염흥열 교수 주도적 역할 수행
아산 순천향대학교(총장 서교일)가 최근 뉴질랜드 해밀턴에서 열린 ‘제23차 ISO/IEC JTC 1/SC 27/WG 5(4월 18~22일)’ 회의에서 개인정보영향평가 가이드라인이 ‘ISO/IEC 29134’로 최종 채택되는 성과를 거뒀다.
‘ISO/IEC JTC 1/SC 27/WG 5’는 정보보안 기술 중 신원관리 및 프라이버시 기술에 대한 국제표준을 개발하는 그룹으로 국내 미래창조과학부 국립전파연구원에서 운영중인 정보보안전문위원회를 통해 표준화 활동을 수행해왔다.
이 국제표준은 2012년 4월 WG5 회의에서 신규워크아이템 제안으로 채택됐고, 순천향대 염흥열 교수가 이 국제 표준의 코에디터를 맡아 활동했다. 2016년 10월 아부다비 회의에서 FDIS로 합의됐고, 8주간의 FDIS 투표후 지난달 17일 최종 국제표준으로 채택됐다.
특이한 것은 일반 기업, 정부 기관, 공공 기관 등 모든 기업에 적용 가능하다는 점이다. 개인정보영향평가는 일반적으로 개인정보 처리 원칙을 따르는 기업이나 기관에 의해 수행된다.
개인정보처리자는 개인정보영향평가를 수행하거나 위탁 업체에 대해 이를 수행하도록 요구할 수 있다. 일부 국가는 법적 및 규제 요구 사항을 충족시키기 위해 개인정보보호 영향평가가 의무화 돼 있는 실정이다.
국제 표준은 정보시스템 구축 또는 정보시스템이 중대한 변경이 있을 경우 개인정보 침해 위험을 살펴보고 보호대책을 제시하기 위한 일련의 과정으로 구성되며 이를 공개하기 위한 영향평가 보고서가 갖춰지게 된다. 개인정보영향평가를 위한 준비과정, 수행과정, 그리고 사후 과정으로 각 단계별 세부 가이드라인을 제시하게 된다. 이에 대한 개인정보영향평가 보고서는 범위, 위험 평가, 위험 처리 및 계획, 결론으로 구성된다.