국제 개인정보보호 표준화 동향 분석 (2017년 4월 해밀턴 SC27 회의 결과를 중심으로)

  • 염흥열 (순천향대학교 정보보호학과)
  • Published : 2017.10.31

Abstract

개인정보관리체계 [1,2] 를 구축하기 위해서는 관리체계를 위한 요구사항과 프라이버시 통제가 필요하다. 국내에서 시행되고 있는 개인정보관리체계도 요구사항과 개인정보 전주기동안의 프라이버시 보호조치에 근거해 시행하고 있다. 빅데이터 환경에서는 개인정보를 처리하기 위한 비식별화 기법(de-identification technique)이 요구된다. 그리고 온라인 사용자 친화적 고지 및 통보 방법이 필요하다. 국제표준화위원회/전기위원회 합동위원회 1의 정보보호기술연구반 신원 관리 및 프라이버시 작업반 (ISO/IEC JTC 1/SC 27/WG 5)에서는 개인정보보호를 위한 여러 가지 국제표준을 개발하고 있다[20],[21],[22],[30]. 본 논문에서는 작업반 5에서 2017년 4월 뉴질랜드 해밀턴 SC27 회의에서 논의된 개인정보보호 관련 주요 표준화 이슈와 대응 방안을 제시한다.

Keywords

References

  1. BS 10012:2009, Data protection -Specification for a personal information management system, BSI, 2009
  2. KCS.KO-12.0001, 개인정보보호관리체계(PIMS), 2011
  3. 법제처, 개인정보보호법
  4. 법제처, 정보통신망이용촉진 및 정보보호 등에 관한 법
  5. ISO/IEC 27000:2014, Information security management systems - Overview and vocabulary
  6. ISO/IEC 27001:2013, Information technology -Security techniques - Information security management systems - Requirements
  7. ISO/IEC 27002:2013, Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management system
  8. ISO/IEC 27005:2011, Information security risk management
  9. ISO/IEC 27009: 2016, Information technology - Security techniques - Sector specific application of ISO/IEC 27001 - Requirements
  10. ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
  11. ISO/IEC 27017:2016, Code of practice for information security controls based on ISO/IEC 27002 for cloud services
  12. ISO/IEC 27018:2014, Code of practice for protection of personally identifiable information (PII) in public clouds acting as PIII processors
  13. ISO/IEC 29100:2011, Information technology - Security techniques - Privacy framework
  14. ISO/IEC 29190, Information technology - Security techniques - Information technology -- Security techniques -- Privacy capability assessment model
  15. ISO/IEC 29134, Privacy Impact Assessment - Methodology, 2017.5
  16. ISO/IEC 29151, Code of practice for the protection of personally identifiable information, 2017.8
  17. WG 5/SD 5, Explanation on the use of ISO/IEC 27001 (ISMS) for privacy management, 2015.8
  18. ISO/IEC JTC 1/SC 27 IT Security techniques, http://www.iso.org/iso/iso_technical_committee?commid=45306
  19. WG 5/SD 1, WG 5 Roadmap, 2016.4
  20. 염흥열, "개인정보보호 관리체계 국제 표준화 필요성," 정보보호학회지, 제23권 제4호, pp.65-72, 2013.8
  21. 염흥열, "개인정보보호 기술 및 국제표준 동향," OSIA Standards & Technology Review Journal * June 2014, Vol.27, No.2
  22. 염흥열, 개인정보보호 국제표준화 분석, 한국정보보호학회학회지, 제25권 제4호, pp.5-9, 2015.8
  23. ISO/IEC 2nd WD 27552, Enhancement to ISO/IEC 27001 for privacy management - Requirements, ISO/IEC SC 27/WG 5, 2017.9.
  24. ISO/IEC 2nd CD 20889, Information technology - Security techniques - Privacy enhancing data de-identification techniques
  25. 행정안전부, 방송통신위원회 등, "비식별화조치 가이드라인," 2016.6.30.
  26. ISO/IEC 3rd WD 29184, Guidelines for online privacy notices and consent, 2017.9
  27. ISO/IEC PDTS 29003, Identity proofing, 2017.9
  28. ISO/IEC JTC 1/SC 27 N17059, Summary of voting on ISO/IEC FDIS 29134:2016)(E) (SC 27 N17008) -- Information technology -- Security techniques - Guidelines for privacy impact assessment
  29. ISO/IEC JTC 1/SC 27 N17060, Summary of voting FDIS letter ballot on ITU-T X.gpim ISO/IEC 29151:2016-12-16(E) - Information technology - Security techniques - Code of practice for privacy personally identifiable information protection
  30. 염흥열, 국제 개인정보보호 표준화 동향 분석 (2016년 4월 탬퍼 SC27 회의 결과를 중심으로), 정보보호학회지, v.26, no.4, 6-10, 2016.8