현대는 정보통신기술의 발달로 정보화 사회를 넘어 D.N.A(Data, Network, AI)를 중심으로 한 ‘4차 산업혁명의 시대’라 하고 있으며, 데이터를 수집, 정제, 저장, 시각화하는 ...
현대는 정보통신기술의 발달로 정보화 사회를 넘어 D.N.A(Data, Network, AI)를 중심으로 한 ‘4차 산업혁명의 시대’라 하고 있으며, 데이터를 수집, 정제, 저장, 시각화하는 빅데이터 기술의 활용이 문제해결을 위한 핵심으로 떠올라 정보의 가치는 점점 더 중요해지고 있다. 특히 개인에 관한 정보는 정보화 사회 이전부터도 소비자의 행동이나 소비심리의 분석 등 마케팅을 위해 다양하게 활용되어 오고 있었던 만큼 개인정보의 가치는 다른 무엇보다 중요하다고 할 수 있고, 오늘날의 기업 운영에서 인터넷을 이용한 웹서비스나 전자상거래는 거의 필수적이어서 대부분의 기업들이 소속 직원뿐 아니라 어느 정도는 고객의 개인정보를 취급하고 있다하여도 과언이 아닐 것이다. 하지만, 개인정보는 기업 내부에서의 고의 또는 과실에 의해 유출이 되거나 노출되기도 하고, 외부로부터의 악의적인 해커에 의한 해킹의 표적이 되어 침해사고가 발생하며, 최근에는 그 피해규모가 점점 커지고 있다. 이렇게 침해사고로 유출된 개인정보는 사회공학기법인 피싱(Phishing) 피싱(Phishing)이나 스미싱(Smishing)에 이용되어 2차적인 금융사고로 이어지고 있으며, 그 수법 또한 날로 지능화되고 고도화되어 가고 있다.
때문에 각국에서는 개인정보 보호를 위해 법령 등을 제정하여 지켜야할 사항을 강제하고 있으며, ISO(International Standard Organization)와 같은 국제 표준기구에서는 개인정보 침해사고의 예방을 위해 「정보보호 관리체계」(이하 ISMS)나 「개인정보 관리체계」(이하 PIMS) 등과 같은 최소한의 기준을 만들고, 그 기준에 따라 인증을 받도록 하는 제도를 운영해 오고 있다. 우리나라 역시 「정보보호 및 개인정보보호 관리체계」(이하 ISMS-P)와 「개인정보 영향평가」(이하 PIA)를 운영하고 있으며, 필요에 따라서는 국제표준인 ISO/IEC 27001과 ISO/IEC 27701을 자율적으로 취득하고 있다. 하지만, 국내 ISMS 인증의 의무대상은 침해사고 발생 시 파급이 큰 ISP나 IDC 외에는 일정규모 이상의 병원, 학교 및 정보통신서비스 제공자로 한정되어 있고, 개인정보보호를 포함하는 ISMS-P에 대한 인증은 인증신청자가 인증범위에 포함시킬 수도 있고 포함시키지 않을 수도 있다. 또, PIA의 인증의무는 ‘공공기관’만을 대상으로 하고 있기 때문에 개인정보보호가 법적 의무 사항임에도 불구하고 ISMS-P 인증대상이 아닌 중소기업에서는 개인정보 보호를 위한 감사가 제대로 이루어지고 있지 않는다고 봐야 할 것이다.
본 연구는 기존의 연구들이 「개인정보보호법」의 법제나 개인정보를 저장하고 있는 ‘정보시스템의 보호를 위한 기술적인 부분’, 또는 ‘개인정보나 정보보호와 관련된 인증기준의 개선방안’ 에 대한 연구인 것에 반해, 실제적으로 개인정보 보호를 위해 「개인정보보호법」을 잘 준수하고 실행하고 있는지에 대한 합법성 감사에 초점을 맞추고 있다. 즉, 정보보호나 개인정보보호 관련 인증을 받고 있지 않는 기업에서 개인정보에 대한 내부감사의 감사판단기준과 실무에서의 개인정보보호를 위한 점검기준을 제시하고자, ‘개인정보보호를 위한 국내인증인 ISMS-P와 PIA에 적용되는 「개인정보보호법」조항이 무엇인지’와 ‘개인정보보호 감사중점과 감사판단기준으로 사용할 수 있는 개인정보보호 인증기준은 무엇인지’, 그리고 ‘인증기준만으로 감사준거가 되는 「개인정보보호법」조항에 누락되는 것은 없는지’에 대한 질문을 토대로, 전반적인 「개인정보보호법」과 관련 법령, 지침 및 가이드를 분석하여 「개인정보보호법」을 중심으로 한 감사중점과 감사판단기준을 제공함으로써, 인증대상 이외 기업에게 개인정보보호를 위한 자체 점검기준이나 감사의 판단기준으로 활용할 수 있도록 하여 법·규정의 준수와 더불어 개인정보보호에 대한 인식제고와 사고예방에 기여하고자 하였다. 또한, 「개인정보보호법」의 전반적인 연구를 통해 향후, 감사나 실무적 관점에서 개인정보의 보호를 위한 관련 연구가 정보시스템이나 법 제29조(안전조치의무)의 기술적 보호를 넘어 정보주체나 관리적인 부분, 법 개정에 의해 새로이 포함된 가명처리 및 메타버스와 같은 새로운 영역까지 폭넓은 연구가 이루어질 수 있는 기반을 마련하고자 하였다.
본 연구에서는 ISMS-P 인증기준 102개와 PIA 인증기준 85개를 참조하여 「개인정보보호법」을 중심으로 합법성을 판단할 수 있도록 특성에 따라 5개 분야로 구분하여 19개의 감사중점과 141개의 감사판단기준을 제시하였다. 이는 기존의 연구들이 개인정보의 감사보다는 정보시스템을 위주로 한 기술적인 점검이나 인증기준을 이용한 정보보호 방안 등에 집중되고 있었던 것에 반해, 처음으로 「개인정보보호법」 전반에 걸쳐 관리적·기술적·물리적 보호를 위한 감사중점과 합법성 감사를 위한 감사판단기준을 일반화하여 제시하였다는 점에서 의의가 있다고 할 수 있다. 또한, 본 연구 결과는 인증 대상 기업뿐 아니라 인증을 의무적으로 받지 않아도 되는 기업을 대상으로 ‘개인정보 감사 가이드’ 또는 ‘개인정보보호 점검 가이드’로써 유용하게 활용이 가능하여 정책적이고 실무적인 의의가 있다고 하겠다.
본 연구의 한계로는 「개인정보보호법」은 일반법으로 일반법에 우선하는 관련 특별법까지는 검토를 하지 못하였다. 예를 들면, 법 ‘제24조의2(주민등록번호의 처리의 제한)’ 제1항제1호에서는 “법률이나 대통령령 등에 의해 구체적으로 주민등록번호의 처리를 허용하는 경우”인 「소득세법」, 「금융실명거래법」, 「전자금융거래법」등 다수의 특별법에서 ‘주민등록번호’의 수집을 법률로써 허용하고 있다. 또 ‘제21조(개인정보의 파기)제1항’처럼 “다른 법령에 따라 보존하여야 하는 경우”에도 파기를 아니하고 분리 보관할 수 있도록 하고 있는 바, 「의료법」, 「통신비밀보호법」, 「전자상거래등에서의 소비자보호에 관한 법률」 등 관련 법령에 대한 검토가 이루어질 필요가 있다.
또한, 연구의 범위를 현행 법규만으로 한정하였기 때문에 최근의 정보 위협에 따른 내용들이나 ISMS-P와 PIA 인증기준에서의 50개의 권고조항은 반영하고 있지 못하고 있으며, 현행법상에서의 잠재적이거나 새로운 문제들, 예를 들면, 가이드로 안내하고 있고 법에 대한 규정이 없는 ‘바이오정보’나 ‘RFID’, ‘챕봇 이루다 사건’처럼 새로이 떠오르는 AI(인공지능)나 IOT(사물인터넷) 및 블록체인, 그리고 메타버스와 같은 가상현실에서 발생하는 개인정보에 대한 내용들은 향후 연구가 필요한 과제일 것이다.
현대는 정보통신기술의 발달로 정보화 사회를 넘어 D.N.A(Data, Network, AI)를 중심으로 한 ‘4차 산업혁명의 시대’라 하고 있으며, 데이터를 수집, 정제, 저장, 시각화하는 빅데이터 기술의 활용이 문제해결을 위한 핵심으로 떠올라 정보의 가치는 점점 더 중요해지고 있다. 특히 개인에 관한 정보는 정보화 사회 이전부터도 소비자의 행동이나 소비심리의 분석 등 마케팅을 위해 다양하게 활용되어 오고 있었던 만큼 개인정보의 가치는 다른 무엇보다 중요하다고 할 수 있고, 오늘날의 기업 운영에서 인터넷을 이용한 웹서비스나 전자상거래는 거의 필수적이어서 대부분의 기업들이 소속 직원뿐 아니라 어느 정도는 고객의 개인정보를 취급하고 있다하여도 과언이 아닐 것이다. 하지만, 개인정보는 기업 내부에서의 고의 또는 과실에 의해 유출이 되거나 노출되기도 하고, 외부로부터의 악의적인 해커에 의한 해킹의 표적이 되어 침해사고가 발생하며, 최근에는 그 피해규모가 점점 커지고 있다. 이렇게 침해사고로 유출된 개인정보는 사회공학기법인 피싱(Phishing) 피싱(Phishing)이나 스미싱(Smishing)에 이용되어 2차적인 금융사고로 이어지고 있으며, 그 수법 또한 날로 지능화되고 고도화되어 가고 있다.
때문에 각국에서는 개인정보 보호를 위해 법령 등을 제정하여 지켜야할 사항을 강제하고 있으며, ISO(International Standard Organization)와 같은 국제 표준기구에서는 개인정보 침해사고의 예방을 위해 「정보보호 관리체계」(이하 ISMS)나 「개인정보 관리체계」(이하 PIMS) 등과 같은 최소한의 기준을 만들고, 그 기준에 따라 인증을 받도록 하는 제도를 운영해 오고 있다. 우리나라 역시 「정보보호 및 개인정보보호 관리체계」(이하 ISMS-P)와 「개인정보 영향평가」(이하 PIA)를 운영하고 있으며, 필요에 따라서는 국제표준인 ISO/IEC 27001과 ISO/IEC 27701을 자율적으로 취득하고 있다. 하지만, 국내 ISMS 인증의 의무대상은 침해사고 발생 시 파급이 큰 ISP나 IDC 외에는 일정규모 이상의 병원, 학교 및 정보통신서비스 제공자로 한정되어 있고, 개인정보보호를 포함하는 ISMS-P에 대한 인증은 인증신청자가 인증범위에 포함시킬 수도 있고 포함시키지 않을 수도 있다. 또, PIA의 인증의무는 ‘공공기관’만을 대상으로 하고 있기 때문에 개인정보보호가 법적 의무 사항임에도 불구하고 ISMS-P 인증대상이 아닌 중소기업에서는 개인정보 보호를 위한 감사가 제대로 이루어지고 있지 않는다고 봐야 할 것이다.
본 연구는 기존의 연구들이 「개인정보보호법」의 법제나 개인정보를 저장하고 있는 ‘정보시스템의 보호를 위한 기술적인 부분’, 또는 ‘개인정보나 정보보호와 관련된 인증기준의 개선방안’ 에 대한 연구인 것에 반해, 실제적으로 개인정보 보호를 위해 「개인정보보호법」을 잘 준수하고 실행하고 있는지에 대한 합법성 감사에 초점을 맞추고 있다. 즉, 정보보호나 개인정보보호 관련 인증을 받고 있지 않는 기업에서 개인정보에 대한 내부감사의 감사판단기준과 실무에서의 개인정보보호를 위한 점검기준을 제시하고자, ‘개인정보보호를 위한 국내인증인 ISMS-P와 PIA에 적용되는 「개인정보보호법」조항이 무엇인지’와 ‘개인정보보호 감사중점과 감사판단기준으로 사용할 수 있는 개인정보보호 인증기준은 무엇인지’, 그리고 ‘인증기준만으로 감사준거가 되는 「개인정보보호법」조항에 누락되는 것은 없는지’에 대한 질문을 토대로, 전반적인 「개인정보보호법」과 관련 법령, 지침 및 가이드를 분석하여 「개인정보보호법」을 중심으로 한 감사중점과 감사판단기준을 제공함으로써, 인증대상 이외 기업에게 개인정보보호를 위한 자체 점검기준이나 감사의 판단기준으로 활용할 수 있도록 하여 법·규정의 준수와 더불어 개인정보보호에 대한 인식제고와 사고예방에 기여하고자 하였다. 또한, 「개인정보보호법」의 전반적인 연구를 통해 향후, 감사나 실무적 관점에서 개인정보의 보호를 위한 관련 연구가 정보시스템이나 법 제29조(안전조치의무)의 기술적 보호를 넘어 정보주체나 관리적인 부분, 법 개정에 의해 새로이 포함된 가명처리 및 메타버스와 같은 새로운 영역까지 폭넓은 연구가 이루어질 수 있는 기반을 마련하고자 하였다.
본 연구에서는 ISMS-P 인증기준 102개와 PIA 인증기준 85개를 참조하여 「개인정보보호법」을 중심으로 합법성을 판단할 수 있도록 특성에 따라 5개 분야로 구분하여 19개의 감사중점과 141개의 감사판단기준을 제시하였다. 이는 기존의 연구들이 개인정보의 감사보다는 정보시스템을 위주로 한 기술적인 점검이나 인증기준을 이용한 정보보호 방안 등에 집중되고 있었던 것에 반해, 처음으로 「개인정보보호법」 전반에 걸쳐 관리적·기술적·물리적 보호를 위한 감사중점과 합법성 감사를 위한 감사판단기준을 일반화하여 제시하였다는 점에서 의의가 있다고 할 수 있다. 또한, 본 연구 결과는 인증 대상 기업뿐 아니라 인증을 의무적으로 받지 않아도 되는 기업을 대상으로 ‘개인정보 감사 가이드’ 또는 ‘개인정보보호 점검 가이드’로써 유용하게 활용이 가능하여 정책적이고 실무적인 의의가 있다고 하겠다.
본 연구의 한계로는 「개인정보보호법」은 일반법으로 일반법에 우선하는 관련 특별법까지는 검토를 하지 못하였다. 예를 들면, 법 ‘제24조의2(주민등록번호의 처리의 제한)’ 제1항제1호에서는 “법률이나 대통령령 등에 의해 구체적으로 주민등록번호의 처리를 허용하는 경우”인 「소득세법」, 「금융실명거래법」, 「전자금융거래법」등 다수의 특별법에서 ‘주민등록번호’의 수집을 법률로써 허용하고 있다. 또 ‘제21조(개인정보의 파기)제1항’처럼 “다른 법령에 따라 보존하여야 하는 경우”에도 파기를 아니하고 분리 보관할 수 있도록 하고 있는 바, 「의료법」, 「통신비밀보호법」, 「전자상거래등에서의 소비자보호에 관한 법률」 등 관련 법령에 대한 검토가 이루어질 필요가 있다.
또한, 연구의 범위를 현행 법규만으로 한정하였기 때문에 최근의 정보 위협에 따른 내용들이나 ISMS-P와 PIA 인증기준에서의 50개의 권고조항은 반영하고 있지 못하고 있으며, 현행법상에서의 잠재적이거나 새로운 문제들, 예를 들면, 가이드로 안내하고 있고 법에 대한 규정이 없는 ‘바이오정보’나 ‘RFID’, ‘챕봇 이루다 사건’처럼 새로이 떠오르는 AI(인공지능)나 IOT(사물인터넷) 및 블록체인, 그리고 메타버스와 같은 가상현실에서 발생하는 개인정보에 대한 내용들은 향후 연구가 필요한 과제일 것이다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.