개인정보보호 관리등급제 도입 연구
A Study on the adoption of the Personal Information Security Management Level(PIML)
노종천(협성대학교)
36권, 145~175쪽
초록
「개인정보보호법」 제2조 제1호에 의하면, 개인정보란 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보와 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”를 말한다. 이러한 개인정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 정보주체라고 하며(동법 제2조 제3호), “업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등”을 개인정보처리자라고 한다(동법 제2조 제5호). 개인정보처리자가 개인정보를 수집하여 처리하는 경우 개인정보법상의 개인정보보호 원칙을 준수할 의무를 부담한다. 그런데 개인정보처리자의 개인정보 보호를 위한 물적 설비, 인적설비의 품질, 자질, 능력, 의지 등의 차이로 인하여 개인정보보호의 정도에 차이가 생긴다. 개인정보는 집적성, 통합성, 경제적 가치, 통유성 등의 성질에 의하여 그 침해가능성이 크게 되며, 그 침해로 인한 사회적, 경제적 파장 또한 크다. 일반적인 정보보호를 위한 제도로 정보보호 관리체계 인증제도와 정보보호 관리등급제 등이 도입되어 있다. 반면에 개인정보보호 관리체계에 대한 평가제도는 미비상태였다가 최근에 이르러 개인정보관리체계인증제도가 도입되었을 뿐이다. 개인정보의 집적성에 의한 침해위험성의 증가, 개인정보 침해에 대한 사회적 파장의 크기, 개인정보 침해에 대한 구제의 미흡, 개인정보보호에 대한 사회적 합의의 성숙 등을 종합하여 개인정보 보호를 위한 평가제도 단계를 최고단계수준으로 하는 개인정보보호관리등급제의 도입이 요구된다. 이 연구는 개인정보관리등급제의 도입필요성을 제시하고, 동 제도 도입시 평가기준에 대하여 설계하고, 동 제도 도입을 위한 사전프레임을 구축하였다. 개인정보보호관리등급제 도입을 위한 기초자료로 활용할 수 있을 것으로 기대한다. 국가과학기술표준분류 : SA0713. 소비자보호법
Abstract
According to the 「Personal Information Protection Act(PIPA)」 Article 2 (1). The term Personal information means “information that pertains to a living person, including the full name, resident registration number, images, etc., by which the individual in question can be identified, and including information by which the individual in question cannot be identified but can be identified through simple combination with other information”. “Subject of information” means a person who can be identified by the managed information and therefore is the subject of the given piece of information(PIPA art. 2(3)). “Personal information manager” means a public institution, corporate body, organization, individual, etc. who manages personal information directly or via another person to administer personal information files as part of his/her duties(PIPA art. 2(5)). When processing personal information manager to collect personal information, He shall be obligated to comply with the privacy principles of the PIPA. But there will be differences in the degree of Personal information protection due to the difference in the quality of human and material equipment, Qualities, Ability, Will etc. for Personal information protection. Personal information, becomes larger the potential infringement by the nature of the Integration, economic value, and commonality, is larger than the wavelength of the social, economic. The system for the general information protection introduced into certification system of the Information Security Management System(ISMS) Certification system and Information Security Management Level(ISML). On the other hand, The Evaluation system on the Personal Information Management System is not existed. The certification system of the Personal Information Management System introduce into resently only. When taking into consideration that the increase the risk of infringement by the integrity of the personal information, Size of the social wave and Lack of relief to the Infringement of the personal information, Maturation of social consensus for the personal information protection etc., requires the introduction of the Personal Information Security Management Level(PIML) by the highest level for personal information protection. This study presents a need for PIML the introduction, design criteria for the evaluation and establish a pre-frame for the introduction of the system. Therefore, I expect to utilize as the basis for the introduction of the PIML system.
- 발행기관:
- 법학연구소
- 분류:
- 법해석학