Ⅰ. 서론
최근 정보화의 급속한 발전과 함께 다양하고 첨단화된 서비스를 제공하기 위해 개인정보에 대한 의존도 및 활용도가 높아지고 있다. 특히 오늘날 개인정보는 사회 모든 분야에서 없어선 안 되는 필수재 역할을 하고 있고. 이러한 이유로 개인정보보호는 단순히 개인의 권익에 관한 문제로 국한되지 않고, 기업의 사활을 좌지우지하는 비즈니스 이슈로 대두되고 있다.
국내에서는 2010년 한국인터넷진흥원의 개인정보보호관리체계 인증제도가 수립 운영 중에 있으며 일반법 성격의 개인정보보호법도 2011년 제정되었다. 하지만 단순히 법.제도적 차원의 방안만 마련되었을 뿐공공기관 및 민간조직에서는 아직도 개인정보보호가적절히 구현되고 있다고 보기 어렵다. 최근 행정안전부에서 수행한 개인정보보호 실태조사에 의하면, 개인정보보호 조직이 구성된 경우는 전체 사업체 중 4% 미만이며, 50인 이상 사업체인 경우, 26% 정도가 구성하고 있다. 또한 개인정보책임자(CPO)를 지정한사업체가 전체 사업자의 31% 수준이나 이 역시 겸직하는 경우가 대부분인 것으로 나타났다. 이러한 통계치는 개인정보보호를 위한 지시 및 통제를 수행할 수있는 거버넌스 체계가 수립되어 있지 않다는 사실을분명히 보여주고 있다. Ⅲ.
개인정보보호를 위한 적절한 자원할당과 협업체계 등이 미흡하게 되어 관리체계의 지속적 개선을 통한 개인정보보호 수준제고를 기대하기 어렵다.
개인정보보호를 위한 최고경영층의 역할과 책임을강조하는 거버넌스 체계가 구축되어야 개인정보보호를 전사적 차원에서 비즈니스 이슈로 인식하고 접근할수 있을 것이다. 개인정보는 정보시스템 부서 뿐만 아니라 개인정보를 활용하는 마케팅 부서, 영업 부서, 고객관리 부서 등에서 취급되고 있기 때문에 비즈니스업무와 매우 밀접하게 연계되어 있으며 따라서 관련부서간의 협력 및 조정이 중요한 이슈로 인식되고 있다. 따라서 전사적이며 비즈니스 적 측면에서 접근하기 위해서는 최고경영층의 참여와 리더십이 중요하며이는 개인정보보호에 대한 의사결정구조와 통제를 포함하는 거버넌스 체계를 구현해야 한다. (2) .
따라서 본 논문에서는 관련 연구를 바탕으로 개인정보보호 거버넌스를 효과적으로 구현하는데 핵심적인 성공요인을 도출하였다. 본 논문의 구성은 다음과같다. 2장에서는 IT 거버넌스의 출현배경 및 특성과개인정보보호의 특성에 대한 비교분석을 통해 개인정보보호 거버넌스 핵심성공요인을 도출하는데 기초 자료로 사용하였다. 3장에서는 IT 거버넌스 성공요인을기반으로 개인정보보호 특성을 반영한 개인정보보호거버넌스 성공요인을 도출하였다. 4장에서는 포커스그룹을 대상으로 설문조사를 통해 최종적인 개인정보보호 거버넌스 핵심성공요인을 도출하였다’ 5장에서는 본 논문의 한계와 향후 연구과제를 제시하였다.
Ⅱ. 관련연구
관련 연구에서는 크게 IT 거버넌스와 개인정보보호 거버넌스로 나누었다. 2.1 에서는 IT 거버넌스의 출현 배경 및 특성에 대해 간략히 살펴보았고, 2.2 에서는 개인정보보호 거버넌스의 특성을 주로 살펴보았다. 이는 본 논문에서 제시하는 개인정보보호 거버넌스의 효과적인 구현을 위한 핵심성공요인을 도출하는데 있어 기초 자료로서 사용되었다.
2.1 IT 거버넌스
최근 기업의 비즈니스와 연계할 수 있는 체계적인 IT 관리의 필요성이 크게 부각되고 있고, 이를 위한 다양한 IT 관리 개념 및 기법들이 등장하고 있다. 여기에는 IT서비스 관리 (ITSM), IT 자산관리 (ITAM). 엔터프라이즈 아키텍처(EA) . IT아키텍처 (ITA), IT 포트폴리오관리, IT ROI 등이 있고, 이를 망라하여 IT 거버넌스 역시 새로운 화두로 급격히 부상하고 있다(3).
IT 거버넌스의 출현 배경을 살펴보면 첫째, 조직목표에 대한 의사 결정과 목표 달성 현황에 대한 성과를 모니터링 하는 기업 거버넌스(Corporate Go~ vernance)의 중요성이 점증하고 있다는 점이다. 1990년대 이래 전 세계적으로 기업 거버넌스에 대한관심이 높아졌고, 많은 선진 국가들은 기업 거버넌스에 관련된 법규를 제정하기에 이르렀다. 이러한 변화에 따라 국제 표준을 관장하고 있는 ISO(Inter- national Standard Organization)에서는 IT 거버넌스 표준인 ISO 38500의 공식 명칭을 "Cor porate Governance of Information Tech- nology”로 명명하였다(3).
둘째. IT 거버넌스가 화두가 된 원인은 IT에 대한가치나 비즈니스에 대한 IT의 역할과 범위의 확대에있다. 따라서 it는 기업의 생산성 및 경쟁력 향상을위한 필수 요소로 자리 잡았으며, 기업의 전체 투자액중 IT가 차지하는 비율이 높아 졌고, 이에 따라 IT의효율적인 관리에 보다 많은 관심이 집중되고 있기 때문이다. 세부적으로 살펴보면 IT는 기업의 목표를 가능케 하고 지원하는 중요한 요소인 만큼 비즈니스와 IT와의 연계 필요성이 증대되고 있다. 또한 중복 투자방지 및 ROI 산출. 체계적인 외부 규제 대응, IT 자산의 효과적인 관리와 통제, IT 투자에 대한 투명성확보 등이 IT 거버넌스의 부각을 촉진하고 있다(3). 셋째, IT 거버넌스에 대한 경영진의 인식변화이다. 경영진은 이전 언급한 IT의 비중과 역할의 확대 및 이에 따른 투자 확대로 인해 IT관리가 기업의 재무 효과및 기업의 위상에 막대한 파급효과를 초래함을 인식하였다. 경영진은 과거 IT를 단순 기술적 차원의 지원으로 인식하였으나 현재는 IT를 경영 비즈니스 관점에서바라보게 되었고, IT투자 및 자원 관리를 전사적 관점에서 통제하고, 최적화 하는데 초점을 맞추고 있다(3). 따라서 국제 표준화 기구인 ISO 에서는 IT 거버넌스를 '조직의 이사회 및 최고 경영층이 IT가 효율적이고, 효과적이며, 책임성 있게 활용될 수 있도록 평가(Evaluate), 지시(Direct), 감시(Monitor)흐}는체계'라고 정의하고 있다. 즉, 평가는 정보보호 활동의효율성과 효과성을 평가하는 것이고. 지시는 전반적인정보보호 활동에 대한 지시를, 감시는 정보보호 활동의 성과에 대한 지속적인 모니터링을 의미한다(4).
2.2 개인정보보호 거버넌스
개인정보보호 거버넌스는 정보보호 거버넌스와 매우 유사하다 할 수 있다. 따라서 본 논문에서도 Basie von Solms(2006)의 정보보호 거번너스의 4 가지 패러다임 변화를 통한 정보보호 거버넌스 발달과정에서 많은 시사점을 얻고, 다음과 같은 정의를 제시하고자 한다. 개인정보보호 거버넌스란 “기업의 비즈니스에 존재하는 개인정보와 관련된 위험을 평가 및 관리하고. 고객의 자기정보 결정권을 보장하기 위한 이사회와 최고 경영진의 역할과 책임을 명시하고 이를 바탕으로 조직 내에 개인정보보호 문화 형성을 도모하기 위한 조직, 프로세스, 메커니즘으로 구성되어 있는 것이다⑸"
다음으로 이러한 개인정보보호 거버넌스의 특성을 살펴보면 다음과 같이 크게 네 가지가 있다.
첫째, 개인정보보호는 전사적 차원에서 접근해야한다. 개인정보는 마케팅 부서, 고객지원 부서 등 많은현업부서에서 직접적으로 다루어지고 있다. 따라서 단순히 정보처리 부서 차원에서의 관리가 아닌 전사적차원에서의 관리가 필요하다.
둘째, 개인정보보호는 이해관계자가 많다. 일반적인 정보보호의 관리 및 책임 주체가 내부의 이해관계자인 반면 개인정보보호는 내부뿐만 아니라 조직 외부의 고객이라는 또 다른 권리 주체를 상대한다. 따라서개인정보보호는 전통적인 정보보호의 범위 보다 폭넓은 영역을 다루어야 한다.
셋째 , 개인정보보호는 자기정보 결정권을 보장해야한다. 개인정보보호의 권리 주체는 고객에게 있다. 따라서 고객은 자신의 개인정보 처리과정 에 참여하여 수정, 변경, 삭제 등을 요구할 권리가 있다.
넷째 개인정보보호는 준거성을 보장하여야 한다. 개인정보는 유출되는 즉시 그 파급효과가 매우 크다고 할 수 있다. 따라서 개인정보보호를 위해 관련 법.규정 들을 잘 준수하고 있다는 것을 보장해 주어야 한다. 이밖에도 개인정보의 오남용을 방지하고, 필요 시공개하여야 하는 특성 등이 있다. ⑹ .
Ⅲ. 개인정보보호 거버넌스 성공요인
개인정보보호 거버넌스 성공요인 도출에서는 기존연구에서 도출된 IT 거버넌스의 핵심성공요인을 바탕으로 하여 IT 거버넌스와 개인정보보호 거버넌스의공통되는 영역과, 개인정보보호 거버넌스의 특성이 포함된 영역에 초점을 맞추어 효과적인 개인정보보호 거버넌스 구현을 위한 10가지 성공요인을 도출하였다.
3.1 IT 거버넌스 성공요인
IT 거버넌스 성공요인
다음〔표 1〕의 성공요인은 Luftman 등의 사전연구에서 제시하는 조직구조(structure), 프로세스 (process), 메커니즘(mechanisms)관점의 프레임워크에 의해 IT 거버넌스의 성공요인을 도출한 것이다(1)
〔표 1) IT 거버넌스 성공요인
다음으로〔표 1〕의 성공요인 중 효과적인 IT 거버넌스를 구현하기 위한 핵심성공요인을 도출하기 위해 벨기에의 100 ~ 1000명 사이의 직원을 둔 금융 서비스 조직의 직원 중 조직의 운영에 정통한 시니어 비즈니스/IT 전문가와 컨설턴트를 포함하여 총 29명이 참여하였고, 이들 중 22명은 전 과정에 참여하였다. 총 3라운드에 걸친 델파이 기법을 통해 조사를 실시하였는데, 첫 번째로 사전 연구들을 통해 정의된 성공 요인 리스트에서 추가되거나 변경 또는 삭제될 것이 있는지를 조사하였고, 두 번째 라운드에서는 검토된 성공 요인 리스트에 대해 효과적인지, 구현이 용이한지에 대해 각각 5점 척도를 이용하여 조사하였다. 마지막 라운드에서는 앞선 두 번의 라운드에서의 결과 값을 재검토 하였다⑺ 그 결과 다음〔표 2〕와 같이 총 10개의 핵심성공요인이 도출되었다.
(표 2) IT 거버넌스 핵심성공요인
3.2 개인정보보호 거버넌스 성공요인
개인정보보호 거버넌스 성공요인을 도출하기 위해서 우선 개인정보보호 거버넌스와 IT 거버넌스와의관계에 대해서 알아봤다. 특히 개인정보보호 거버넌스는 IT 보안이 다루지 않는 Non-IT 자산(종이 문서, 이미지, 외부이해관계자 등)에 대한 보호까지 포함하고 있으므로 IT 거버넌스와 공통된 영역 외에 별도의영역이 존재한다. 따라서 다음[그림 1〕과 같이 IT 거버넌스와의 연계성은 있되 별도의 영역으로 간주되어야 한다⑻.
(그림 1) IT 거버넌스와 개인정보보호 거버넌스의 관계
따라서 개인정보보호 거버넌스의 성공요인을 도출하기 위해 본 논문에서는 IT 거버넌스와 개인정보보호 거버넌스간의 공통된 영역과 2장에서 언급된 개인정보보호 거버넌스의 특성이 반영된 영역을 모두 고려하였다. 그 결과로 다음〔표 3〕과 같이 개인정보보호거버넌스 성공요인을 도출하였다.
(표 3) 개인정보보호 거버넌스 성공요인
먼저 조직구조 관점은 전반적으로 거버넌스 조직에대한 내용을 다루고 있기 때문에 IT 거버넌스나 개인정보보호 거버넌스 모두 대동소이하므로 공통된 영역에 해당한다고 보았다. 따라서 기존 IT 거버넌스의 성공요인에 약간의 수정만 하여 수용하였다. 프로세스관점 역시 거버넌스의 특성이라 할 수 있는 평가(E), 지시 (D). 감시 (M) 관점에서 재정립 한 것으로 공통된 영역이다.
다음으로 메커니즘 관점은 개인정보보호를 구현하기 위한 기법/도구를 의미하므로 개인정보보호의 특성이 많이 반영되었다. 조직구조나 프로세스의 경우 거버넌스 본연의 특성을 반영하기 때문에 비유동적 이지만, 메커니즘은 구현 및 방법론적 특성을 반영하기 때문에 연구대상에 따라 유동적일 수밖에 없다. 따라서 메커니즘 관점은 개인정보보호의 특성을 반영하여 새롭게 도출한 성공요인들이다. 간략히 살펴보면, Ml과 M2(〔표 3] 참고)의 경우 내/외부 이해관계자들과의 의사소통채널을 확보하고 특히 , 외부 이해관계자에게개인정보보호 현황보고서 등을 제공함으로써 그들의권익을 보호해야 함을 강조하였다. M3의 경우 개인정보보호 거버넌스의 특성 중 전사적 차원의 효율적관리를 위한 도구, M4의 경우는 객관적인 준거성 보장을 위한 외부 감사 및 인증을 성공요인으로 제시하였다.
Ⅳ. 개인정보보호 거버넌스 핵심성공요인 검증
본 장에서는 앞서 제시된 10개의 개인정보보호 거버넌스 성공요인을 가지고 최종적인 개인정보보호 거버넌스의 효과적인 구현을 위한 핵심성공요인을 도출하였다. 이를 위해 우선 10개의 성공요인을 각각 설문으로 작성하여 중요성과 실현 가능성 측면에 대해 포커스 그룹을 대상으로 설문조사를 수행하였고. 그 결과를 바탕으로 총 7개의 핵심성공요인을 도출하였다.
4.1 검증 방법
현재 국내 조직에 개인정보보호 거버넌스를 구현한 사례가 매우 적으므로 본 논문에서 제시한 개인정보보호 거버넌스 성공요인에 대한 타당성을 객관적으로 검증하는 것은 어려운 문제이다. 이에 따라 본 논문에서는 정보보호 및 개인정보보호 분야 전문가들로 구성된 포커스 그룹을 대상으로 설문 및 면담을 수행하였다. 3장에서 제시된 10가지 개인정보보호 거버넌스 성공 요인에 대해 각각 중요성과 실현 가능성에 대해 리커드 5점 척도를 이용해 우선순위를 결정하였고, 이를 바탕으로 상위 7위 까지를 개인정보보호 거버넌스를 효과적으로 구현하기 위한 핵심성공요인으로 도출하였다.
[그림 2) 개인정보보호 거버넌스 성공요인 검증 매트릭스
우선순위의 경우 Ozdemir, Miu(2009)의 중요성과 실현 가능성을 검증 항목으로 사용하여[그림 2〕와. 같이 본 논문에서 제시된 성공요인의 적정성을 판단하였다⑼.
중요성은 높지만 실현 7]능성이 낮은 경우와 중요성은 낮지만 실현 가능성이 높은 경우에는 포커스 그룹의 의견을 수렴하여, 채택 및 기각 여부를 판단하였고, 중요성 및 실현 가능성이 2.5 이하인 구성 요소는 개인정보보호 거버넌스 핵심 성공요인의 구성요소로서 부적합한 것으로 판단하였다.
4.2 검증 결과
본 논문에서는 대표적인 정성적 연구방법 중의 하나인 포커스 그룹 인터뷰(Focus Group Inter- view) 를 사용하였다. 포커스 그룹 인터뷰를 수행하기위해 정보통신 및 개인정보보호 분야의 CPO, 컨설턴트 등 전문가 15명이 참여한 포커스 그룹을 구성하여설문과 심층 면접을 수행하였다.
우선, 설문은 도출된 10가지의 개인정보보호 거버넌스 성공요인의 중요성과 실현 가능성을 측정하기 위해 각각 리커드 5점 척도를 사용하였으며 , 도출된 성공 요인 이외에 추가적으로 필요한 성공요인이나 개선사항에 대하여 작성하도록 하였다.
그리고 설문이 끝난 후 30분에 걸쳐 참여자들 간에의견을 교환하고, 연구자의 주도하에 도출된 개인정보보호 거버넌스 성공요인이 중요한 이우를 토론하였으며, 실무에 적용이 어려운 성공요인에 대해서는 그 이유를 규명하기 위해 대화 형식의 토론이 진행되었다. 포커스 그룹의 인터뷰 결과, 다음〔표 4〕와 같이 중요성과 실현 가능성 측면에 대한 평균 점수가 나왔다.
(표 4) 포거스 그룹 인터뷰 결과
결과를 살펴보면, 중요성과 실현 가능성 평가 결과가 중요성은 대부분이 4점대인 것에 비해 실현 가능성은 대부분이 3점대로 상대적으로 낮은 것으로 나타나고 있다. N 따라서 본 논문에서는 포커스 그룹과의 토론을 통해 중요성과 실현 가능:성을 합해서 나온 평균값이 큰 순서대로 우선순위를 책정하였고 만약, 동일한점수가 나왔을 시에는 실현 가능성이 높은 쪽에 가중치를 두어 우선순위를 책정하였다.
그 결과는〔표 5〕와 같다.
〔표 5] 개인정보보호 거버넌스 성공요인 우선순위
본 논문에서는〔표 5〕의 우선순위를 바탕으로 하여 포커스 그룹과의 토론을 통해 평균 3.85이상의 성공 요인 중 상위 7위 까지를 개인정보보호 거버넌스를 효과적으로 구현하기 위한 핵심성공요인으로 도출하였다. 이 과정에서 7위와 8위는 중요성과 실현가능성 모두 동일한 점수가 나왔으나 토론을 통해 '외부 이해관계자에게 개인정보보호 현황 보고서 제공'이 더 중요한 요인으로 판단되어 7위로 선정하였다. 도출된 핵심 성공 요인을 살펴보면 우선 조직구조 관점에서 2개, 프로세스 관점에서 2개, 메커니즘 관점에서 3개로 고르게 도출되었다. 특히 개인정보보호 거버 넌스의 특성을 반영한 메커니즘 관점에서 3개나 도출된 것은 본 논문의 결과가 성공적으로 도출되었다는 것을 입증하는 것이다.
〔표 6〕은 본 논문에서 제시하는 개인정보보호 거버넌스를 효과적으로 구현하기 위한 핵심성공요인이다.
〔표 6) 개인정보보호 거버넌스 핵심성공요인
Ⅴ.결론
개인정보보호법 제정 , 한국인터넷진흥원의 개인정보보호관리체계 등 정부를 위시하여 법. 제도적으로많은 노력을 하고 있음에도 불구하고 우리나라의 개인정보보호의 실태를 살펴보면 아직도 많은 문제점들이있다. 이러한 원인 중 하나는 아직도 개인정보보호를기술적인 이슈로 보고 있기 때문이다. 개인정보보호는비즈니스 이슈이다. 즉, 개인정보보호의 특성에 따라전사적 차원의 관리가 필요하고, 이를 가능하게 하는것이 바로 개인정보보호 거버넌스이다.
따라서 본 논문에서는 어떻게 하면 개인정보보호거버넌스를 효과적으로 구현할 지에 대한 답을 얻기위해 관련 연구를 통해 IT 거버넌스와 개인정보보호거버넌스의 특성 및 관계를 살펴보았고, 이를 바탕으로 개인정보보호 거버넌스의 핵심성공요인을 도출하였다. 따라서 본 논문의 결과를 기반으로 향후 개인정보보호 거버넌스를 구현하고자 할 때 적어도〔표 6〕 의 7개의 핵심성공요인을 만족한다면 대내외적으로 '효과적인 개인정보보호 거버넌스를 구현하였다라는평가를 받는데 많은 도움이 될 것으로 사료된다. 또한향후 연구에서는 새로운 개인정보보호 거버넌스 구현을 위한 구체적 방법에 대한 연구가 필요하다. 즉, 핵심성공요인 중 하나인 개인정보보호 투자에 대한 비용편익분석 또는 의사결정 방법에 대한 연구, 투자 성과평가를 위한 지표개발 등 최고경영층이 관심을 가지는이슈에 대해 심도 있는 연구가 필요하다.
References
- 행정안전부 "개인정보보호 실태조사," 행정안전부, 2012년 출판예정.
- 김정덕, "개인정보보호 거버넌스의 ABC," 한국 CPO 포럼, 2008.
- 이성일, "정보보호 거버넌스 프레임워크에 관한 연구," 박사학위논문, 동국대학교, 2011년 7월.
- ISO, "Corporate Governance of Information Technology," ISO/IEC 38500, pp. 7-8, Jun 2008.
- 김정덕, 황수하, "개인정보보호 거버넌스의 목표와 프로세스에 관한 연구," 정보보호학회지, 21(5), pp. 7-11, 2011년 8월
- 김정덕, "개인정보보호관리체계(PIMS) 국제표준화 이슈 및 전략," 한국인터넷진흥원, 2009.
- D. Haes and V. Grembergen, "Analysing the Relationship Between IT Governance and Business/IT Alignment Maturity," 41st Hawaii International Conference on System Sciences, pp. 1-10, Jan 2008.
-
Jody R. Westby and Julia H. Allen, "Governing for Enterprise Security (GES) Implementation Guide," Carnegie Mellon University, Software Engineering Institute,
$CERT^{\circledR}$ pp. 1-18, Aug 2007. - Bogie Ozdemir and Peter Miu, "Basel II Implementation: A Guide to Developing and Validating a Compliant, Internal Risk Rating System," pp. 10-14, Jun 2009.