20.09.03 ( 가명정보 처리 가이드라인 등장, 프라이버시의 시대, 개인정보보호 우수사례 - 한국석유관리원 )

1. 불안했던 가명정보 처리, 개인정보보호위원회 가이드라인 제공

 

개인정보보호법이 개정됨에 따라 가명정보를 안전하게 처리할 수 있도록 가이드라인이 나왔습니다! 가명정보는 식별정도인 성명, 전화번호, 자동차 등록번호 등을 삭제 및 대체하는 방법으로 식별하기 어렵게 만든 개인정보를 말합니다 :D

데이터3법으로 인해 가명정보를 동의없이 사용할 수 있게 되어 모든 사람들의 불안과 개인정보를 보호해야하는 보안 담당자들의 고충을 조금이나마 해소할 수 있는 가이드라인이라고 볼 수 있겠네요!

이번 가이드라인은 가명정보의 안전한 활용여건을 마련하기 위해 개인정보처리자가 참고할 수 있는 기준을 제시하였다고합니다. 

가이드라인을 보면 개인정보처리자는 개인정보 처리의 기본 원칙을 준수하는 범위 안에서 가명처리를 진행해야 합니다. 목적과 처리 환경에 따라 가명처리 방법을 자체 판단할 수도 있다고합니다!

가명처리는 개인을 식별할 수 없게 하기 위한 것이므로 식별 가능성이 높은 요소들은 삭제, 복원할 수 없도록 처리해야하며 나머지 정보는 목적 달성을 위해 적절한 가명처리 방법을 선택하여 할 수 있습니다. 특히, 보안수준이 낮은 곳을 감안하여 식별 가능성을 완전히 낮춰 익명정보에 가깝게 처리하도록 하며 처리한 후 재식별 가능성이 없는지를 확인하도록 했다고 합니다.ㅇㅅㅇb

 

이러한 과정을 아래의 사진을 통해 보실 수 있습니다 :D

가명처리 4단계

개인정보보호위원회는 이런 '가명정보 처리 가이드라인'에 이어서 '가명정보의 결합·반출'도 마련할 계획이라고 합니다. 결합·반출은 서로 다른 개인정보처리자 간 가명정보를 결합할 수 있는 방법과 절차를 제시한 것이라고 합니다.

 

이렇게 가이드라인을 통해 보안 담당자분들의 고충이 한결 해소되지 않을까 싶네요! 보고서는 아래의 링크에서 다운받으실 수 있습니다↓

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=6788

개인정보보호위원회

 

 

2. GDPR과 CCPA, 프라이버시의 시대가 열렸다!

 

2018년 5월에 유럽의 개인정보보호법인 GDPR이 새롭게 시행되었었죠! 시행된 후 많은 기업들이 벌금형에 처했으며, 구글의 5천만 유로, 매리어트 그룹의 9900만 유로 등 인상 깊은 업적을 남긴 법률입니다 :D

그리고 올해 7월부터 시행되기 시작한 미국의 캘리포니아 소비자프라이버시보호법(CCPA)가 있습니다. 시행된지 얼마 되지 않았기 때문에 효력과 형벌에 대한 구체적인 사항은 잘 모르지만 GDPR의 영향을 받게된다면 어마무시한 법이 되지않을까 싶습니다. 또한 GDPR과 마찬가지로 강렬한 인상을 남기기 위해 처음부터 강하게 들어가지 않을까 싶다고 합니다!

하지만 프라이버시를 지키는 것은 쉬운일이 아니라고 합니다. 이러한 부분에서도 고급 인력이 필요하며, 대부분의 기업이 데이터 프라이버시에 대해 투자 규모를 늘려야 한다는 조사결과가 나오기도 했습니다.

이러한 프라이버시에 관한 규정이 없는 것은 아닙니다. 많은 보안전문가들이 익히 알고있는 ISO 27001과 ISO 27701, 그리고 개인정보보호 관리체계(PIMS)가 있죠! 이러한 것에 데이터 제어자(수집자)는 프라이버시 보호 관련 능력과 시스템 능력을 인정받아야 하며, 처리를 적절하게 제한하고 있다는 것을 증명받아야 한다고 합니다 :D

 

GDPR과 CCPA를 통해 프라이버시가 정말 중요한 하나의 요소가 되었다고 생각하네요! 이제는 많은 사람들이 자신의 개인정보와 프라이버시를 중요하게 생각하기 때문에 ISO 27701 또는 ISO 27001을 인증받는다면 신뢰받는 기업으로 긍정적인 효과를 불러 올 수 있을거라 생각합니다 :D

 

3. 개인정보보호 우수사례, 한국석유관리원! 개인정보보호 문화의 정착이 우선이다!

 

개인정보보호 우수사례로 한국석유관리원이 등장했습니다!! 그럼 어떻게 진행되는지 알아보도록 합시다!

---

솔루션부터 직원 교육까지 철저하게 추진!

 

최근 고도화되는 공격 기술과 개인정보를 활용한 서비스 증대로 인해 관리가 복잡해지고 있습니다. 이에 대해 관리원은 개인정보 생명주기별 관리체계를 철저한 관리를 위해 모니터링을 실시했다고합니다.

한국석유관리원의 개인정보 생명주기별 관리체계, 출처:한국석유관리원

그리고 외부 전문기관을 통해 취약점 개선, 2차 인증, 접근 통제, 등 보안 솔루션을 도입하고 기술적으로 보안을 강화했다고 합니다. 또한 내부 임직원의 정보보호 교육을 연간 12회 진행하며 홍보, 개인정보 유출 모의훈련 연간 2회를 실시하며 개인정보보호 문화 확산에 노력을 가했다고 하네요 :D

개인정보보호 문화의 확산을 가하기 위해 관리체계, 기술적 보안, 교육홍보 활동 등 정책적인 대응방안이 필요하다고 판단했으며, 개인정보보호 활동 실적을 부서 성과 평가에 반영해 강제성을 부여하고 우수 부서에 포상을 실시하는 등 실용성 있는 정책을 실시했다고 합니다!

또한 보안 솔루션은 필수 사항으로 생각하여 개인정보처리시스템에 대해 방화벽, 네트워크 접근제어(NAC), DB 접근제어 등 여러 접근통제 시스템을 도입해 인가되지 않은 사용자에 대해 접근을 차단하고 VPN, SSL, DB암호화 솔루션 등 개인정보 유출방지 솔루션을 구축해 개인정보가 암호화되어 안전하게 저장 및 전송되도록 관리하고 있다고 합니다 :D

그리고 연간계획에 따라 교육대상별로 체계적으로 차별화된 교육을 진행하고 한다고합니다!

 

보안절차를 철저히 준수!

 

공공기관은 특성상 인사이동이 잦기 때문에 개인정보보호 업무 공백이 발생하며 관리가 어려운게 사실이라고합니다. 이러한 어려움 때문에 더더욱 각별히 관리를 했다고합니다! 주기적으로 업무 PC에 대한 전수 점검을 실시하며 꾸준한 모니터링으로 불필요하거나 암호화되지 않은 개인정보들을 처리했다고 하네요 :D

그리고 개인정보 현황을 파악하고, 생성에서 파기까지 해당 개인정보의 라이프사이클을 관리, 개선해 나가는 것! 즉, 개인정보보호의 기본을 충실히 임하였다고 합니다.

---

이렇게 개인정보보호를 우수하게 관리하고 있는 사례를 살펴보았는데, 보안 문화를 정착하기 위한 효율적인 우수한 정책과 개인정보보호의 기본에 충실했다는 것이 인상적이게 다가오네요 :D

 

 

출처

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29508&key=&dir_group_dist=&dir_code=&searchDate=

가명정보 처리 어떻게?…가이드라인 나왔다

https://www.boannews.com/media/view.asp?idx=90901

GDPR과 CCPA로 열린 프라이버시의 시대, 어디서부터 준비할까

https://www.boannews.com/media/view.asp?idx=90864&page=1&kind=2

[개인정보보호 우수사례-한국석유관리원] 개인정보보호 문화의 정착이 우선이다