[논문]구문분석을 통한 PIMS와 PIPL의 중복성 평가

김소라; 김태성

doi:10.13089/jkiisc.2016.26.3.745

구문분석을 통한 PIMS와 PIPL의 중복성 평가
Redundancy assessment of PIMS and PIPL by parsing 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.26 no.3, 2016년, pp.745 - 756

초록
AI-Helper

개인정보 침해사고가 잇따르고 그 피해규모가 심각함에 따라 정부에서는 개인정보의 보호를 위하여 다수의 개인정보보호 관련 인증제도를 도입하였다. 그중에서도 PIMS와 PIPL은 서로 유사한 점이 많아 중복규제라는 문제점이 제기되어 왔다. 본 연구에서는 그동안 논란이 되어 온 PIMS와 PIPL 간의 중복성을 규명하기 위하여 두 인증제도 심사기준의 중복성을 구문분석을 통해 평가한다.

Abstract ▼ AI-Helper

As infringement accidents of personal information have often occurred and estimates of damages are too large, the government introduces many certifications related with personal information management system for protecting personal information. Among them, PIMS and PIPL share many points in common, so many complaints about duplicate regulation have been suggested. This study evaluates the duplication of two certifications in order to examine redundancy between PIMS and PIPL both of which have been controversial.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

그러나 PIMS와 PIPL 두 인증제도가 어떻게 얼마만큼 중복이 되는지 실증적이고 구체적으로 그 중복성을 평가한 연구는 찾아보기 힘들다. 따라서 본 연구에서는 PIMS와 PIPL 두 인증제도간의 중복성을 평가하고 두 인증제도간의 중복성을 규명하고자 한다.
별개의 인증제도라는 이유로 동일한 대상에 대하여 유사한 심사기준에 의한 인증심사를 거듭하는 것은 인증제도의 효율성 및 제도의 활성화를 저해하는 요인이 될 수 있다. 따라서 본 연구에서는 PIMS와 PIPL의 심사기준에 대하여 중복성 평가를 실시한다.
본 연구에서는 중복성과 중복규제의 원인과 문제점을 고찰하고, 개인정보보호 관리체계 인증제도간의 중복성을 평가하기 위한 방법론을 제시하였으며, 이를 바탕으로 중복성 평가를 수행하였다. 그 결과, 두 인증제도 간에는 상당한 수준의 중복성이 있음이 규명되었다.

가설 설정

영어로는 overlap(겹침), duplication(이중), repetition(반복), redundancy(중복) 등으로 표기될 수 있다. 중복성은 사전적으로 정의되지 않았으나 ‘유사’의 사전적 의미는 ‘서로 비슷함’이며, ‘유사성’은 ‘서로 비슷한 성질’이라고 정의되는 것으로 보아 중복성이란 거듭하거나 겹치는 성질이라고 이해할 수 있을 것이다.

제안 방법

PIMS의 심사 기준은 KISA-ISMS, ISO/IEC 27001, BS10012 등 국내외의 표준과 「정보통신망법」에 명시된 개인정보보호조치를 고려하여 국내 환경에 적합하도록 보완하여 개발되었다. 인증심사 기준은 개인정보 관리과정, 보호대책, 생명주기 3개 분야의 124개 통제항목, 310개의 세부점검 사항으로 구성되어 있다.
즉, 구문분석은 문장을 분석하여 객관화함으로써 문장의 각 요소를 비교분석할 수 있는 방법을 제공해준다. 구문분석을 통해 통제항목(심사항목)의 상세내용을 구성하는 요소를 이행대상과 이행행위로 나누고 각각에 대하여 중복성 평가를 한 후, 두 요소의 평가를 종합하여 최종 평가를 하게 된다.
이를 위해 통제항목과 심사항목의 상세내용을 이행대상과 이행행위의 두 요소로 구분하고 구문분석을 실시하여 서로 비교하되, 기계적인 분석이 아닌 각 요소의 의미를 파악하여 완전하게 일치하는 경우에는 ‘완전중복’, 일부 유사 또는 겹치는 부분이 있거나 부분으로 포함되는 경우에는 ‘부분중복’, 의미가 전혀 다르거나 겹치는 부분이 없는 경우에는 ‘비중복’으로 판단한다. 그리고 이행대상과 이행행위 각각의 중복성을 판단하고 이를 종합하여 해당 통제항목과 심사항목 상세내용의 중복성에 대한 최종 평가를 수행한다. 이와 같은 중복성 평가 기준에 의해 동일한 이행대상에 대하여 동일한 이행행위를 요구하는 경우에는 중복성이 있다고 평가하게 된다.
본 연구에서는 중복성 평가를 위해 구문분석을 실시한다. 구문분석은 통사적인 성격을 가지는 품사 범주나 형태 범주가 이루는 통사적 구조와 유형을 체계화하여 실제 문장의 구조를 분석해 내는 과정으로 정의될 수 있다[23].
PIMS와 PIPL의 중복 비율이 차이를 보이는 이유에 대하여는 PIMS의 통제항목이 이행대상에 대해 보다 더 세세하게 정의하고 있기 때문인 것으로 생각된다. 본 연구에서는 통제항목(심사항목)의 상세 설명에 대하여 이행대상과 이행행위의 요소로 나누어 중복성을 평가하였다. 이때, 동일한 이행행위라 할지라도 이행대상이 다르면 그 항목은 중복되지 않는다고 본다.
본격적으로 PIMS와 PIPL 간의 중복성을 평가하기 전에 두 인증제도의 구조적 비교를 실시하였다. PIMS와 PIPL은 모두 PDCA 사이클을 토대로 구성되었다.
선행된 PIMS의 통제항목과 PIPL의 심사항목 간에 대응된 결과를 바탕으로 상세내용의 구성요소에 대하여 중복성을 평가한다. 이를 위해 통제항목과 심사항목의 상세내용을 이행대상과 이행행위의 두 요소로 구분하고 구문분석을 실시하여 서로 비교하되, 기계적인 분석이 아닌 각 요소의 의미를 파악하여 완전하게 일치하는 경우에는 ‘완전중복’, 일부 유사 또는 겹치는 부분이 있거나 부분으로 포함되는 경우에는 ‘부분중복’, 의미가 전혀 다르거나 겹치는 부분이 없는 경우에는 ‘비중복’으로 판단한다.

대상 데이터

PIMS의 124개 통제항목에 대하여 PIPL의 공공기관 기준에 해당하는 65개 심사항목 전체를 비교하여 대응시킨다. 표의 왼쪽에는 PIMS의 심사기준을 두고 이를 기준으로 하여 표의 오른쪽에 PIPL의 심사기준이 대응되도록 하였으며, 표 4의 예시와 같다.

데이터처리

그러나 ‘보관’과 ‘저장’은 표기는 다르지만 의미는 유사하기 때문에 이행행위는 부분적으로만 겹치는 것으로 판단하여 ‘부분중복’ 평가를 하였다. 마지막으로 이행대상과 이행행위의 중복성 평가 결과는 각각 ‘완전중복’과 ‘부분중복’으로, 동일한 대상에 대하여 부분적으로만 겹치는 행위를 요구하기 때문에 최종적으로 ‘부분중복’ 평가를 하였다.

성능/효과

본격적으로 PIMS와 PIPL 간의 중복성을 평가하기 전에 두 인증제도의 구조적 비교를 실시하였다. PIMS와 PIPL은 모두 PDCA 사이클을 토대로 구성되었다. PIMS는 개인정보 관리과정, 보호대책, 생명주기의 3개 영역으로 구성되어 있고 PIPL은 개인정보보호 관리체계와 보호대책의 2개 영역으로 구성되어 있어 그 체계를 달리하는 것처럼 보일 수 있으나, 두 인증제도는 구조적으로 표 3과 같이 대응된다.
PIPL의 65개 심사항목은 PIMS의 통제항목에 대하여 완전중복 10개(15.38%), 부분중복 54개(83.08%), 비중복 1개(1.54%)로 나타났으며, 중복되는 항목의 비율은 98.46%에 달하는 것으로 분석되어 매우 높은 중복성을 보인다. 따라서 두 인증제도 간에는 중복성이 있음이 규명되었다.
본 연구에서는 중복성과 중복규제의 원인과 문제점을 고찰하고, 개인정보보호 관리체계 인증제도간의 중복성을 평가하기 위한 방법론을 제시하였으며, 이를 바탕으로 중복성 평가를 수행하였다. 그 결과, 두 인증제도 간에는 상당한 수준의 중복성이 있음이 규명되었다.
본 연구는 PIMS와 PIPL 두 인증제도에 대하여 그 동안 논란이 되어 왔던 중복성을 구문분석을 통해 실증적으로 규명하였다는 점에서 의의가 있다. 또한 본 논문은 2014년 8월 결정된 개인정보보호 관리체계 인증제도 통합의 타당성을 뒷받침 한다.
중복성 평가 결과 PIMS의 124개 통제항목은 PIPL의 심사항목에 대하여 완전중복 10개(8.07%), 부분중복 73개(58.87%), 비중복 41개(33.06%)로 나타났으며, 중복되는 항목의 비율은 66.94%로 절반 이상의 항목이 PIPL의 항목과 중복되어 높은 중복성을 보이는 것으로 나타났다.

후속연구

향후에는 통합에 따른 개인정보보호 관리체계 인증제도의 효율적인 운영과 제도의 안정화를 도모하기 위한 바람직한 제도 운영 방안 등의 후속 연구가 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	PIMS는 무엇인가?	PIMS는 기업이 개인정보보호 활동을 체계적·지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도이다[3]. PIMS는 방송통신위원회 심의·의결 ‘개인정보보호 관리체계 인증제 도입에 관한 건’ 제2010-66-273호에 근거하여 2011년부터 인증을 실시해 왔다.
	PIPL의 인증 절차는 어떻게 구성되는가?	PIPL의 인증 절차는 인증심사 준비단계, 심사단계, 인증단계로 구성되며, 인증유지관리를 위한 유지관리단계가 있다. 준비단계는 인증심사를 위해 사전에 준비를 하는 단계로, 신청기관은 인증심사 준비를 완료하여 인증기관에 인증신청을 하고, 인증기관은 신청기관의 인증준비 상태를 사전에 점검하여 인증심사 준비여부를 확인한 후에 계약을 체결한다.
	PIMS 인증을 받기 위한 요구사항은 무엇인가?	PIMS 인증을 받기 위해서는 다음의 세 가지 요구사항을 만족시켜야 한다. 첫째, 5단계 개인정보보호 관리과정에 따라 개인정보보호 관리체계를 수립하고 운영해야 한다. 둘째, 개인정보보호 유관 법적 요구사항 및 전사적으로 다양한 관리적·기술적 요구사항을 만족할 수 있는 보호대책을 수립하고 운영하여야 한다. 셋째, 개인정보의 생명주기와 관련된 법적 요구사항을 만족할 수 있도록 생명주기준거 요구사항을 만족하여야 한다.

참고문헌 (24)

Korea Local Information Research & Development Institute, "Countermeasure of public institution of introduction of PIPL," 2014 Local Information Issue, Vol. 2, 2014.
Boannews, "Visualization of integration of information security certification... What is priority?," 2014.8.11.
Korea Internet & Security Agency, Outline of PIMS, Retrieved Oct. 21, 2015, from http://pims.kisa.or.kr/kor/intro/pimsIntro01.jsp.
Korean Standard Dictionary, Retrieved Nov. 2, 2015, from http://stdweb2.korean.go.kr.
M. Landau, "Redundancy, rationality, and the problem of duplication and overlap," Public Administration Review, Vol. 29, pp. 346-358, 1969.

상세보기
Jung-hai Kim, "A Study on the Reform of the overlapping regulation in the industrial safety sector," Korean Society and Public Administration, 15(1), pp. 211-233, 2004.
Korea Ministry of Government Legislation, A study on Status and Improvement of duplicate regulation, 2008.
Datanet, "ISMS, maintaining certification is more important than certification." 2013.10.7.
Mi-na Sim, "(A) study on the implementation methodology of the efficient PIMS certification system," Ph.D. Thesis, Korea University, 2010.
Heung-youl Youm, "The necessity of international standardization of personal information management system," Review of The Korea Institute of information Security & Cryptology, 23(4), pp. 65-72, 2013.
Dong-hee Bang, "A study on the improvement of the personal information protection certification in the personal information protection legal system: Focusing on the current status, the problem, and the remedial alternative of certificate system," Public Law Journal, 15(1), pp. 263-300, 2014.
Geon-sang Cha, Ho-hyeon Han, and Yong-tae Shin, "An effective Personal information management system to ensure self-imposed control on personal information protection act," Journal of Korean Institute of Information Scientists and Engineers: Information networking, 39(3), pp. 276-281, 2012.
Eun-yeop Park, Jin-won Choi, and Tae-hee Cho, "A case study on building personal information management System Certification," Review of The Korea Institute of information Security & Cryptology, 21(5), pp. 27-36, 2011.
Jin-hwan Jeon and Kang-rae Cho, "The main changes in personal information management system certification by revised notification," Review of The Korea Institute of information Security & Cryptology, 23(5), pp. 20-23, 2013.
Dae-ha Park and Keun-hee Han, "A Study on PIMS Controls for PII outsourcing management under the cloud service environment," Jonornal of The Korea Institute of information Security & Cryptology, 23(6), pp. 1267-1276, 2013.

원문보기 상세보기
Jeong-woo Chae and Jin-hong Jeong, "Study on building security controls framework for the industrial security management system," Korean Academy of Public Safety and Criminal Justice, 22(1), pp. 300-341, 2013.
Jin-young Han and Su-jin Lee, "Privacy assessment model in healthcare: The case of specialty hospital," Journal of Internet Electronic Commerce Research, 14(6), pp. 27-44, 2014.
Dae-ha Park, Sang-nyeong Yoo, and Heung-youl Youm, "Development of information system operational audit checklist for personal information protection in public organizations," Journal of Security Engineering, 12(1), pp. 47-64, 2015.

상세보기
K. Hone and J.H.P. Eloff, "Information security policy - what do international information security standards say?," Computers & Security, Vol. 21, No. 5, pp. 402-409, 2002.

상세보기
M. Siponen and R. Willison, "Information security management standards: Problems and solutions," Information & Management, Vol. 46, No. 5, pp. 267-270, 2009.

상세보기
Woon-soo Kim, Sook-young Jeong, Young-hyeon Cho, and Kyung-bae Kim, "A Study on improving scheme of environmental review aspects in urban management planning in Seoul," Seoul Studies, 8(1), pp. 107-125, 2007.
Korea IT Industry Promotion Agency, Report on Hw to Link a Similar Procedure for the Expansion of Digital Content Transaction Certification, 2008.
Hong-bin Im et al., Parsing Methodology of Korean, Hankookmunhwasa, 2002.
Jin-jae Choi and Sun-young Hwang, "Requirements redundancy and inconsistency analysis for use case modeling," Journal of KIISE: Software and Applications, 3(7), pp. 869-882, 2004.

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증