• 정보보호학회지
• /
• 제14권1호
• /
• pp.107-122
• /
• 2004

세계 각 국은 산업 및 정보의 의존성에 의해 모든 정보를 한눈에 볼 수 있는 시대로 변모하였으며, 사이버 공간 그 자체가 정치, 경제사회, 문화 등의 기본적인 생활 공간으로 자리 매김하고 있다. 따라서 사이버 공간을 보호하지 않을 경우 안정된 정보사회 구축은 불가능하다. 특히, 정보보호의 대상이 특정 국가적인 정보 보안에 국한되지 않고 기업 및 사회의 정보 등으로 확대되고 있어, 국가적으로 국가 안보뿐만 아니라 개인의 정보보호를 위한 새로운 제도와 조치가 절실히 요구되는 시점이다. 따라서 본 고에서는 복합 기능을 갖는 정보보호 제품의 보호 프로파일 개발을 위한 기반 연구로 요구되는 대체 평가 방법론에 대해 고찰해 보고자한다. 특히 북미를 중심으로 표준화가 진행 중에 있는 CEM을 기준으로, 영국을 중심으로 유럽의 적합성 표준으로 추진 중에 있는 SCT와 ISO/IEC에서 제시되고 있는 적합성 테스트 방법론인 ISO/IEC 9496 및 보증 프레임워크인 ISO/IEC 15443에 대한 자체 취약성 분석을 수행하고 자각의 평가 방법론간의 상호 연관성과 비교 분석을 통해 복합 기능을 갖는 정보보호 제품의 보호 프로파일 개발의 가이드라인을 제시하고자 한다.

• 정보보호학회지
• /
• 제12권6호
• /
• pp.68-80
• /
• 2002

세계 각국에서는 산업 및 정보의 의존성에 의해 전세계의 모든 정보를 한눈에 볼 수 있는 시대가 도래하였으며, 사이버 공간 그 자체가 정치, 경제사회, 문화 등의 기본적인 생활 공간으로 자리매김 하고 있다. 따라서 이를 보호하지 않을 경우 안정된 정보사회 구축은 불가능하다. 특히, 정보보호의 대상이 특정 국가적인 정보 보안에 국한되지 않고 기업 및 사회의 정보등으로 확대되고 있어, 국가적으로 국가 안보 뿐만 아니라 개인의 정보보호를 위한 새로운 제도와 조치가 절실히 요구되는 시점이다. 본 고에서는 정보보호 제품을 평가하기 위해 단일화된 국가 평가 기준을 기반으로한 국외 평가 스킴 중에서 미국의 평가 스킴을 예로 들어 그에 대한 분석하고자 한다. 분석된 내용은 국내 정보보호 관리체계를 위한 국내 평가 스킴 개발을 위한 바람직한 추진 방향과 향후 발전방향에 대하여 살펴보고자한다

• 정보보호학회논문지
• /
• 제30권4호
• /
• pp.719-734
• /
• 2020

본 논문은 최근 개정된 데이터 3법에 맞추어 조직 내 실무자들이 개인정보를 활용함에 있어 비식별 조치 수행 시 위험도에 따른 처리 수준 산정을 위한 새로운 측정방법을 제안한 것이다. 우리가 제안한 방법은 위험도 측정 시 데이터만이 아닌 데이터를 둘러싼 주위 상황을 고려하였고, 모든 분야에 적용이 가능하도록 범용 환경에서 데이터 상황을 크게 데이터 활용방법, 데이터 이용환경, 그리고 데이터(자체) 3가지 카테고리로 나누어 보다 체계적으로 분류하였으며, 제시된 분류에 따라 각 상황별 위험도에 기반하여 정량적으로 계산할 수 있도록 새로운 측정 방법을 제안하였다. 제안한 방법은 기존의 비식별 정보의 위험도 산정을 전문가들의 정성적 판단에만 맡기는 것이 아니라 일반 조직 내 개인정보처리자가 실무에 활용할 수 있도록 정량적인 방법으로 위험도를 산정할 수 있도록 설계하였다.

• 정보보호학회논문지
• /
• 제30권2호
• /
• pp.243-252
• /
• 2020

최근 1인 가구의 비율과 주거형태의 변화에 따라 전·월세 등 임차 비율이 압도적인 수준으로 증가하고 있다. 보통의 경우 전·월세 등의 주거 형태를 사용할 때에는 개업공인중개사를 통한 주택임대차계약을 체결하게 된다. 거래 체결 시 임대인, 임차인, 개업공인중개사의 개인정보가 포함된 계약서를 개업공인중개사가 거래당사자에게 교부하게 되는데, 주택임대차계약의 증빙을 위해 계약서 사본을 제3자에게 제공해야 하는 경우가 발생한다. 본 논문은 오프라인에서 주택임대차계약 간 처리되는 개인정보를 중심으로 관련 법령 및 규정, 주택거래 현황을 분석하고 부동산거래 전자계약시스템을 통해 제3자 제공을 위한 계약서 발급 시 정보주체 및 사용용도 기반 비식별 조치와 사실증명서 발급의 형태로 거래참여자의 개인정보를 보호할 수 있는 방안을 제안한다.

• 의료법학
• /
• 제24권4호
• /
• pp.67-101
• /
• 2023

생성형 AI의 활용은 교육계를 넘어서 이미 의료계에서도 의료 기기에 임상 소프트웨어 등의 도입 등으로 연구되고 있다. 생성형 AI는 대규모 대화형 언어모델을 활용하여 방대한 데이터를 이해하고 자료를 선별하는 시간과 에너지를 줄여주면서 사용자와 끊임없는 대화를 통한 정보의 전달이 가능하다. 바로 이러한 점이 인류에게 생성형 AI가 혁신적인 기술의 등장으로 인정받고 있는 점이기도 하다. 그러나 반면 사용자에게 제공되는 컨텐츠의 정합성은 출처나 근거 없이 사용자에게 판단의 영역으로 맡겨지고 있다. 그러나 이 글에서는 생성형 AI를 활용함에 있어서 가장 직접적으로 발생할 수 있는 쟁점을 우선적으로 살펴보기로 한다. 따라서 이 글에서는 생성형 AI의 대표적인 프로그램인 Chat GPT의 발전과 이용자의 활용에 대비하여 특히 개인정보 보호의 쟁점에 대하여 논의하였다. 이를 위하여 먼저 생성형 AI의 기술적인 특성을 살펴본 뒤에 발생 가능한 민사적 쟁점 가운데에서도 개인정보 보호에 관한 문제를 우선적으로 살펴보았다. 생성형 AI는 그 자체로서 학습 데이터의 편향이나 출처 없는 결과값의 제공 등 여러 문제점이 제기되고 있으나, 이러한 문제점은 윤리적 문제를 내포하는 것으로 당장 임상 소프트웨어로서 의료기기에서 활용될 경우 개인정보 보호법제와 보건의료데이터의 활용 가이드로 환자 혹은 이용자의 개인정보를 보호할 수 있을 것인가에 대한 의문에 대한 논의가 시급하다고 판단되었다. 우리나라의 개인정보 보호법제는 특히 보건의료데이터의 활용에서 특정 개인의 개인정보를 가명처리하고 비식별조치를 취하는 데에 적절한 프로세스를 갖추고 있는 것으로 보이나, 생성형 AI이 소프트웨어로서 의료기기에 적용되었을 경우에도 이 법제로서 개인정보 보호의 목적을 이루기에는 어려운 점이 있다. 임상 소프트웨어에서 활용될 생성형 AI의 기능을 대비하기 위해서는 생성형 AI에 걸맞는 개인정보 보호의 법제가 필요할 것으로 보인다.

• 의료법학
• /
• 제22권4호
• /
• pp.117-157
• /
• 2021

본 연구에서는 미국의 보건의료데이터 관련 주요 법령으로 HIPAA/HITECH, 21세기 치료법, 공통규칙, 주법 등을 검토, 데이터의 보호 및 활용 관점에서 관련 법령의 발전과정, 구체적 쟁점에 관한 입법방침을 검토하였으며, 다음과 같은 시사점을 도출하였다. 첫째, 미국의 경우 개인의료정보에 관한 단일법제를 통하여 보호와 활용 기준을 비교적 명확하게 규율하고 있다. 미국의 경우 1996년 의료정보보호에 관한 기본법으로 HIPAA를 도입, 의료정보를 개인식별정보, 비식별정보, 한정데이터세트로 구분하여 PHI의 경우 목적에 따른 활용범위를 규정하였으며, 의료정보의 비식별조치 방식 규정, 한정데이터세트의 삭제정보 대상, 데이터 재식별 금지합의서 등에 관하여 규정하였다. 한편, 연구목적 의약품 및 의료기기 혁신 촉진을 위하여 제정된 21세기 치료법에서는 정보의 공유와 정보접근성 강화를 위하여 데이터 공유를 위한 상호호환성, 데이터 차단 금지, 정보주체의 접근성 강화를 규정하였으며, 공통규칙에서는 포괄적 동의제도를 도입, 절차를 명확하게 규정하고 있다. 우리나라의 경우 개인정보보호법을 기초로 하되, 보건의료데이터를 규율하는 일관된 법제를 제정한다면 규제체계와 내용을 보다 명확히 하여 정보소유자와 이용자에게 정보이용에 대한 신뢰를 높일 수 있을 것으로 생각된다. 둘째, 미국의 경우 의료정보의 활용 측면에서 규제체계를 비교적 간소화하고 명확하게 규정하고 있다는 점에서 의미가 있는 것으로 생각된다. 구체적으로 식별가능 의료정보의 익명조치 방안으로 전문가 합의 방식과 세이프 하버 방식을 규정하고, 구체적인 방법을 규정하고 있다. 특히 세이프하버 방식의 경우 18가지 식별자를 제거하면 비식별조치가 된 것으로 판단하고 있어 비식별조치 방식과 절차를 명확하게 규정하고 있다는 점, 전문가 합의 방식도 전문가 판단기준, 절차 등을 규정하고 있어 판단절차에 대한 신뢰를 높이고 있다는 점에서 의미가 있다. 보건의료데이터의 경우 치료목적, 연구목적 등으로 활용될 경우 그 가치가 증가될 것으로 생각되므로 보다 간소하고 명확한 기준을 제안함으로써 정보보호와 활용의 목적을 달성할 수 있을 것으로 생각된다. 셋째, 미국의 경우 정보주체의 권리보호 방안을 구체화하되, 설명의무를 상세히 규정하되 식별정보에 대한 소비자의 정보권한(옵트아웃 절차)를 명시하고 있다. 구체적으로 HHS 규칙과 FDA 규정에서 인간대상 연구에 대하여는 포괄적 동의제도를 인정하되 공통규칙을 통하여 동의절차, 방법, 요건을 규정하고 있다. 특히 정보주체에 대한 고지의무, 옵트아웃 제도, 삭제요구권 등에 관하여 규정하고 있으며, 동의절차에서 동의 대상자가 쉽고 명확하게(8th grade reading level 기준) 이해할 수 있도록 하며, 최신성·편의성을 유지하도록 하고 있다. 특히 최근 미국 주법(뉴욕, 캘리포니아 주 등)은 데이터 보호 및 활용에 관한 법령을 제정하면서 정보접근권, 삭제요구권, 옵트아웃 제도, 정보처리 동의의 투명성 강화조치 마련 등을 규정하여 데이터 활용에 있어서 정보주체의 권리를 보장하고 있다. 정보주체의 권리 보호는 정보의 가치보존과 활용 측면에서 가장 중요한 전제요건이 될 것이므로 우리나라의 입법에서도 참조할 수 있을 것으로 생각된다. 넷째, 미국의 경우 보건의료데이터 법제 전반에서 신뢰기반 제도를 활용하고 있다는 점은 중요한 의미가 있을 것으로 생각된다. 예컨대 HIPAA에서는 Limited Data Set의 경우 연구자의 재식별금지 합의서를 전제로 정보를 활용할 수 있도록 규정하고 있으며, 익명조치를 전문가 합의, 세이프하버 방식 등으로 간소화하여 연구목적 정보이용을 활성화하는 방안, 동의제도를 간소화하는 방안도 정보주체와 정보이용자간 신뢰에 기반한 것으로 볼 수 있다. 의료정보는 정보주체, 생성·보관·활용자가 모두 신뢰에 기반하여 협력할 때 그 가치가 나타날 수 있을 것으로 생각되므로 정보주체의 권리보장을 전제로 하되, 정보이용자가 당해 정보를 보다 가치 있게 이용(meaningful use)하도록 하는 신뢰에 기반한 법제도 마련이 필요할 것으로 생각된다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제11권11호
• /
• pp.395-402
• /
• 2022

개인정보 보호법 위반 시 법률 기준에 따라 행정처분을 하고 공표기준에 부합할 경우 이에 대한 결과를 공표하게 된다. 그러나 현재의 방식은 개인정보 보호법의 공표제도에 따라 공표함에도 불구하고 반복적인 행정처분이 증가하고 있어 그 실효성의 한계를 지니고 있다. 본 논문에서는 개인정보 보호법 위반에 따른 행정처분 결과 분석을 통해 기존 공표제도 방식을 강화할 수 있는 위반행위자가 대중의 정보 접근성이 좋은 방식으로 스스로 위반 사실을 공표하게 하는 '공표명령권' 도입에 대한 연구를 수행한다. 이를 위하여 본 논문에서는 기존 방송통신위원회와 행정안전부가 공표한 자료뿐만 아니라, 개인정보보호위원회가 국무총리 산하 중앙행정기관으로 출범한 이후 개인정보보호법 위반으로 인한 행정처분 결과 공표자료를 분석하였다. 또한 공표 대상 산업분야와 위반 법률 조문을 통해 주요 산업분야와 위반 법률 조문을 분석하였으며 개인정보 보호법 공표명령권 도입을 위한 타 법률 사례를 분석하고, 행정청이 공표하는 현행 방식 대신 위반행위자가 '시정조치를 받은 사실에 대한 공표'를 스스로 공표하게 하는 '공표명령권' 시행을 위한 법률적 근거를 제안한다.

• 한국콘텐츠학회논문지
• /
• 제14권6호
• /
• pp.1-10
• /
• 2014

온라인 비즈니스의 활성화와 인터넷 모바일 기기의 발달을 통해, 불특정 다수의 민감한 사용자 데이터가 쉽게 노출 되고 있고, 개방된 비즈니스 환경에서 최근 민감한 개인정보의 유출 이슈가 자주 언급되면서 그 중요도 측면에선 데이터베이스의 보안기술의 도입은 기업의 최우선 과제가 되고 있다. 2011년 정부에서도 정보통신망법 상의 개인정보 보호 강화조치를 법률로 제정 이를 다양한 산업 군에 적용하고 있다. 기업은 개인정보의 보호를 위해 다양한 방안들을 마련해 이러한 규제를 준수하며 내부에 관리중인 개인정보에 대해 보안을 강화하기 위해 빠르게 보안 솔루션을 도입하고 있다. 이에 수많은 민감한 개인의 데이터들이 저장되어 사용되고 있는 데이터베이스 측면에서 이러한 규제를 준수하는 동시에 효과적으로 데이터 보안기술을 확보하기 위한 방안을 보안 아키텍처의 기술적인 측면에서의 구분과 보안 솔루션 도입 시 고려가 되어야 하는 아키텍처와 기능적인 부분들에 대해 본 논문은 제시하였다.

• 정보보호학회논문지
• /
• 제27권1호
• /
• pp.129-145
• /
• 2017

본 연구는 지속적으로 발생하고 있는 개인정보 유출사고에 대한 기업의 리스크와 손해금액 산출을 위해, 최신 리스크 분석방법론인 FAIR(Factor Analysis of Information Risk)를 사용하였다. FAIR를 통해서 실제 개인정보 유출 사고 기업을 예를들어, 손해금액을 분석하고 산출하는 방법론을 제시 하였다. 전문가 집단의 설문을 실시하고 AHP(Analytic Hierarchy Process) 방법론을 사용하여 손해금액 산정요소의 중요도와 적절성을 객관적으로 평가하였다, 본 연구를 통해서 개인정보보호 실무 담당자는 스스로 손해금액을 최신 리스크 평가 방법론을 통해서 산정하고 입증할 수 있다. 또한 본 연구의 손해금액 산정요소를 해당기업에 맞게 선택하여 정확한 개인정보 유출에 따른 손해금액 등 경제적 손실을 추정할 수 있으며, 사고조치 및 예방대책의 수립과 경영진에게 보고할 수 있는 객관적인 근거를 확보 할 수 있다.

• 정보보호학회논문지
• /
• 제24권1호
• /
• pp.97-106
• /
• 2014

공공의 안전을 위한 영상 감시 시스템의 도입이 활발해짐에 따라 많은 공공시설이나 장소에 설치되어 운영되고 있다. 최근 CCTV의 성능이 좋아짐에 따라, CCTV 영상으로부터 획득된 사람의 얼굴 정보를 바탕으로 얼굴 인식 등을 통해 자동화된 처리를 시도하는 기술들이 개발되고 있다. 하지만, 이러한 기술들이 악용될 경우 중대한 개인의 프라이버시 침해 우려가 있다. 특히, 최근에는 특정 공간에 설치된 컴퓨터와 연결시켜 카메라에 찍힌 영상을 인터넷을 통해 실시간으로 보여주는 정보제공서비스까지 등장하고 있고, 시행중인 개인정보보호법에서 바이오인식정보에 대하여 안전성 확보조치 기준을 고시하고 있다. 이에, 본 논문에서는 영상 감시시스템에서 개인영상 정보보호를 위한 기술적 관리적 관점에서 영상감시 시스템에서의 개인 영상 정보보호 요구사항을 도출하고자 한다.