개인정보보호 강화를 위한 개인정보 관리역량 성숙도 모델 및 평가지표 개발

Abstract

본 연구는 개인정보 취급자가 스스로 개인정보 관리역량성숙도를 측정 함에 있어 더욱 객관적으로 관리역량 수준을 확인하고 그 결과에 따라 개인정보 관리 현상에 대한 개선 또는 관리를 할 수 있는 평가지표를 개발하는 데 그 목적이 있다. 본 연구의 목적을 달성하기 위하여 선행연구 및 문헌을 고찰하여 연구에 필요한 개념을 설계하였다. 이를 토대로 현행 개인정보보호 및 정보보안 성숙도 모델의 문제점을 파악하였다. 기존의 ISMS-P, PIA, 공공기관 개인정보 관리 수준 진단, ISO27702 모델에서 75개 평가지표를 선정하였고, 개인정보 취급자의 역량과 윤리의식 측정을 위한 14개 항목을 신규 제안하여 총 89개의 평가지표를 도출하였다. 전문가패널을 대상으로 2차례에 걸쳐 델파이 조사하였고, 평가지표 간 상대적 중요도를 파악하기 위해 AHP 조사기법을 통해 가중치를 평가하였다. 그 결과 최종 평가지표는 5개의 상위개념, 17개의 하위개념, 89개의 세부 지표로 확정되었다. 평가지표를 측정할 성숙도 모델은 기존의 업무 연속성 성숙도 모델(BCMM)을 기반으로 하여 7단계(Very High, High, Very Medium, Medium, Low, Very Low, None)의 성숙도 수준으로 된 개인정보 관리역량 성숙도 모델(PCM2 : Privacy Competency Maturity Model)을 제안하였다. 본 연구에서 개발한 개인정보 관리역량 성숙도 모델과 평가지표에 대한 사용자의 신뢰도 검증 결과, Cronbach's α 값이 0.9 이상으로 매우 높은 것으로 분석되었다. 또한, 공공과 민간기관 종사자를 대상으로 개인정보 관리역량 자가 진단 테스트 결과, 공공이 민간보다 개인정보 관리역량 수준이 높은 것으로 나타났다. 기존 성숙도 측정모델인 PIA, CMMI와 제안한 성숙도 측정모델인 PCM2를 비교 분석한 결과, PIA와 CMMI는 개인정보처리자 평가에 적합하고, PCM2는 개인정보 취급자 평가에 적합한 것으로 나타났다.

지금까지의 개인정보보호 관련 역량 모델 평가에 관한 연구를 보면 정보보호 위주의 연구가 대부분이다. 기관 내에서 강력한 보호 대책 및 기준에도 불구하고 내부자에 의한 개인정보 침해사고가 꾸준히 발생하는 원인은 통제하는 주체와 통제받는 주체가 인간이다. 이러한 인간의 특성을 고려하여 개인정보 취급자의 관리역량과 윤리의식을 평가하기에는 기존의 성숙도 모델로는 한계점이 있다. 이 들의 평가 모델은 개인정보처리자인 기관의 개인정보보호 관리체계와 자산을 평가하기에는 적합하지만, 개인정보 취급자를 식별하고 평가하기에는 한계가 있다. 그렇기에 본 연구에서는 개인정보 취급자를 관점으로 기존의 모델을 한 단계 개선하고 인간의 내면을 고려한 개인의 관리역량과 윤리의식을 높일 수 있는 지표를 신규로 개발하여 개인정보 관리역량 성숙도 모델 및 평가지표를 개발하였다는데 큰 의의가 있다. 개발된 모델은 개인정보처리자가 아닌 개인정보 취급자를 평가 대상으로 한다는 점, 개인정보 관리역량성숙도 평가에 유용한 정보를 제공한다는 점, 그리고 평가의 실제적인 활용성을 위해서 개발하였다고 할 수 있다. 본 연구를 통해서 개발된 평가지표를 활용하여 개인정보 취급자가 스스로 업무를 수행하는데 세부적인 관리지침으로 활용할 수 있도록 하였으며, 개인정보 관리역량 수준을 진단하여 이를 기반으로 객관적이고 신뢰할 수 있는 개인정보보호 관리가 이루어질 수 있도록 할 뿐만 아니라 더욱 체계화된 개인정보 관리체계 정립에 기여될 것으로 기대한다.|The purpose of this study is to develop an evaluation index that allows personal information handlers to more objectively check the level of management capability and improve or manage personal information management according to the results. In order to achieve the purpose of this study, the concepts necessary for research were designed by examining previous studies and literature. Based on this, the problems of the current personal information protection and information security maturity model were identified. A total of 89 evaluation indicators were derived by selecting 75 evaluation indicators from the existing ISMS-P, PIA, public institution personal information management level diagnosis, and ISO27702 model, and 14 new items for measuring personal information handler's competence and ethics. Delphi surveys were conducted twice on expert panels, and weights were evaluated through the AHP survey technique to understand the relative importance between evaluation indicators. As a result, the final evaluation index was confirmed as 5 higher concepts, 17 lower concepts, and 89 detailed indicators. The maturity model to measure the evaluation index proposed a Privacy Competency Maturity Model (PCM2) based on the existing Business Continuity Maturity Model (BCMM) with seven levels of maturity (Very High, High, Very Medium, Medium, Very Low, None). As a result of verifying the user's reliability of the personal information management competency maturity model and evaluation index developed in this study, it was analyzed that the Cronbach's α value was very high at 0.9 or more. In addition, as a result of the self-diagnosis test of personal information management capabilities for workers in public and private institutions, it was found that the public had a higher level of personal information management capabilities than the private sector. As a result of comparing and analyzing the existing maturity measurement models PIA and CMMI with the proposed maturity measurement model PCM2, PIA and CMMI are suitable for personal information controller evaluation, and PCM2 is suitable for personal information handler evaluation. Most of the studies on the evaluation of competency models related to personal information protection so far have focused on information protection. Despite strong protection measures and standards within the institution, human beings are the controlling and controlled entities that constantly cause personal information infringement accidents by insiders. In consideration of these human characteristics, there are limitations in the existing maturity model to evaluate the management capabilities and ethical consciousness of personal information handlers. Their evaluation model is suitable for evaluating the personal information protection management system and assets of institutions that are personal information processors, but there is a limit to identifying and evaluating personal information handlers. Therefore, this study is significant in that it developed a new indicator that can improve the existing model from the perspective of personal information handlers and increase individual management capabilities and ethical awareness considering the human inner side. The developed model was developed for the evaluation of personal information handlers, not personal information processors, providing useful information for the evaluation of personal information management competency maturity, and practical use of the evaluation. Using the evaluation index developed in this study, it is expected that personal information handlers can be applied as detailed management guidelines for performing their own tasks, and that personal information management capabilities can be evaluated to achieve objective and reliable personal information protection management.