• 디지털산업정보학회논문지
• /
• 제8권1호
• /
• pp.89-98
• /
• 2012

According to the enforcement of Personal Information Protection Act as of September 2011, the laws and regulations for the protection of personal information that were applied only to the certain sectors such as information & communication network, financial institutions, public sector etc. for the time being has been expanded to apply to all public and private sectors to process personal information. In particular, because the public institutions are obliged to be mandatorily conducted of the Privacy Impact Assessment, it will be enforced in earnest for each agency's informationization business that handles personal information. In this paper, I examine the most derived vulnerability and set up the improvement measure to supplement it with the examples of 10 of all the institutions conducting the Privacy Impact Assessment in the year 2011. And, I suggest the measures to be prepared by the institutions to observe the Personal Information Protection Act.

• 한국콘텐츠학회논문지
• /
• 제11권3호
• /
• pp.84-99
• /
• 2011

정보 시스템 고도화로 인한 정보의 집적화, 대량화가 점차 확대됨에 따라 개인 정보의 유출 가능성은 날로 높아지고 있다. 이에 따라 개인정보 침해 요소를 사전에 분석하고 최소화 할 수 있는 개인정보 영향평가(PIA)의 필요성이 대두 되고 있다. 그러나, 대부분의 정보시스템 감리에서 시스템 아키텍쳐 영역의 물리적, 관리적, 기술적 보안 항목을 감리하여 일반적인 항목만을 체크하고 있어서 실질적인 개인정보보호를 위한 감리는 제대로 이루어 지지 않고 있다. 이에 따라 본 논문에서는 개인정보 침해를 사전에 최소화하기 위해 개인정보영향을 평가하고 그에 따른 개인정보보호 감리 절차 및 방법을 제시하였다. 본 논문에서 제시한 방법을 프로젝트에 적용한 결과 개인정보 보호를 위한 개선사항이 도출되었음을 확인할 수 있었다.

• 디지털융복합연구
• /
• 제10권8호
• /
• pp.149-157
• /
• 2012

개인정보보호법이 새로 제정이 되어 기업 및 기관에서 이에 대한 준비와 대책 마련이 활발히 전개되고 있다. 개인정보를 취급하는 정보시스템에 대하여 개인정보 침해의 위협을 사전에 예방 및 점검을 수행하는 개인정보영향평가를 K병원의 분석 사례를 통해 연구하였다. 결론적으로 K병원의 개인정보 영향평가 분석을 수행한 결과 평가영역별로는 대상기관관리체계는 79.0, 대상시스템의 보호수준은 97.9, 개인정보처리단계의 결과는 67.4이고 CCTV는 90.0으로 나타났다. 개인정보보호수준이 가장 낮은 항목은 개인정보생명주기관리 항목의 저장 및 보유단계 50.0, 이용 및 제공 64.1 및 파기 단계 66.7로 나타났다. 위험도 분석결과 고위험도 항목은 개인정보처리구역 항목 11.0과 개인정보생명주기 영역의 저장 및 보유단계 항목이12.5, 파기단계 항목이 13.0으로 높은 수치가 나왔다. 종합적으로 보면 고위험도이면서 저보호수준인 항목은 저장 및 보유단계와 파기단계로 파악이 되었다.

• 융합보안논문지
• /
• 제15권4호
• /
• pp.57-63
• /
• 2015

세계적으로, IT 기술의 발전 및 급격한 정보화 사회로의 변화는 정보의 디지털화를 가속시켜 왔으며, 전자상거래 등의 활성화로 여러 유형의 민감 정보가 수집, 보관, 운용되는 경우가 급격히 증가하고 있다. 현재, 공공부문 및 금융뿐만이 아니라 민간부분에서도 다수의 개인정보들을 활용하고 있으며, 정보의 유출로 인한 사고도 나날이 증가하는 추세이다. 이러한 민감 정보에 대한 보안상의 문제점들의 검토와 방지를 위해, 보다 쉬운 평가관리체계 지원도구의 필요성이 제기되고 있다. 본 논문에서는 민간부문에서 효과적으로 적용 가능한, 기업을 위한 개인정보영향평가 관리 시스템인 E-PIAMS (Enterprise- Privacy Impact Assessment Management System)를 제안하고자 한다.

• 정보보호학회논문지
• /
• 제23권1호
• /
• pp.127-142
• /
• 2013

2011년 9월 개인정보보호법의 발효로 공공기관의 개인정보영향평가가 의무화됨에 따라 영향평가 전문인력의 수요가 증가할 것으로 예상된다. 하지만 국내에는 이에 특화된 전문자격이 존재하지 않아 현 시점에서는 불가피하게 유사자격 등의 기준으로 영향평가 전문인력을 인정하고 있는 상황이나, 향후 중장기적으로 볼 때 이는 영향평가 시장의 걸림돌로 작용할 것으로 예상된다. 이에 본 논문에서는 유사자격과 영향평가 자격체계와의 비교를 통해 개인정보영향평가 자격요건에 대한 유사자격의 충족 여부를 분석하여 유사자격 인정의 타당성 여부를 확인한다. 비교 결과 유사자격의 타당성이 낮다고 판단됨에 따라 새로운 전문자격 수립, 유사자격에 추가 시험 또는 교육 운영, 전문자격의 모듈화 운영 등의 자격기준 개선방안을 제시하였으며, 세 가지 개선방안은 개인정보영향평가 시장의 품질 향상에 기여할 것으로 기대한다.

• 정보관리연구
• /
• 제40권1호
• /
• pp.69-86
• /
• 2009

최근 정보통신 분야의 가장 큰 패러다임은 유비쿼터스 컴퓨팅(ubiquitous computing)이다. 이는 유비쿼터스 사회(ubiquitous society)를 실현하는 기반 기술로서 사회, 경제, 문화 등 모든 분야에 긍정적인 영향력을 미치게 될 것이나, 유비쿼터스 사회로의 진입은 개인 프라이버시를 침해할 수 있다는 우려의 목소리도 함께 나타나고 있다. 따라서 이를 보호하기 위한 법적, 기술적 규제 방안의 존재는 향후 RFID 기술 및 산업의 확산에 큰 장애요인이 될 것이며, 문제 해결을 위해 기술적인 방법으로만 접근한다면 기업 측면에서는 막대한 비용과 기술력을 투자해야만 할 것이다. 이에 본 연구에서는 한필구(2006)가 개발한 "RFID 활용단계별 개인정보보호 영향평가(안)"의 8개의 RFID 활용단계, 단계별 과정, 점검사항 그리고 85개의 평가항목들을 RFID 개인정보 영향평가를 측정할 수 있는 지표로 선정하여, 해당전문가를 대상으로 설문조사를 통한 객관적 자료를 활용해 RFID 개인정보 영향평가지수를 개발하고자 한다. 이는 RFID 관련 분야 기업에는 타당성과 신뢰성 있는 자료를 제공할 수 있을 것이며, RFID 개인정보에 관한 정책 수립에도 활용할 수 있을 것이다. 또한 RFID 활용에 있어서 개인정보에 대한 진단 도구로서 하나의 기준 및 유비쿼터스 사회의 기반 구축에 기여할 것으로 기대한다.

• 한국컴퓨터정보학회논문지
• /
• 제29권6호
• /
• pp.61-67
• /
• 2024

본 논문에서는 개인정보 영향평가의 법적 준거성을 확보하고 개인정보 영향평가 시 프라이버시 강화 방안을 제시함으로써 개인정보 유출 사고를 방지할 수 있는 강화 방안을 제시하였다. 최근 빅데이터를 기반으로 한 다양한 서비스들이 생성되면서 EU의 GDPR, 국내는 개인정보 보호법을 중심으로 개인정보보호를 위해 노력하고 있다. 이런 사회 속에서 기업들은 최신기술을 기반으로 한 개인의 맞춤형 서비스를 제공하기 위해 개인정보를 위탁 처리하게 되는데, 이때 수탁사를 통해 개인정보 유출 문제가 심각하게 발생하고 있다. 따라서 수탁사들의 개인정보 사용에 따른 법적 준거성을 확보하면서 체계적으로 개인정보를 관리 할 수 있는 방안에 대해 고찰한다.

• 한국산업정보학회논문지
• /
• 제17권6호
• /
• pp.73-82
• /
• 2012

이 논문은 개인정보를 취급하는 정보시스템에 대하여 개인정보 침해에 대한 위협을 사전에 예방 및 점검을 수행하는 개인정보영향평가를 C쇼핑몰의 분석 사례를 통해 연구하였다. 결론적으로 C쇼핑몰의 개인정보 영향평가 분석을 수행한 결과 평가영역별로는 대상기관관리체계는 29.2, 대상시스템의 보호수준은 68.8, 개인정보처리단계의 결과는 25.5이고 신기술은 60.0으로 나타났다. 개인정보보호수준이 가장 낮은 항목은 대상기관의 개인정보파일관리 16.7, 개인정보생명주기관리 항목의 저장 및 보유단계 12.5, 이용 및 제공 단계 11.5, 파기 단계 16.7로 나타났다. 위험도 분석결과 고위험도 항목은 개인정보생명주기 영역의 저장 및 보유단계 항목이13.3, 파기단계 항목이 13.0으로 높은 수치가 나왔다. 종합적으로 보면 고위험도이면서 저보호수준인 항목은 저장 및 보유단계와 파기단계로 파악이 되었다.

• 정보보호학회논문지
• /
• 제26권4호
• /
• pp.973-983
• /
• 2016

정보시스템에 수집 이용되는 개인정보에 대한 개인정보영향평가가 법적 근거에 의해 시행된 지 2016년으로 6년차가 된다. 이에 ITSM(Information Technology Service Management)의 3대 구성요소를 기준으로 운영상의 문제점을 분석하였다. 다양한 개인정보 처리시스템에 대한 평가자로써의 역할을 수행하면서 product에 해당하는 평가 보고서의 품질 향상 방안에 대해 주된 고민을 하였고, 평가 수행 시 적용하는 보고서의 형식적 타당성을 갖추기 위한 개선안을 평가 단계별 산출물 4종을 기준으로 제시하였다. 다음으로 people에 해당하는 평가수행자에게 요구되는 능력을 GRC(Governance, Risk, Compliance)로 인식하여 개선안을 제시하였고, process인 제도 운영에 관한 개선안도 부가하였다. 2011년 개인정보보호법 제정 시 명시한, 개인정보영향평가 완료 기한인 2016년 이후에도 실효성 있는 평가제도로 정착하기 위해서는 평가자 평가기관과 주관기관이 협력하여 평가제도를 완성해가야 할 것이다.

• 컴퓨터교육학회논문지
• /
• 제15권2호
• /
• pp.75-81
• /
• 2012

인터넷 이용자수의 증가에 비례하여 개인정보의 노출 또는 유출로 인한 개인정보 침해사고가 많아지고 있으며, 침해사고로 인한 정신적 피해와 함께 금전적 피해 등을 입는 경우도 증가하고 있다. 개인정보 노출 및 유출은 담당자 및 내부직원의 실수 또는 고의로 인해 일어나는 경우가 대부분인데, 이는 정보 보호와 관리, 보안에 대한 정책 결정 및 운영 등을 담당하는 최고 책임자인 개인정보관리책임자 (CPO, Chief Privacy Officer)의 개인정보보호에 대한 인식 부족이 주원인이라고 볼 수 있다. 이에 행정안전부는 측정 지표를 제시하고 세부 항목을 열거하여 점수를 매겨서 합산한 점수가 일정 수준에 도달하는지 여부를 체크할 수 있는 체계를 구축하였다. 하지만 이는 사후 평가 성격이 강하기 때문에 시스템 구축 또는 계획에 적용하지 못한다는 한계가 있으며 평가자가 원하는 집계는 물론이고 항목별 다양성의 표현이 필요하다. 본 논문에서는, 각 기업의 정보보안 취약점을 파악하고 보안의 방향을 제시할 수 있는 개인정보 영향평가 툴을 제안한다. 본 툴에서는 평가 결과를 방사형 그래프로 제시하고, 세부 항목은 막대그래프로 표시하여 점수와 함께 보여주기 때문에, 기업입장에서는 취약점 파악과 보안의 방향을 파악할 수 있다.