필요가 있다. 그러나 영국 BS 10012를 비롯한 개인정보보호체계는 OECD 가이드라인을 전면 수용하지만 세분적인 각각의 통제항목들이 어떤 OECD 원칙에 준수해야하는지에 대해서는 설명하지 못하고 있다. 이러한 이유로 OECD 원칙에 따라 PIMS 통제항목 분류의 필요성이 존재하다. 또한 한국 PIMS의 통제항목의 완전성 검토하기 위하여 한국 PIMS에서 빠진 통제항목 역시 추가해야할 필요가 있다. 게다가, 최근 중소기업들은 PIMS의 통제항목이 너무 많아서 실무 수행 시 문제점이 있다는 의견을 토대로 중소기업에 적용되지 않는 통제항목 삭제에 대한 연구 역시 요구되고 있다.
본 연구는 OECD 원칙에 입각한 개인정보보호 통제체계 비교분석으로서 한국 PIMS(KISA) 및 영국 PIMS(BS 10012)의 통제항목을 OECD 원칙에 따라 분류하였다. 분류된 한국 및 영국 PIMS 통제항목의 내용 비교분석을 통하여 유사한 통제항목들을 식별하고, 한국 PIMS의 추가 및 삭제 가능한 후보항목으로 작성하였다. 마지막으로 전문가 대상으로 설문을 통해 OECD원칙에 중요성과 실행용이성 2가지 측면에서 도출된 한국 PIMS 추가 및 삭제 가능한 후보 통제항목의 타당성을 검증하였다. 설문 결과 보며, 한국 PIMS의 추가 가능한 통제항목은 "데이터 매칭" 등 5개 결정하였다. 한국 PIMS의 삭제 가능한 통제항목은 "운영체제 변경시의 검토"와 "케이블 보호" 2개 결정하고 "원격작업" 등 4개 통제항목들이 OECD 원칙에 중요성은 어느 정도 높은 반면, 실행용이성이 낮에 측정되어서 기업의 상황에 따라 삭제 할 수 있다고 결정하였다.
그러나 본 논문은 정성적 분석방법에 의존하여 한국 및 영국 PIMS의 통제항목을 OECD 원칙에 따라 분류하고, 유사한 통제항목들을 식별하였다. 따라서 도출된 한국 PIMS의 추가 및 삭제 가능한 후보항목의 객관성과 정확성 확보가 어렵다는 것이다. 즉, 연구소, 정보보호 분야의 정문가의 의견을 수렴하는데 실질적으로 개인정보보호 실무의 의견을 반영하지 못하였다. 끝으로 본 논문에서 제시한 한국 PIMS의 추가 및 삭제 가능한 통제항목을 실무에 적용하기 위해서는 BS 10012와 KISA PIMS의 표준화 및 KISA PIMS에서 중복 통제항목의 선별과 필수, 선택 기준에 대한 연구가 추가적으로 이루어져야 할 것이다.
Nowadays, protecting personal information has become an important issue for privacy. Especially misuse and abuse of personal information can be a serious problem because most of personal information is handled on-line. Therefore, companies handled in personal information are required to implement co...
Nowadays, protecting personal information has become an important issue for privacy. Especially misuse and abuse of personal information can be a serious problem because most of personal information is handled on-line. Therefore, companies handled in personal information are required to implement controls for protecting personal information. There are two kinds of PIMS controls, which are British PIMS (BS 10012) and KISA-PIMS. However, newly developed KISA-PIMS controls are regarded to be too strict and too many to implement. Thus it is necessary to investigate controls of KISA-PIMS whether they are fit into OECD principles, which guide all the activities of privacy protection.
The objective of this paper is to compare the two PIMS controls (British PIMS Based on BS 10012 & KISA-PIMS) based on OECD principles. In this study, candidate controls are identified as controls that can be added or deleted. To validate the derived controls, the Delphi method was conducted to identify the materiality and feasibility of each control.
Candidate controls to be added in KISA-PIMS are as follows: 1) Provision of resources, 2) Document the high-risk categories of personal information, 3) Data matching, 4) Adequacy of personal information for organization's purposes, 5) Preventive actions.
Candidate controls to be deleted in KISA-PIMS are as follows: 1) Examination when OS changes, 2) Cable Protection, 3) Remote-work, 4) Management of internet access, 5) Communication system, 6) Grading personal information and personal information assets, 7) Time synchronism, 8) Physical protective area, 9) Prevention of personal information misuse/abuse and periodic examination, 10) Register of personal information transaction.
Nowadays, protecting personal information has become an important issue for privacy. Especially misuse and abuse of personal information can be a serious problem because most of personal information is handled on-line. Therefore, companies handled in personal information are required to implement controls for protecting personal information. There are two kinds of PIMS controls, which are British PIMS (BS 10012) and KISA-PIMS. However, newly developed KISA-PIMS controls are regarded to be too strict and too many to implement. Thus it is necessary to investigate controls of KISA-PIMS whether they are fit into OECD principles, which guide all the activities of privacy protection.
The objective of this paper is to compare the two PIMS controls (British PIMS Based on BS 10012 & KISA-PIMS) based on OECD principles. In this study, candidate controls are identified as controls that can be added or deleted. To validate the derived controls, the Delphi method was conducted to identify the materiality and feasibility of each control.
Candidate controls to be added in KISA-PIMS are as follows: 1) Provision of resources, 2) Document the high-risk categories of personal information, 3) Data matching, 4) Adequacy of personal information for organization's purposes, 5) Preventive actions.
Candidate controls to be deleted in KISA-PIMS are as follows: 1) Examination when OS changes, 2) Cable Protection, 3) Remote-work, 4) Management of internet access, 5) Communication system, 6) Grading personal information and personal information assets, 7) Time synchronism, 8) Physical protective area, 9) Prevention of personal information misuse/abuse and periodic examination, 10) Register of personal information transaction.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.