개인정보보호 컴플라이언스 준수를 위한 NIST Global Privacy Framework 분석
1. 개요
개인정보는 개인의 자율성과 존엄성과 같은 중요한 가치를 보호하는 데 도움이 되는 포괄적인 개념일 뿐만 아니라 이러한 개인정보를 얻는 수단과 채널은 다양할 수 있기 때문에 개인정보를 보호하기란 굉장히 많은 고민이 동반됩니다. 보호의 범위가 광범위하고 수시로 변화하는 개인정보의 특성으로 인해 기업 또는 개인 간에 개인정보의 위험에 대해서 명확하게 인식하기도 쉽지 않은 것이 현실입니다. 그래서 필요한 것이 다양한 기업과 개인이 활용할 수 있도록 설계된 개인정보보호 ‘프레임워크’입니다. NIST는 기업의 위험관리를 통한 개인정보보호를 실현할 수 있도록 ‘Privacy Framework’를 개발하여 공개하였습니다. 해당 개인정보보호 프레임워크는 고객의 신뢰를 구축함과 동시에 급격하게 변화하는 기술 및 정책의 환경 속에서 기업의 컴플라이언스 준수 의무를 달성할 수 있도록 지원합니다. 한편 개인정보 주체와 비즈니스 파트너, 개인정보보호 평가자 및 개인정보와 관련한 규제 기관 등 개인정보보호와 관련한 이해관계자들의 커뮤니케이션의 도구로 활용될 수 있습니다. 또한 개인정보보호 프레임워크는 위험평가의 결과에 기반한 접근 방식을 통해 다양한 개인정보보호의 안전성을 보장할 수 있도록 유연하게 활용이 가능하며 인공지능 사물인터넷 등과 같은 최신 기술 트렌드에 대한 개인정보보호 요구사항을 제공합니다.
본 프레임워크는 세 가지 구성요소로 이루어져 있습니다. 첫 번째, Core(핵심)는 중요한 개인정보보호 활동을 위한 가장 상위의 커뮤니케이션을 지원합니다. 두 번째, Profile(프로필)은 조직의 개인정보보호 가치, 미션 또는 비즈니스 요구를 토대로 위험에 효율적으로 대응하기 위한 기업의 대응방안의 우선순위를 정하는 데 도움을 줄 수 있습니다. 세 번째, Implementation Tiers(구현 계층)는 개인정보의 위험을 관리하기 위한 조직의 프로세스 및 리소스의 충분성에 대한 의사결정과 실무적인 커뮤니케이션을 지원합니다. 요약하자면, 개인정보보호 프레임워크는 조직이 개인정보에 대한 위험을 기업의 전체적인 위험관리전략에서 중요하게 관리될 수 있도록 함으로써 기업의 개인정보보호 기반을 설계하고 구축하는 역할을 합니다. 한편 글로벌 비즈니스를 위해 국내의 개인정보보호를 위한 개인정보보호법, 정보통신망법, 신용정보법 등 법률과 국외의 GDPR(General Data Protection Regulation), CCPA(California Consumer Privacy Act 2019) 등 규제를 적절하게 준수할 수 있도록 NIST의 개인정보보호 프레임워크를 참고할 수 있습니다. 이런 측면에서 본 보고서는 NIST에서 기업의 위험관리를 위해 공개한 개인정보보호 프레임워크의 기본개념 및 활용방법에 대하여 살펴보고자 합니다.
2. 개인정보보호 프레임워크 기본
개인정보보호 프레임워크는 핵심, 프로필, 구현계층으로 구성되어 있으며, 각 구성 요소는 비즈니스 또는 미션 드라이버, 조직 역할 및 책임, 개인정보 보호 활동 간의 연결을 통해 조직이 개인정보 위험을 관리하는 방법을 강화합니다.
2.1. Core(핵심)
핵심은 개인정보보호 활동 및 결과의 집합으로, 우선순위가 지정된 개인정보보호 활동 및 조직 전체의 결과를 전사적으로 임원 수준에서 구현 및 운영을 하는 실무적인 수준까지 소통할 수 있게 합니다. 핵심은 각 기능에 대한 주요 범주와 하위 범주(별도의 결과)로 나뉩니다. 코어에서는 아래 정의된 다섯 가지 기능인 Identification-P, Govern-P, Control-P, Communicate-P 및 Protect-P를 사용하여 데이터 처리로 인해 발생하는 개인정보 위험을 관리할 수 ??있습니다. 5 가지 개인정보보호 프레임워크 기능은 다음과 같이 정의합니다.
1) Identification-P : 데이터 처리로 인해 발생하는 개인의 개인정보 위험을 관리하기 위한 조직의 기초를 개발하는 데 도움을 줍니다. 이 기능의 활동은 개인정보 보호 프레임워크를 효과적으로 사용하기 위한 기초입니다. 데이터가 처리되는 환경을 조사하고, 조직이 직접 또는 간접적으로 제공하거나 영향을 받는 개인정보 보호 이슈를 이해하고 위험 평가를 수행하면 데이터가 운영되는 비즈니스 환경을 이해하고 개인정보 위험을 식별하고 우선 순위를 지정할 수 있습니다.
2) Govern-P : 개인정보의 위험 평가에 의해 정해지는 조직의 위험 관리 우선 순위를 지속적으로 이해할 수 있도록 조직 관리 구조를 개발하고 구현합니다. 이 기능은 기본적으로 조직의 개인정보보호 가치 및 정책 수립, 법적/제도적 요구사항 식별, 조직의 위험 허용 수준 결정 등 조직 차원의 활동에 중점을 두어 조직이 개인정보보호 노력에 집중하고 위험 관리의 우선 순위를 정할 수 있도록 합니다.
3) Control-P : 조직이나 개인이 개인정보 위험을 관리하기에 충분하게 세분화하여 데이터를 관리 할 수 ??있도록 적절한 관리 활동을 개발하고 구현합니다. 이 기능은 조직과 개인의 입장에서 데이터 처리에 대한 관리를 고려합니다.
4) Communicate-P : 조직과 개인이 데이터를 처리하는 방법과 관련 개인정보 위험에 대한 안정적인 공유와 소통을 가능하게 하는 적절한 커뮤니케이션 활동을 개발하고 구현합니다. 이 기능은 개인정보 위험을 효과적으로 관리하기 위해 조직과 개인 모두 데이터 처리 방법을 알아야 동작할 수도 있습니다.
5) Protect-P : 개인정보보호를 위한 적절한 데이터 처리 보호 수단을 개발하고 구현합니다. 이 기능은 사이버 보안 관련 개인정보 보호 이벤트, 개인정보 보호 및 사이버 보안 위험 관리 간의 중복을 방지하기 위해 데이터 보호의 상관관계를 다룹니다.
2.2. Profile(프로필)
프로필은 조직의 현재 개인 활동이나 원하는 결과를 나타냅니다. 프로필을 개발하기 위해 조직은 Core의 모든 결과와 활동을 검토하여 비즈니스 또는 미션 드라이버, 데이터 처리 에코 시스템 역할, 데이터 처리 유형 및 개인에 따라 중점을 두어야 할 사항을 결정할 수 있습니다.
조직은 필요에 따라 기능, 범주 및 하위 범주를 만들거나 추가할 수 있습니다. 현재의 프로필("있는 그대로" 상태)과 미래의 대상 프로필("지향하는" 상태)을 비교하여 개인정보 보호의 추진 전략을 개선할 수 있는 기회를 포착합니다. 프로필을 사용하여 자체 평가를 수행하고 개인정보 보호 위험 관리 방법에 대해 조직 내 또는 조직 간에 의사 소통할 수 있습니다.
프로필은 조직에서 개인정보 위험 관리를 돕기 위해 우선 순위를 정한 핵심 기능 중 특정 기능, 범주 및 하위 범주를 선택합니다. 프로필은 특정 개인정보 보호 활동의 현재 상태 및 원하는 목표 상태를 설명하는 데 사용될 수 있습니다. 현재 프로필은 조직이 현재 달성하고 있는 개인정보 보호 결과를 나타내고 대상 프로필은 원하는 개인정보 보호 위험 관리 목표를 달성하는 데 필요한 결과를 나타냅니다. 두 프로필의 차이점을 통해 조직은 차이를 식별하고 개선을 위한 실행 계획을 개발하며 개인정보 보호 결과를 달성하는 데 필요한 리소스(예: 직원, 자금)를 측정할 수 있습니다. 이는 비용 효율적이고 우선 순위가 높은 방식으로 개인정보 위험을 줄이기 위한 조직의 계획을 세우는데 필요한 기반을 제공합니다. 프로필은 조직이 현재의 수준과 달성하고자 하는 미래의 개인정보 보호 상태를 비교할 수 있도록 함으로써 조직 내부 및 조직 간 개인정보의 위험을 식별하고 공유하는 데 도움을 줄 수 있습니다. 한편, 개인정보보호 프레임워크는 유연하게 구현할 수 있도록 프로필의 템플릿을 규정하지 않습니다. 개인정보보호 프레임워크의 위험 기반 접근 방식에 따라 조직은 반드시 핵심에 반영된 모든 결과나 활동을 달성할 필요는 없습니다. 프로필을 개발할 때 조직은 자유롭게 기능, 범주 및 하위 범주를 특정 요구에 맞게 선택하거나 조정할 수 있습니다.
2.3. Implementation Tiers(구현 계층)
구현 계층은 조직의 시스템, 제품 또는 서비스로 인해 발생하는 개인정보 위험의 특성과 이러한 위험을 관리하기 위해 조직이 보유한 프로세스 및 리소스의 가용성을 고려하여 개인정보 위험을 관리하는 방법에 대한 조직의 의사 결정을 지원합니다. 계층을 선택할 때 조직은 대상 프로필과 현재 위험 관리 관행, 개인정보 위험이 기업의 위험 관리 포트폴리오에 통합되는 정도, 데이터 처리 생태계 관계, 개인정보보호의 목표가 달성되거나 방해받는 요소를 고려해야 합니다.
구현 계층은 Partial(Tier 1), Risk Informed(Tier 2), Repeatable(Tier 3) 및 Adaptive(Tier 4)의 네 가지 계층이 있으며, 그 설명은 부록에 기술되어 있습니다. 계층은 필수는 아니지만 진행 상태를 나타냅니다. Tier 1의 조직은 Tier 2로 이전하면 혜택을 받을 수 있지만 모든 조직이 Tier 3 또는 Tier 4를 달성할 필요는 없습니다. 또는 이러한 Tier의 특정 영역에만 집중할 수도 있습니다. 현재 Tier의 조직 프로세스 또는 리소스가 개인정보 위험 관리에 도움이 되지 않는 경우 상위 계층으로 진행하는 것이 적절합니다. 조직은 Tier를 사용하여 상위 계층으로 진행하는 데 필요한 리소스의 할당 여부를 결정하거나, 개인정보 위험 관리 기능의 진행 상황을 측정하기 위한 벤치마킹 기준으로 사용할 수 있습니다. 조직은 계층을 사용하여 데이터 처리를 하는 다른 조직의 리소스 가용성 및 프로세스 규모와 조직의 개인정보 위험 관리 우선 순위와의 연계 방법을 간접적으로 이해할 수 있습니다. 그럼에도 불구하고 개인정보보호 프레임워크의 성공적인 구현은 계층 결정이 아니라 조직의 목표 프로필에서 정한 결과를 달성하는 것에 달려있습니다.
3. 개인정보보호 프레임워크의 활용
개인정보보호 프레임워크는 위험 관리 도구로 사용될 때 개인의 부정적인 결과를 최소화하며 데이터의 유익한 사용과 혁신적인 시스템, 제품 및 서비스 개발을 최적화하려는 조직을 지원할 수 있습니다. 개인정보보호 프레임워크는 조직이 "시스템, 제품 및 서비스를 개발할 때 개인에게 미치는 영향을 어떻게 고려하고 있습니까?" 라는 질문에 적절히 대응하기 위하여 기존 비즈니스 및 시스템 개발 운영을 보완하도록 설계되었지만 기업에서 융통성있게 활용할 수 있습니다. 적용 방법에 대한 결정은 구현하려는 조직에게 맡겨집니다. 예를 들어, 조직에는 이미 강력한 개인정보 위험 관리 프로세스가 있을 수 있지만, 프레임워크의 핵심적인 기능을 적용하여 현재의 수준과 달성하고자 하는 미래의 수준의 차이를 분석하고 설명할 수 있습니다. 또는 개인정보보호 프로그램을 구축하려는 조직은 핵심 범주 및 하위 범주를 참조할 수 있습니다. 다른 조직은 프로필 또는 계층을 비교하여 데이터 처리 생태계의 여러 역할에 걸쳐 개인정보 위험 관리 우선 순위를 조정할 수 있습니다. 조직에서 개인정보 보호 프레임워크를 사용할 수 있는 다양한 방법은 "개인정보보호 프레임워크 준수"라는 개념을 통일하거나 외부적으로 참조 가능한 개념으로 다뤄야 합니다. 이어서 개인정보보호 프레임워크 사용을 위한 몇 가지 사례를 살펴보도록 한다.
3.1. 컴플라이언스 참조 도구
개인정보보호를 위한 도구 매핑, 기술 지침/표준/법률/규정 및 모범 사례를 포함하여 개인정보보호 프레임워크의 구현을 지원하기 위한 컴플라이언스 참조 도구로 활용이 가능합니다. 표준, 법률 및 규정의 조항을 내부규정 또는 기업의 계획에 상관성을 분석함으로써 조직이 규정 준수를 효율적으로 할 수 있도록 우선 순위 활동이나 달성할 수 있는 결과의 수준을 결정하는 데 도움을 줄 수 있습니다. 개인정보보호 프레임워크는 기술 중립적이지만 기술 및 관련 비즈니스 요구가 발전함에 따라 조직이나 산업 분야에서 이러한 상관분석 도구를 개발할 수 있기 때문에 이러한 기술의 기반도 지원합니다. 공통적인 기준과 검증 및 합의에 기반한 표준, 지침 및 법에 기준하기 때문에 개인정보의 안전한 관리를 위한 매핑 도구와 매핑 방법은 국내를 넘어 세계적인 표준으로 확장할 수 있으며 개인정보 보호의 글로벌 흐름을 수용할 수 있습니다. 기존의 개인정보보호 표준을 사용하면 규모의 경제를 실현하고 개인의 개인정보 요구사항을 염두에 두고, 시장의 요구사항을 충족하는 시스템, 제품 및 서비스의 개발을 추진할 수 있습니다. 컴플라이언스 매핑을 통해 식별된 차이를 사용하여 추가 또는 수정된 표준, 지침 및 관행이 조직이 새로운 요구를 해결할 수 있습니다.
3.2. 개인정보보호 거버넌스 구현
책임은 개념적으로 개인정보보호에만 국한되어 있진 않지만 일반적으로 개인정보보호의 원칙으로 간주합니다. 문화적 가치, 거버넌스 정책 및 절차, 또는 개인정보보호 요구사항과 실제 통제 간의 추적 관계 등 개인정보보호 리스크 관리는 조직의 개인정보보호 가치 및 리스크 허용 범위에 따라 정해집니다. 전사적으로 의사소통 할 수 있도록 고위 임원 레벨과 비즈니스 및 프로세스 관리자 레벨의 직원을 연결하여 개발 및 구현에 협력관계를 구축합니다. 조직의 개인정보보호 가치를 수립하도록 지원하는 개인정보보호 거버넌스 정책 및 절차를 만들고 이러한 정책 및 절차를 구현/운영 수준의 세부적인 정책 및 절차로 전달하여 최상위 수준의 기업 정책 및 개인정보 보호 정책을 지원합니다. 또한 개인정보보호 요구사항을 충족하는 기술 및 정책 수단으로써 비즈니스 및 프로세스 관리자가 개인정보보호 거버넌스 구현을 진행하도록 지원합니다.
3.3. 개인정보보호 프로세스 수립 및 개선
개인정보보호 프레임워크는 "준비, 설정, 이동"단계의 간단한 모델을 사용하여 새로운 개인정보 보호 프로그램 작성 또는 기존 프로그램의 개선을 지원할 수 있습니다. 조직은 이러한 단계를 거치면서 다양한 정보를 참조하여 결과의 ??우선 순위를 정하거나 달성하는 데 대한 지침을 제공할 수 있습니다.
1) 준비 단계 : 효과적인 개인정보보호 위험 관리를 위해서는 조직의 비전 또는 비즈니스 환경을 이해해야 합니다. 법적 환경, 위험 내성, 시스템, 제품 또는 서비스에 의해 야기된 개인정보 위험, 그리고 데이터 처리 생태계에서의 역할 등을 이해해야 합니다. 조직은 개인정보보호의 범위를 검토하고 현재 프로필 및 대상 프로필을 개발하기 위해 Identification-P 및 Govern-P 기능을 사용하여 "준비"할 수 있습니다. 조직은 개인정보 보호 정책 수립, 조직의 위험 허용 범위를 표현하고 개인정보 보호 위험 평가를 수행합니다.
2) 설정 단계 : 조직은 기타 기능에서 어떤 범위가 달성되는지 표시하여 현재의 프로필을 완성합니다. 결과가 부분적으로 달성되면, 이 사실에 기인해서 기준 정보를 제공하여 후속 단계를 지원합니다. 조직의 개인정보보호 가치 및 정책, 조직의 위험 허용 범위 및 개인정보보호 위험 평가 결과에 의해 조직은 원하는 개인정보보호 평가에 중점을 둔 대상 프로필을 완성합니다. 조직은 고유한 조직의 위험을 설명하기 위해 자체 추가 기능, 관리 범위를 개발할 수도 있습니다. 또한 대상 프로필을 작성할 때 비즈니스 고객 및 파트너와 같은 외부 이해 관계자의 영향 및 요구 사항을 고려할 수 있습니다. 조직은 비즈니스 요구 사항과 관련 위험 허용 범위가 다른 비즈니스 라인이나 프로세스를 지원하기 위해 여러 개의 프로필을 개발할 수 있습니다. 조직은 현재 프로필과 대상 프로필을 비교하여 차이를 결정합니다. 다음으로 목표 프로필에서 결과를 달성하기 위한 추진근거, 비용 및 이점 및 위험의 격차를 해결하기 위해 우선 순위가 지정된 행동 계획을 만듭니다. 한편 사이버 보안 프레임워크와 개인정보 프레임워크를 함께 사용하는 조직은 통합 행동 계획을 개발할 수 있습니다.
3) 이동 단계 : 행동 계획이 설정되면 조직은 식별된 격차를 해소하기 위해 어떤 행동을 취해야 하는지 결정한 다음 목표 프로필을 달성하기 위해 현재 개인정보 보호 관행을 조정합니다. 조직은 개인정보 보호 상태를 지속적으로 평가하고 개선하기 위해 필요에 따라 단계를 진행할 수 있습니다. 예를 들어, 조직은 준비 단계를 더 자주 반복하면 개인정보 위험 평가 품질이 향상될 수 있습니다. 또한 조직은 현재 프로필 또는 대상 프로필에 대한 반복 업데이트를 통해 진행 상황을 모니터링하여 변화하는 위험에 적응한 다음 현재 프로필을 대상 프로필과 비교할 수 있습니다.
3.4. 시스템 개발 수명주기에 개인정보보호를 적용
대상 프로필은 계획, 설계, 구축/구매, 배포, 운영 및 폐기의 SDLC (System Development Life Cycle) 단계와 연계하여 우선 순위가 지정된 개인정보 보호 결과의 달성을 지원할 수 있습니다. 계획 단계부터 우선 순위가 지정된 개인정보 결과는 시스템의 개인정보보호 기능 및 요구 사항으로 변환될 수 있으며, 남은 수명주기 동안 요구사항이 변경될 수 있음을 인식합니다. 설계 단계의 주요사항은 개인정보 보호 기능 및 요구 사항이 대상 프로필에 표시된 조직의 요구 및 위험 허용과 일치하는지 확인하는 것입니다. 동일한 대상 프로필은 모든 개인정보보호 기능 및 요구 사항이 구현되었는지 확인하기 위해 시스템을 배포할 때 평가할 내부 목록으로 사용할 수 있습니다. 개인정보보호 프레임워크를 사용하여 결정된 개인정보보호 결과는 시스템의 지속적인 운영을 위한 기초가 되어야 합니다. 여기에는 개인정보보호 기능 및 요구 사항이 여전히 충족되는지 확인하기 위해 평가가 지속적으로 진행되어야 합니다. 개인정보 보호 위험 평가는 일반적으로 데이터 수명주기, 즉 데이터가 통과하는 단계(생성 또는 수집, 처리, 배포, 사용, 저장 및 처리)에 따라 구성되어 진행됩니다. SDLC의 모든 단계에서 데이터가 처리되는 방식을 식별하고 이해함으로써 SDLC와 데이터 수명주기를 조정합니다. 조직은 개인정보 위험을 보다 효과적으로 관리하고 개인정보 요구 사항을 충족하기 위해 개인정보 제어의 선택 및 구현에 필요한 정보를 제공합니다.
3.5. 개인정보 처리를 위한 이해관계자들의 역할 정의
개인정보 보호 위험 관리의 핵심 요소는 데이터 처리 생태계에서 기업의 역할이며, 이는 법적 의무일 뿐만 아니라 개인정보보호 위험을 관리하기 위해 취할 수 있는 조치에도 영향을 줄 수 있습니다. 데이터 처리 에코 시스템은 복잡한 다방향 관계를 가질 수 있는 다양한 역할을 포함합니다. 하위 엔티티 체인이 엔티티를 지원하면 복잡성이 증가할 수 있습니다. 예를 들어, 서비스 공급자는 일련의 서비스 공급자에 의해 지원되거나 제조업체는 여러 구성 요소 공급자를 가질 수 있습니다. 엔티티를 별개의 역할로 표시하지만 일부 조직은 다른 조직에 서비스를 제공하고 소비자에게 소매 제품을 제공하는 조직과 같은 여러 역할을 가질 수 있습니다. 역할과 관련된 하나 이상의 프로필을 개발함으로써 개인정보 보호 프레임워크를 사용하여 자신의 우선 순위 뿐만 아니라 다른 조치에 미치는 영향과 관련하여 개인정보보호 위험을 관리하는 방법을 고려할 수 있습니다.
3.6. 개인정보보호 시스템 요구사항 정의
현재 또는 대상 프로필을 사용하여 우선 순위가 지정된 개인정보 요구 사항 목록을 생성할 수 있으므로 이러한 프로필을 사용하여 제품 및 서비스 구매에 대한 결정을 내릴 수도 있습니다. 개인정보 보호 목표와 관련된 결과를 먼저 선택하면 조직은 결과와 비교하여 파트너의 시스템, 제품 또는 서비스를 평가할 수 있습니다. 공급 업체에 일련의 개인정보 보호 요구 사항을 적용할 수 없는 상황에서는 신중하게 결정된 개인정보 요구 사항 목록을 고려하여 여러 공급 업체 간에 최상의 구매 결정을 내려야합니다. 종종 알려진 격차가 있는 여러 제품 또는 서비스를 프로필과 비교하여 어느 정도의 절충점을 제공합니다. 구매한 시스템, 제품 또는 서비스가 프로필에 설명된 모든 목표를 충족하지 못하면 조직은 완화 또는 기타 관리 조치를 통해 잔여 위험을 해소할 수 있습니다.
References
1. NIST의 사이버 보안 프레임워크 주요내용 분석, 2018. https://www.privacy.go.kr/
2. 캘리포니아 소비자 개인정보보호 보호법(CCPA), 2020, https://www.lawtimes.co.kr/
3. NIST released version 1.0 of Privacy Framework, 2020, https://www.nist.gov/
4. NIST Releases Version 1.1 of Popular Cybersecurity Framework, 2018, https://www.nist.gov/