김정덕 교수, “방통위 PIMS 체계 구성 잘 돼 있는 것으로 사료돼”

▲방통위와 KISA가 19일, 개최한 ‘개인정보보호관리체계(PIMS) 인증제 공청회’에서 김정덕 교수가 패널자로 나서 의견을 발표하고 있다. ＠보안뉴스.
[보안뉴스 김정완] 김정덕 중앙대학교 정보시스템학과 교수는 “개인정보를 보유하고 있는 기관·조직의 운영 측면에서 개인정보의 수명주기 전체(수집·이용·보유·제공·파기 등)에 걸친 체계적인 개인정보보호 관리활동은 적절하게 수행되고 있지 않다”며 “일상적인 관리활동의 하나로서 개인정보의 수명주기 전체를 대상으로 개인정보보호를 위한 기획, 구현, 점검, 개선 등 일련의 활동으로 구성된 개인정보보호관리체계(Personal Information Management System; PIMS)를 구축할 필요가 있다”고 말했다.

또한 현재 방통위가 구상하고 있는 PIMS에 대해서 김정덕 교수는 “개인정보 측면에서는 개인정보의 특성 반영과 함께 생명주기 관리를, 관리체계 측면에서는 지속적인 관리와 전사적 보호조치를, 인증 측면에서는 실행 가능한 통제 문서화와 유관 법령 준수를 원칙으로 설정하고 있으므로 체계 구성은 잘 돼 있는 것으로 생각한다”는 의견을 밝혔다.

특히 이날 패널자로 나선 김정덕 교수는 무엇보다 PIMS 인증제도가 국내에서 성공하기 위한 요건으로 네 가지를 들었는데, 다음과 같다.

첫째는 PIMS가 자발적 인증제도이지만 효과적 인센티브 제공이 필요하다는 것이다. 이에 김정덕 교수는 예를 들며 “일본의 ISMS 인증사례를 보면 전세계 인증서 발행의 50%를 상회하는 이유는 정부조달에서 가산점을 부여하는 등 적극적인 인센티브를 제공하고 있기 때문”이라며 “인센티브에 대한 설문조사에 의하면 가장 효과가 높은 인센티브로써 신용평가 시 또는 정부 및 기업조달 시 가산점 제공이었다”고 설명했다.

둘째로는 PIMS와 유사제도인 ISMS와의 상호 인정체계를 구축하는 것을 들었다. 즉 김정덕 교수는 “개인정보에 대한 기술적·물리적 보호조치는 ISMS에서의 통제영역과 상당부분 중복되고 있다”며 “중복된 통제에 대해서는 동일한 기준을 적용해야 할 것이며, 인증결과에 대한 상호인정을 통해 인증신청기관의 부담을 덜 필요가 있다”는 것.

셋째로는 개인정보를 다수 보유하고 있는 중소규모 업체에 대한 컨설팅 비용 부담 또는 교육 제공 등 정책적 지원이 필요하다는 것이다. 이에 김정덕 교수는 “인적 자원이 희소하고 경영마인드가 부족한 중소규모의 업체로써는 개인정보보호관리체계 수립이 현실적으로 매우 어려운 상황에 있다고 볼 수 있다”며 “인증취득을 원하는 중소규모의 조직에 대해서는 경제적 지원을 통해 개인정보보호의 취약지대를 최소화할 필요가 있다”고 말했다.

그리고 김정덕 교수는 마지막으로 “PIMS 제도에 대한 교육 및 홍보를 통해 PIMS에 대한 올바른 인식을 가지도록 할 필요가 있으며 조속한 제도 정착을 도모해야 할 것”이라고 강조했다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>