• 검색 결과가 없습니다.

정보보호의 다차원성과 개인정보 분류

1) 정보보호의 다차원성

개인정보보호를 포함하여 정보보호에 관한 논의는 일면적이라기보다는 다면적으로 전개되는 것을 알 수 있다. 이미 앞에서 지적한 것처럼 정보보호에 관한 논의는 기술 적 차원, 법제도적 차원, 조직 관리적 차원에서 접근할 수 있는데 여기서는 이러한 관 점을 정보보호와 관련한 행위주체 차원에서 파악할 수 있음을 보여주고자 한다. 이러 한 관점이 갖는 장점은 이후 서울시 전자정부의 개인정보보호 추진전략을 마련할 때 각 영역에서 어떤 역할을 담당할 지에 대한 그림을 그리는데 유용하다고 할 수 있다.

정보보호와 관련한 다차원성은 개인, 조직, 기술, 정책, 사회영역으로 나눠 파악할 수 있다(<그림 2-1> 참조). 개인차원의 영역은 주로 정보보호에 대한 인식의 문제로 접근가능한데, 한 사회에서의 정보보호나 정보허용 범위에 대한 것은 사회적 인식에 따른 합의의 문제이기 때문이다. 조직차원의 영역은 조직구성원이 갖고 있는 인식이나 조직이 형성하고 있는 조직문화를 의미한다. 이를 공공부문 조직에 적용시켜 본다면 정부조직에서 공무원이 갖는 정보보호 인식 정도와 조직 내부에서 정보보호의 중요성 을 공유하는 문화 등이 정보보호 정책입안이나 정보유통이나 관리방식과 상관관계가 높다는 것이다.

3) 하드웨어와 소프트웨어의 상대적인 의미로 사용되는 개념으로 인간, 제도, 의사결정과정, 교 육 등 조직의 정보시스템을 운영하고 관리하는데 필요한 인적․조직적 요소를 지칭하는 의미로 사용된다(Andersen, 1991)

정보기술차원

<그림 2-2> 정보보안에서의 개인정보보호의 위상

암호 유출 물리적 네트워크

의 침해

하드웨어/소프트웨어 오르가 웨어(orgaware)

External

Internal 위험의 발생배경

위험의 취약성 해킹

개인정보 침해

막으로 사회적 측면에서 정보보호 문제에 접근하는 것이다. 이는 일종의 사회적 합의 에 도달하기 위한 조정기제를 의미하는 것인바, 오늘날 행정영역에서 논의되는 거버넌 스 체제의 구축이라는 관점에서 접근하는 것이다. 거버넌스란 정부영역과 시민영역의 상호참여에 의한 민주적 조정기제를 의미한다. 따라서 정보보호를 개인의 인식, 조직문 화 등이 반영된 사회적 구성물로 파악하는 관점은 정보보호를 위한 정책적 접근에서 중요한 측면이다.

이처럼 개인정보보호를 포괄하는 정보보호는 일면적으로 이해되어서는 안되며 각 행위주체들의 관점을 포괄하는 전체적 관점을 견지할 때 바람직한 정책방향이 도출될 것이다.

2) 정보보안 유형과 개인정보보호의 위상

우리는 앞에서 정보보호는 다차원적으로 접근해야 함을 설명하였다. 여기서는 이러 한 정보보호를 위한 정보보안의 여러 유형들을 살펴보고 개인정보보호가 전체 정보보 안에서 차지하는 위치에 대해 살펴보고자 한다. <그림 2-2>는 위험의 발생배경(Locus

of Threat)이라는 한축과 위험의 취약점(Focus of Vulnerability)이라는 또 다른 축을 기준으로 정보보안 유형을 구분한 것이다. 가로축은 위험의 취약점이 하드웨어 혹은 소프트웨어에서 있는 것인지, 아니면 오르가웨어(각주 3 참조) 쪽에서 발생하는지를 기준으로 구분한 것이며, 세로축은 위험의 발생배경이 외부적이냐 혹은 내부적이냐를 기준으로 구분한 것이다. 이러한 구분법에 의하면 개인정보보호 영역을 침해하는 정보 보안의 경우는 오르가웨어와 내부적 요인이 결합되어 발생되는 경우가 빈번한 것으로 알려져 있다. 더욱이 하드웨어나 소프트웨어 측면에서 발생하는 위험의 취약점보다 오 르가웨어 쪽에서 발생하는 위험의 취약성은 통제할 수 있는 정도가 어려운 것으로 알 려져 있다.

각 영역을 보면 하드웨어나 소프트웨어 측면의 외부적 요인에 의해 발생하는 대표 적 경우가 물리적으로 네트워크에 침입하는 것으로 이에 대한 방어기제는 방화벽 (firewall)의 구축 등이 해결책으로 제시되며, 하드웨어나 소프트웨어 측면이지만 내부 적 배경에서 발생할 가능성이 큰 정보보안 유형은 암호유출 등으로 이는 PKI를 현실 화한다던지 하는 해결책을 찾을 수 있다. 한편, 개인정보침해의 경우는 위험의 취약점 은 오르가웨어 측면이며, 발생배경은 내부적이라는 점을 고려하면 개인의 인식이나 조 직원의 정보문화를 바꿔내는 것이 중요하다는 지적이다. 물론 각 영역에서 발생하는 정보보안의 문제가 이 기준만으로 설명하기에는 제한점을 가진다. 여기서 강조하는 것 은 각 정보보안 유형별 위상의 차이가 있으므로 이를 고려한 보안대책이 필요하다는 점이다.

3) 개인정보의 유형분류

개인정보의 분류는 분류된 개인정보에 대한 취급과 연관되고 궁극적으로는 개인정 보의 취급과 이를 다루는 제도의 내용에 큰 영향을 미치게 된다. 즉, 관리주체별 분류 에 따라서 그 관리주체에 대한 의무부과 및 정보주체의 관리주체에 대한 권리부여 정 도가 달라질 수 있으며 민감성의 정도에 따라서 절대 취급불가 개인정보 또는 상대적 취급 가능 개인정보 등 규제 대상이 달라질 수 있는 등 어느 분류에 의하는가에 따라 법적․제도적 성격이나 평가가 될 수 있다.

개인정보의 분류체계는 연구자에 따라 다양한 형태로 논의되고 있으며 아직 보편

화된 체계는 정립되지 않은 상태이다. 다만 최근 개인정보보호에 관한 논의가 활발하 개 이뤄지면서 관리주체별 분류, 성격별 분류 및 내용별 분류 등의 기준으로 체계화되 기 시작한 것으로 보인다(황인호, 2001).

(1) 관리주체별 분류

관리주체별 분류에서는 개인정보는 크게 공공개인정보와 민간개인정보로 나뉜다.

공공개인정보를 공공기록, 정보주체로부터 직접 수집한 기록과 정보주체 이외의 자로 부터 수집한 기록 등으로 구분하기도 한다(황인호, 2001). 그러나 공공부문과 민간부문 으로 구분하는 것 이외에는 의미가 적다고 볼 수 있다. 공공기록이라는 것은 결국 개 인정보보다 더 큰 범주에 속하며 직접 또는 간접 수집은 수집경로에 다른 분류일 뿐 모두 공공기록의 범주 내에 있는 것이기 때문이다.

공공개인정보는 수집단계에서부터 각종 법적 근거에 의하여야 하는 정보인데 비해 민간개인정보는 원칙적으로 당사간의 계약에 의하여 수집, 취급, 활용되는 정보이다.

개인정보보호에 있어서도 공공부문은 국가권력으로부터 개인 사생활의 안저한 보호가 주요 목적이 되며 정보사회에서 중요한 개인정보에 대한 국가의 부당한 침해를 방지하 는데 그 목적이 있다고 할 수 있고, 반면에 민간부문에서는 개인정보에 재산적 가치를 인정하여 이를 처분할 수 있도록 하는 것이다.

공공부문의 관리주체별 분류체계는 논리적으로 개별 행정주체별 체계에 연동될 수 밖에 없다. 부문별 행정기관이 모두 개인정보를 취급하는 주체이기 때문이다. 따라서 엄격히 분류하자면 행정분야로서 행정자치부의 소관업무4)에 해당하는 일반적 공공개 인정보 이외의 분야별 개인정보는 모두 그 주체별 개인정보로 분류될 수 있을 것이다.

민간부문의 개인정보는 거래관계에 따라 다양하게 나타나지만 대개 개인정보를 제 공하고 반대급부를 받는 정보주체에 대한 보호차원에서 규제가 이루어진다. 따라서 이 에 대한 분류에서도 규제가 필요한 위험영역을 어떻게 설정하느냐의 문제로 되고 그 기준은 관리주체의 사업영역으로 한다. 대표적으로 신용정보, 의료정보, 통신정보, 인터 넷거래정보, 고용 및 근로정보 등을 예로 들 수 있다.

이러한 분류체계와 위험도가 사회적으로 부각되는 시점에 따라서 관련 개인정보입

4) 이는 개별부처의 업무가 아닌 분야로서의 일반행정분야가 될 것이다.

법이 이루어져 왔다. 그러나 아직도 공공부문의 경우 교육․국방․보건복지․국세․사 법행정 등 고위험군의 개인정보처리에 대한 구체적 규정사항은 상세 절차까지 명확하 게 정리하지 못하고 있고 의료정보나 고용 및 근로정보 등에서 대해서는 관련 입법이 미비한 상황이다(김일환, 2004).

(2) 성격별 분류

개인정보를 민감도에 따라 민감한 정보와 그렇지 않은 정보를 분류하기도 하고 인 격적 정보와 재산적 정보를 구분하여 다루기도 한다(황인호, 2001). 대체로 인격적 정 보적 정보 중에서 차별적 처우의 기준이 되는 정보는 민감도가 높은 정보라고 할 수 있을 것이다. 서구의 경우처럼 다인종 및 다민족 국가에서는 인종이나 민족정보가 이 러한 경우에 해당될 것이고 우리의 경우는 출신지역, 학력 등이 사례가 될 수 있을 것 이다. 재산적 정보에서도 민감도가 높은 정보로는 신용불량기록이 이에 해당될 것이다.

이러한 내용들은 모두 개인에 대한 차별적 처우의 근거가 될 수 있을 것이므로 정당한 법적 근거에 의한 경우에만 개시될 수 있도록 하여야 하고 인격적 정보로서 민감도가 높은 정보는 원천적으로 수집이나 취급을 금지하도록 하는 규제도 가능할 것이다. 대 체로 개인 신분이나 가족에 관한 기본적인 인적 사항을 제외하고 나면 개인정보는 인

이러한 내용들은 모두 개인에 대한 차별적 처우의 근거가 될 수 있을 것이므로 정당한 법적 근거에 의한 경우에만 개시될 수 있도록 하여야 하고 인격적 정보로서 민감도가 높은 정보는 원천적으로 수집이나 취급을 금지하도록 하는 규제도 가능할 것이다. 대 체로 개인 신분이나 가족에 관한 기본적인 인적 사항을 제외하고 나면 개인정보는 인