[논문]PIMS 인증결함의 보완조치 우선순위에 관한 연구

강다연; 전진환; 황종호

doi:10.5392/jkca.2018.18.04.010

PIMS 인증결함의 보완조치 우선순위에 관한 연구
A Study on the Priority of Complementary Measures about Deficiencies on the PIMS Certification 원문보기

한국콘텐츠학회논문지 = The Journal of the Korea Contents Association, v.18 no.4, 2018년, pp.10 - 17

강다연 (동명대학교 국제물류학과) , 전진환 (신한데이타시스템 정보보호본부 정보보안기획팀) , 황종호 (동명대학교 경영정보학과)

초록
AI-Helper

대다수의 국내 기업 개인정보보호 담당자는 방송통신위원회가 인정하는 개인정보보호 관리체계(PIMS) 인증 취득에 난이도가 존재한다고 판단한다. 이는 사업자마다 개인정보취급에 대한 고유한 특성과 업무절차가 반영되어 정형화된 업무를 규정하기 힘들고, 인증취득을 위해 거치는 여러 과정에서 인증컨설턴트, 인증심사원의 경험에 상당부분 의존할 수밖에 없기 때문이다. 결과적으로 인증취득 실무경험이 부족한 담당자는 PIMS 인증 초기에 무엇을 우선적으로 이행하고 준비해야 하는지에 많은 난관에 부딪히게 된다. 본 연구에서는 계층적 의사결정 기법(AHP)을 통해 인증취득 실무담당자의 PIMS 인증결함의 보완조치 우선순위를 살펴봄으로서 향후 PIMS 인증취득을 원하는 기업이나 인증결함에 따른 보완조치 시 담당자가 우선적으로 선행할 부분을 검토하고자 한다.

Abstract ▼ AI-Helper

Most of the privacy officers of organizations are hard to think of the corrective action about deficiencies of the PIMS(Personal Information Management Systems) certification. Because, it is difficult to define the priority of the complementary measures due to the unique characteristics and procedures of personal information protection for each organization. The purpose of this study is to evaluate the priority of the complementary measures using the Analytic Hierarchy Process(AHP). According to the results, it is important to comply with the legal requirements in the first tier. The second tier, PIMS experts answered that dedicated organization, password management, and agreement of the subject are important. Above all, agreement of the subject was found the highest priority for complementary measures about PIMS's deficiencies.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이에 따라 본 연구에서는 PIMS 인증 취득 시 도출되는 주요한 결함항목에 대해 살펴보고, 계층적 분석기법 (Analytic Hierarchy Process: AHP)을 통해 결함에 따른 보완조치 시 담당자가 우선적으로 선행할 부분을 검토하고자 하는 것이 목적이다. 향후 인증 신청기관 및 취득기관에서 원활한 인증의 운영을 위해 기업의 이해를 돕고, 실무적 제언을 도출하는데 그 목적이 있다.
이에 따라 본 연구에서는 PIMS 인증 취득 시 도출되는 주요한 결함항목에 대해 살펴보고, 계층적 분석기법 (Analytic Hierarchy Process: AHP)을 통해 결함에 따른 보완조치 시 담당자가 우선적으로 선행할 부분을 검토하고자 하는 것이 목적이다. 향후 인증 신청기관 및 취득기관에서 원활한 인증의 운영을 위해 기업의 이해를 돕고, 실무적 제언을 도출하는데 그 목적이 있다.

제안 방법

우선, 박대회 등(2015)는 공공기관의 정보시스템 운영 단계에서 필요한 개인정보보호 관점의 운영관리 점검 항목을 개발하였다. PIMS 및 PIMS의 심사항목을 비교/분석하고 개인정보처리시스템에 대한 관리를 외부에 위탁하는 공공기관의 특성을 고려하여 개인정보보호법의 위탁자 관련 조항을 근거로 점검항목을 도출하였다[5].
또한, 계층 2에서는 각 요구사항의 하부요인으로 선정하여 연구모형을 설정하였다. 관리과정의 하부요인으로는 개인정보보호 조직 및 구성 및 지원할당, 보호대책의 효과적 구현으로 선정하였으며, 보호대책 요구사항 하부요인으로는 개인정보취급자 지정 및 감독, 인터넷 접속통제 개인정보 취급자 권한관리, 개인정보 취급자 접근권한 검토, 개인정보 취급자 및 사용자 패스워드 관리, 암호정책 수림 및 이행, 분석 및 설계보안관리, 개인정보 처리활동 모니터링 및 점검, 개인정보 마스킹, 물리적 접근통제 총 10개의 요인으로 구성하였다. 생명 주기 요구사항의 하부요인으로는 정보주체의 동의, 개인정보 취급방침 마련 및 게시, 외부위탁 관리감독으로 구성하였다.
다음의 [그림 1]과 같이 계층 1의 평가요인으로 관리 과정, 보호대책, 생명주기의 요구사항으로 설정하였다. 또한, 계층 2에서는 각 요구사항의 하부요인으로 선정하여 연구모형을 설정하였다. 관리과정의 하부요인으로는 개인정보보호 조직 및 구성 및 지원할당, 보호대책의 효과적 구현으로 선정하였으며, 보호대책 요구사항 하부요인으로는 개인정보취급자 지정 및 감독, 인터넷 접속통제 개인정보 취급자 권한관리, 개인정보 취급자 접근권한 검토, 개인정보 취급자 및 사용자 패스워드 관리, 암호정책 수림 및 이행, 분석 및 설계보안관리, 개인정보 처리활동 모니터링 및 점검, 개인정보 마스킹, 물리적 접근통제 총 10개의 요인으로 구성하였다.
먼저, AHP 설문은 응답자가 일관성을 가지고 평가항목에 응답했는지 검증하기 위해 일관성 비율(CR ; Consistency Ratio) 값을 계산하여 응답의 신뢰성을 검토한다. 일반적으로 CR 값이 0.
본 연구모형은 한국인터넷진흥원(KISA ; Korea Internet & Security Agency)의 개인정보보호관리체계 (PIMS)의 주요결함 항목을 근간으로 하였으며, 연구자와 전문가들의 협의를 통해 평가항목을 구성하였다[16].
본 연구의 분석을 위해 개발된 설문지는 계층적 분석 과정을 고려하여 Saaty(1990)가 제안한 9점 척도를 사용하였으며, 응답자의 편의를 돕기 위해 각 평가항목에 대한 설명을 함께 제시하였다. 전문가를 대상으로 하는 계층분석과정은 설문의 수량보다 설문의 목적에 부합하는 전문가들의 의견을 반영하는 것이 매우 중요하다[17].

대상 데이터

본 연구를 위한 AHP설문은 2016년 1월부터 2월까지 PIMS 인증 전문심사원, 신청기관 실무담당자, PIMS 인증 컨설턴트 각 10명씩 30명을 대상으로 설문을 실시하였다. 하지만, 설문의 방대함으로 인해 12부(40%)만 모든 질의에 응답하였고, 이를 회수하여 분석에 사용하였다.
최종분석에 사용된 응답자의 인구통계학적 특성을 살펴보면, 40대 남성 5명으로 신청기관 실무담당자 3명, PIMS 전문심사원, 인증컨설턴트 각 1명으로 나타났다. 개인정보보호 업무경력은 5년 미만 1명, 10년 미만 2명, 15년 미만 2명이었으며, PIMS 인증과 관련된 전담경력도 동일한 것으로 나타났다.
본 연구를 위한 AHP설문은 2016년 1월부터 2월까지 PIMS 인증 전문심사원, 신청기관 실무담당자, PIMS 인증 컨설턴트 각 10명씩 30명을 대상으로 설문을 실시하였다. 하지만, 설문의 방대함으로 인해 12부(40%)만 모든 질의에 응답하였고, 이를 회수하여 분석에 사용하였다. 분석을 위해 AHP 응답에 대한 조사결과는 Expert Choice 2000을 적용하였으며, 인구통계적 특성은 SPSS 2.

데이터처리

하지만, 설문의 방대함으로 인해 12부(40%)만 모든 질의에 응답하였고, 이를 회수하여 분석에 사용하였다. 분석을 위해 AHP 응답에 대한 조사결과는 Expert Choice 2000을 적용하였으며, 인구통계적 특성은 SPSS 2.0을 적용하였다.

성능/효과

AHP 분석결과를 요약하면, PIMS 전문가들은 인증 심사에서 결함이 도출될 경우 국내 법령에 따른 컴플라이언스 이행, 전담조직의 활동, 취급자의 관리, 기술적 통제 등의 순으로 미이행시 법적 위험이 높은 순으로 보완조치의 우선순위를 정하고 있음을 알 수 있다.
다음으로 신청기관이 인증을 취득한 후 PIMS 인증을 유지하는데 가장 크게 영향을 미칠 수 있는 정책이 무엇인지 질의한 결과, 자발적으로 이행한 기업에 인센티브 등이 지원되기를 원하는 것으로 나타났다.
두 번째로, 2계층의 요구사항별 세부통제항목에 대한 보완조치의 우선순위를 살펴본 결과, [표 5]와 같이 관리과정 요구사항에서는 개인정보보호 업무를 전담조직의 구성을 우선시 하고 있었고, 보호대책 요구사항에서는 취급자 및 사용자의 패스워드 관리를 중요하게 판단하고 있었다. 마지막으로 생명주기 요구사항에서는 개인정보 수집 시 정보주체로부터의 동의부분의 조치가 우선시 되어야 한다고 판단하고 있었다.
향후 연구에서는 응답자가 속한 집단별 평가 결과에 대한 비교ㆍ분석하는 연구가 진행되어야 할 것이다. 둘째, AHP기법은 요인 간의 상대적인 중요도만을 측정하기 때문에 다양한 변수에 의한 차이를 알 수 없었다. 추후 연구에서는 다른 연구 방법을 적용하여 분석할 필요성이 있다.
본 연구를 위한 AHP 분석결과는 다음과 같다. 먼저, PIMS 인증 결함 발생 시 1계층의 개인정보보호관리체계 요구사항 중 보완조치 우선순위를 분석한 결과, [표 4]와 같이 개인정보 생명주기(수집, 이용제공, 목적달성 후 파기)요구사항의 보완조치를 우선적으로 판단하고 있었다.
먼저, PIMS 전문가들은 인증심사에서 도출된 결함 가운데 사내 개인정보보호를 위해 기술적·물리적 차원의 통제보다는 관리적 차원의 보완조치가 우선시 고려되어야 한다고 판단하고 있다는 점이다.
첫째, PIMS 전문가라고 할 수 있는 설문응답자들 대상의 업무적 성격이 상이하였다. 향후 연구에서는 응답자가 속한 집단별 평가 결과에 대한 비교ㆍ분석하는 연구가 진행되어야 할 것이다.

후속연구

둘째, AHP기법은 요인 간의 상대적인 중요도만을 측정하기 때문에 다양한 변수에 의한 차이를 알 수 없었다. 추후 연구에서는 다른 연구 방법을 적용하여 분석할 필요성이 있다.
첫째, PIMS 전문가라고 할 수 있는 설문응답자들 대상의 업무적 성격이 상이하였다. 향후 연구에서는 응답자가 속한 집단별 평가 결과에 대한 비교ㆍ분석하는 연구가 진행되어야 할 것이다. 둘째, AHP기법은 요인 간의 상대적인 중요도만을 측정하기 때문에 다양한 변수에 의한 차이를 알 수 없었다.

질의응답

핵심어	질문	논문에서 추출한 답변
	개인정보보호 관리체계의 역할은 무엇인가?	조직이 목표로 하는 정보보호 수준을 유지할 수 있도록 개인정보보호 관리체계를 검토하며 보완하는 개인 정보보호 관리체계 인증제도는 조직의 개인정보보호 관리 능력에 대한 보증의 역할을 수행한다. 개인정보보호 관리체계와 관련된 연구는 다음과 같다.
	PIMS 인증결함의 보완조치 우선순위는 무엇인가?	AHP 분석결과를 요약하면, PIMS 전문가들은 인증 심사에서 결함이 도출될 경우 국내 법령에 따른 컴플라이언스 이행, 전담조직의 활동, 취급자의 관리, 기술적 통제 등의 순으로 미이행시 법적 위험이 높은 순으로 보완조치의 우선순위를 정하고 있음을 알 수 있다.
	AHP 기법의 장점은 무엇인가?	AHP 기법은 객관적 평가요인뿐만 아니라 주관적 평가요인을 포함하여 평가할 수 있는 유연성을 가진 기법으로 수리적 이론보다 참여자의 직관을 바탕으로 하여 그 논리적 접근이 쉽다는 장점을 가진다. 특히 집단내 의사결정문제 등에 유용하기 때문에 1980년대 이후 경영과학 분야에서 주요 의사결정 기법으로 인정받고 있다.

참고문헌 (17)

J. H. Jeon and K. R. Cho, "Major changes in the PIMS certification in accordance with the amended public notification," Review of KIISC, Vol.23, No.5, pp.20-23, 2013.
http://isms.kisa.or.kr
Ministry of Government Legistration, Act on Promotion of Information and Communications Network Utilization and Information Protection, 2015.
Korea Communications Commission, Enacted Public Notification for Certification of Personal Information Management System(PIMS), 2013.
D. H. Park, S. N. Yoo, and H. Y. Youm, "Development of Information System Operational Audit Checklist for Personal Information Protection in Public Organizations," Journal of Security Engineering, Vol.12, No.1, pp.47-64, 2015.

상세보기
K. T. Park and S. H. Kim, "A Study on the Preference Analysis of Personal Information Security Certification Systems: Focused on SMEs and SBs," Korea Institute of Information Security and Cryptology, Vol.24, No.5, pp.911-918, 2014.

원문보기 상세보기
D. H. Park and K. H. Han, "A Study on PIMS Controls for Pll Outsourcing Management under the Cloud Service Environment," Korea Institute of Information Security and Cryptology, Vol.23, No.6, pp.1267-1276, 2013.

원문보기 상세보기
G. S. Cha, H. H. Han, and Y. T. Shin, "An Effective Personal Information Management System to Ensure Self-imposed Control on Personal Information Protection Act," Journal of KISS: Information networkings, Vol.39, No.3, pp.276-281, 2012.
K. Hone and J. H. P. Eloff, "Information security policy-what dointernational information security standards say?," Computers & Security, Vol.21, No.5, pp.402-409, 2002.

상세보기
M. Siponen and R. Willison, "Information security management standards: Problems and solutions," Information & Management, Vol.46, No.5, pp.267-270, 2009.

상세보기
신동석, "분산 콘텐츠 기반의 머천트: 개인정보 통합콘텐츠관리 시스템 개발," 한국콘텐츠학회논문지, 제6권, 제5호, pp.113-121, 2006.

원문보기 상세보기
김희완, 유재성, 김동수, "정보시스템 감리에서 개인정보 영향평가를 통한 개인 정보보 보호," 한국콘텐츠학회논문지, 제11권, 제3호, pp.84-99, 2011.
T. L. Saaty, "How to make a decision: The analytic hierarchy process," European Journal of Operation Research, Vol.48, No.1, pp.9-26, 1990.

상세보기
O. S. Vaidya and S. S. Kumar, "Analytic hierarchy process: An overview of applications," European Journal of Operational Research, Vol.169, pp.1-29, 2004.
G. T. Cho, Y. G. Cho, and H. S. Kang, Leading the lader's hierarchy decision making, Dong-Hyun Publish, Seoul, 2003.
KISA, 개인정보보호 관리체계(PIMS) 인증의 주요 결함 사례, Privacy Global Edge 2014-CPO 포럼, 2014.
J. G. Yoon, "A Comparison of 3 Statistical Technique for Evaluation MIS Sucess Factor Application Efeects and Limitations of AHP as a Research Methodology," Journal of the Korean Operations Research and Management Science Society, Vol.21, No.3, pp.109-124, 1996.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증