순천향대학교(서교일 총장)가 최근 뉴질랜드 해밀턴에서 열린 ‘제23차 ISO/IEC JTC 1/SC 27/WG 5(4.18~4.22)’ 회의에서 “개인정보영향평가 가이드라인”이 ‘ISO/IEC 29134’로 최종 채택되는 성과를 거두었다고 밝혔다.

‘ISO/IEC JTC 1/SC 27/WG 5’는 정보보안 기술 중 신원관리 및 프라이버시 기술에 대한 국제표준을 개발하는 그룹으로 우리나라의 경우 미래창조과학부 국립전파연구원에서 운영 중인 정보보안전문위원회를 통해 표준화 활동을 수행해 왔다.

이 국제표준은 2012년 4월 WG5 회의에서 신규워크아이템 제안으로 채택되었고, 순천향대 염흥열 교수가 이 국제 표준의 코에디터를 맡아 활동했다. 2016년 10월 아부다비 회의에서 FDIS로 합의되었고, 8주간의 FDIS 투표 후에 4월 17일 최종 국제표준으로 채택되었다.

특이한 것으로는 일반 기업, 정부 기관, 공공 기관 등 모든 기업에 적용 가능하다는 점이다. 개인정보영향평가는 일반적으로 개인정보 처리 원칙을 따르는 기업이나 기관에 의해 수행된다.

개인정보처리자는 개인정보영향평가를 수행하거나 위탁 업체에 대해 이를 수행하도록 요구할 수 있다. 일부 국가에서는 법적 및 규제 요구 사항을 충족시키기 위해 개인정보보호 영향평가가 의무화 되어 있는 실정이다.

국제 표준은 정보시스템 구축 또는 정보시스템이 중대한 변경이 있을 경우 개인정보 침해 위험을 살펴보고 보호대책을 제시하기 위한 일련의 과정으로 구성되며, 이를 공개하기 위한 영향평가 보고서가 갖추어지게 된다.

개인정보영향평가를 위한 준비과정, 수행과정, 그리고 사후 과정으로 각 단계별 세부 가이드라인을 제시하게 된다. 이에 대한 개인정보영향평가 보고서는 범위, 위험 평가, 위험 처리 및 계획, 결론으로 구성된다.

염흥열 순천향대 교수는 “우리나라 개인정보보호법에서 공공 기관은 개인정보영향평가가 의무화되어 있고, 유럽연합 일반개인정보보호법에서도 모든 개인정보처리자에게 개인정보영향평가를 의무화했다”며 “국내 영향평가기관에 의해서 시행되고 있는 개인정보영향평가 인증기준도 이번 국제표준을 반영해 개선될 필요가 있다”고 강조했다.

염 교수는 “지난 5년 동안 10번의 국가 기고가 제출되어 국내 기준이 반영된 쾌거이다”라고 말했다.

한편, 순천향대는 ‘국제 정보보안 표준화’에 대한 계획중의 하나로, 국내 기업의 개인정보 보호 수준을 개선하기 위한 활동과 향후 정보보안 국제 표준화 선도 대학으로 역할을 강화해 나간다는 방침이다.