전사적 문화 정착 통한 개인정보보호 내재화에 주력
[보안뉴스 한세희 기자] 에스알은 수서역을 기점으로 부산, 진주 포항, 광주, 목포 등으로 운행하는 고속철도 노선 SRT를 운영하는 기업이다.
철도산업발전기본법에 의거, 국민의 서비스 선택권 확대와 합리적 경쟁을 통한 철도산업 발전을 위해 2013년 설립됐다. 2016년 12월 경부선과 호남선을 운행하는 새 고속열차 SRT를 개통했으며, 2023년 9월 경전선, 동해선, 전라선에도 운행 노선을 확대했다.
SRT 개통 8주년을 맞은 지난해 12월 누적 이용객 1억7800만명을 돌파하며, 개통 이후 현재까지 무사고 열차 운행을 지속하고 있다.
에스알은 전 국민이 사용하는 국가 주요 기간 교통망 운영 기업으로서 인프라 보호와 고객 개인정보보호 체계 강화를 핵심 책무로 인식하고 실행하고 있다.
이런 노력들은 개인정보보호위훤회 주관 ‘개인정보 보호수준 평가’ S등급 획득이라는 성과로 이어졌다. 이번 평가에서 국토교통부 산하기관 중 가장 우수한 성과를 기록했다.
▲에스알 사옥 전경 [자료: 에스알]
법대로, 그 이상
에스알은 단지 법적 요구사항을 지키는 것을 넘어 실질적으로 개인정보 보호 수준을 높이기 위해 체계적 관리 체계를 구축해 운영하고 있다.
개인정보보호최고책임자(CPO)와 보호 담당자를 지정해 조직 내 개인정보보호 정책 수립과 이행 점검을 총괄하게 하고 있다. 개인정보 취급 부서마다 개인정보취급자를 지정해 일상적인 보호 활동이 현장에서 제대로 작동하도록 지원하고 있다.
또 기관 전반에 걸쳐 개인정보의 수집 단계부터 보유·이용, 제공·파기까지 전 과정에서 법적 요건을 충실히 준수할 수 있도록 개인정보 생애주기 관리 체계를 적용하고 있다. 주요 정보화 사업에 대해서는 자체적으로 개인정보보호 이슈를 검토하고 있다.
내부관리계획 수립 및 자체 점검, 접속기록 정기 점검, 권한 관리, 위·수탁 관리 감독, 영상정보처리기기 관리 등에 대한 법정 보호조치도 꼼꼼하게 이행하고 있다. 전체 직원을 대상으로 온라인 및 집합 교육을 병행하며 개인정보 보호에 대한 전사적 인식 제고에도 노력하고 있다.
실질적인 보호수준 향상과 전사적 보호 문화 정착을 위해 다각적인 노력을 기울이고 있다는 평가다.
특히 에스알은 정보화 사업 기획 초기 단계부터 개인정보 보호 검토 절차를 내재화하고 있다는 점이 눈에 띈다. 주요 정보화사업을 추진할 때 사내 정보보안센터에서 개인정보 처리 흐름을 분석하고 법적 위험 요소를 검토해 초기 단계부터 안전조치가 반영될 수 있도록 지원한다.
개인정보보호 문화 내재화 총력
외부 전문가들로 구성된 개인정보 자문위원회를 공식 운영해 개인정보보호에 대한 보다 신중한 정책적 판단을 가능하게 하고 있기도 하다. 개인정보보호와 관련된 쟁점이 있거나 고도화된 분석이 필요한 경우, 위탁이나 외부 활용 등 민감한 사안이 발생할 경우 기관 내부 판단에 그치지 않고 산업계·학계 전문가로 구성된 자문위원회를 운영해 사안을 사전 검토하고 있다. 이를 통해 개인정보보호 문제에 관한 객관성과 전문성을 동시에 확보하고 있다.
에스알은 국민 대상의 인식 제고 활동도 체계적으로 추진하고 있다. 개인정보보호의 중요성을 국민이 체감할 수 있도록 홈페이지와 수서역 등 SRT 전용역사에 관련 콘텐츠를 게시하는 등 다양한 방식으로 인식제고 활동을 펼치고 있다.
전체 직원 대상 인식 제고 활동 역시 다층적으로 이뤄지고 있다. 연 1회 이상의 필수 교육 외에도 정보보호 점검 결과 위반사항은 경고카드, 우수사례는 칭찬카드 형태로 제작해 전파하고 있다. 또 주요 위반 사례는 X배너로 제작해 현장에 게시해 경각심을 높인다. 매년 개최하는 정보보호 퀴즈대회를 통해 직원들의 자율적 참여와 보호 수칙에 대한 이해 제고 효과를 거두고 있다.
이선표 에스알 정보보안센터장은 “이번 개인정보 보호수준 평가에서 개인정보 보호 정책 수립과 안전조치 이행 등 전반적 항목에서 고르게 높은 점수를 받았다”며 “특히 법적 의무 사항인 개인정보 영향평가 수행과 정보주체 권리보장 절차 확립 등을 철저히 이행하고, 개인정보파일 관리 절차를 강화한 점이 높은 평가를 받았다”고 말했다.
이 센터장은 “단순히 개인정보 보호 관련 법령을 충족하는 데 그치지 않고, 실질적으로 고객 개인정보를 더 잘 보호할 수 있는 방안을 찾는데 주력하고 있다”며 “업무 절차와 조직 구성을 통해 개인정보 보호가 우선적으로 고려되고 실행될 수 있도록 전사적 문화 정착에 노력을 기울이고 있다”고 말했다.
[한세희 기자(boan@boannews.com)]
[보안뉴스 한세희 기자] 에스알은 수서역을 기점으로 부산, 진주 포항, 광주, 목포 등으로 운행하는 고속철도 노선 SRT를 운영하는 기업이다.
철도산업발전기본법에 의거, 국민의 서비스 선택권 확대와 합리적 경쟁을 통한 철도산업 발전을 위해 2013년 설립됐다. 2016년 12월 경부선과 호남선을 운행하는 새 고속열차 SRT를 개통했으며, 2023년 9월 경전선, 동해선, 전라선에도 운행 노선을 확대했다.
SRT 개통 8주년을 맞은 지난해 12월 누적 이용객 1억7800만명을 돌파하며, 개통 이후 현재까지 무사고 열차 운행을 지속하고 있다.
에스알은 전 국민이 사용하는 국가 주요 기간 교통망 운영 기업으로서 인프라 보호와 고객 개인정보보호 체계 강화를 핵심 책무로 인식하고 실행하고 있다.
이런 노력들은 개인정보보호위훤회 주관 ‘개인정보 보호수준 평가’ S등급 획득이라는 성과로 이어졌다. 이번 평가에서 국토교통부 산하기관 중 가장 우수한 성과를 기록했다.
▲에스알 사옥 전경 [자료: 에스알]
법대로, 그 이상
에스알은 단지 법적 요구사항을 지키는 것을 넘어 실질적으로 개인정보 보호 수준을 높이기 위해 체계적 관리 체계를 구축해 운영하고 있다.
개인정보보호최고책임자(CPO)와 보호 담당자를 지정해 조직 내 개인정보보호 정책 수립과 이행 점검을 총괄하게 하고 있다. 개인정보 취급 부서마다 개인정보취급자를 지정해 일상적인 보호 활동이 현장에서 제대로 작동하도록 지원하고 있다.
또 기관 전반에 걸쳐 개인정보의 수집 단계부터 보유·이용, 제공·파기까지 전 과정에서 법적 요건을 충실히 준수할 수 있도록 개인정보 생애주기 관리 체계를 적용하고 있다. 주요 정보화 사업에 대해서는 자체적으로 개인정보보호 이슈를 검토하고 있다.
내부관리계획 수립 및 자체 점검, 접속기록 정기 점검, 권한 관리, 위·수탁 관리 감독, 영상정보처리기기 관리 등에 대한 법정 보호조치도 꼼꼼하게 이행하고 있다. 전체 직원을 대상으로 온라인 및 집합 교육을 병행하며 개인정보 보호에 대한 전사적 인식 제고에도 노력하고 있다.
실질적인 보호수준 향상과 전사적 보호 문화 정착을 위해 다각적인 노력을 기울이고 있다는 평가다.
특히 에스알은 정보화 사업 기획 초기 단계부터 개인정보 보호 검토 절차를 내재화하고 있다는 점이 눈에 띈다. 주요 정보화사업을 추진할 때 사내 정보보안센터에서 개인정보 처리 흐름을 분석하고 법적 위험 요소를 검토해 초기 단계부터 안전조치가 반영될 수 있도록 지원한다.
개인정보보호 문화 내재화 총력
외부 전문가들로 구성된 개인정보 자문위원회를 공식 운영해 개인정보보호에 대한 보다 신중한 정책적 판단을 가능하게 하고 있기도 하다. 개인정보보호와 관련된 쟁점이 있거나 고도화된 분석이 필요한 경우, 위탁이나 외부 활용 등 민감한 사안이 발생할 경우 기관 내부 판단에 그치지 않고 산업계·학계 전문가로 구성된 자문위원회를 운영해 사안을 사전 검토하고 있다. 이를 통해 개인정보보호 문제에 관한 객관성과 전문성을 동시에 확보하고 있다.
에스알은 국민 대상의 인식 제고 활동도 체계적으로 추진하고 있다. 개인정보보호의 중요성을 국민이 체감할 수 있도록 홈페이지와 수서역 등 SRT 전용역사에 관련 콘텐츠를 게시하는 등 다양한 방식으로 인식제고 활동을 펼치고 있다.
전체 직원 대상 인식 제고 활동 역시 다층적으로 이뤄지고 있다. 연 1회 이상의 필수 교육 외에도 정보보호 점검 결과 위반사항은 경고카드, 우수사례는 칭찬카드 형태로 제작해 전파하고 있다. 또 주요 위반 사례는 X배너로 제작해 현장에 게시해 경각심을 높인다. 매년 개최하는 정보보호 퀴즈대회를 통해 직원들의 자율적 참여와 보호 수칙에 대한 이해 제고 효과를 거두고 있다.
이선표 에스알 정보보안센터장은 “이번 개인정보 보호수준 평가에서 개인정보 보호 정책 수립과 안전조치 이행 등 전반적 항목에서 고르게 높은 점수를 받았다”며 “특히 법적 의무 사항인 개인정보 영향평가 수행과 정보주체 권리보장 절차 확립 등을 철저히 이행하고, 개인정보파일 관리 절차를 강화한 점이 높은 평가를 받았다”고 말했다.
이 센터장은 “단순히 개인정보 보호 관련 법령을 충족하는 데 그치지 않고, 실질적으로 고객 개인정보를 더 잘 보호할 수 있는 방안을 찾는데 주력하고 있다”며 “업무 절차와 조직 구성을 통해 개인정보 보호가 우선적으로 고려되고 실행될 수 있도록 전사적 문화 정착에 노력을 기울이고 있다”고 말했다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
