개인정보 중요도 평가 고찰

우리는 자산의 중요도를 산정한다. 기밀성, 무결성, 가용성으로 나누어 각 내용에 따라 상(3), 중(2), 하(1)의 평가를 통해 중요도를 산정한다. 그렇다면 개인정보도 이런 식으로 중요도를 산정해 보면 어떨까?

 

물론 중요도를 산정하는 것 자체에 대해 그다지 긍정적인 편은 아니지만, 그래도 없는 것보다는 뭐든 참고할 만한 기준이 하나 더 생긴다는 것에 의의를 두고 싶다.

 

① 구분: 식별성

상(3): 직접 개인을 알아볼 수 있는 정보로써, 이 정보만으로도 해당 개인에 대하여 직접적으로 침해를 가할 수 있는 경우

중(2): 다른 개인정보와 결합하여 해당 개인을 용이하게 알아볼 수 있는 경우

하(1): 다른 개인정보들과 결합 없이는 특정 개인을 알아 볼 수 없는 경우

 

② 구분: 공개성

상(3): 비밀의 개인 정보로, 타인이 정보 주체의 의사에 반하여 접근 또는 사용해서는 안되는 경우

중(2): 제한적 공개 정보로, 정보 주체가 자신의 정보를 제공하면서 수집하는 자에게 이용에 대해서 일정한 제약을 두는 경우

하(1): 완전 공개 정보로, 정보 주체가 자신의 정보를 공개하면서 특별한 제한을 두지 않은 경우

 

③ 구분: 회복성

상(3): 유출의 대처 시, 정보주체의 해당 개인정보 수정 및 폐기 과정에 상당한 시간(3개월 이상)이 소요되는 경우

중(2): 유출의 대처 시, 정보주체의 해당 개인정보 수정 및 폐기 과정에 시간(3개월 미만)이 소요되는 경우
하(1): 유출의 대처 시, 정보주체가 해당 개인정보의 수정 및 폐기를 즉각적(1일 미만)으로 수행할 수 있는 경우

 

④ 구분: 노출 위험성
상(3): 유출 시, 보이스피싱, 명의도용 등 2차 피해로 확대될 가능성이 매우 큰 경우

중(2): 유출 시, 2차 피해로 확대될 우려가 있는 경우

하(1): 유출이 되더라도 2차 피해의 우려가 없는 경우

 

⑤ 구분: 사용성

상(3): 서비스를 이용함에 있어 필수정보로 빈번하게 사용되는 경우

중(2): 서비스를 이용함에 있어 선택 정보로 자주 사용되는 경우

하(1): 서비스를 이용함에 있어 수집 정보로 사용되지 않는 경우

 

이것 외에도 컴플라이언스 라던지, 다른 대상에 대해서도 중요도 산정에 대해 고민해보는 것도 좋은 옵션이 될 수 있지 않을까 싶다. 컴플라이언스라면 '법적 위험성 - 상: 위반 시 형사 처벌의 위험 존재, 중: 위반 시 민사 소송의 위험 존재, 하: 위반 시 사내 징벌을 받을 위험 존재' 같은 것들로 할 수 있지 않을까 싶다.