개인정보보호 인증기준을 활용한 개인정보 감사방법 연구 : 개인정보보호법을 중심으로

이성훈 고려대학교 정책대학원 2022 국내석사

현대는 정보통신기술의 발달로 정보화 사회를 넘어 D.N.A(Data, Network, AI)를 중심으로 한 ‘4차 산업혁명의 시대’라 하고 있으며, 데이터를 수집, 정제, 저장, 시각화하는 빅데이터 기술의 활용이 문제해결을 위한 핵심으로 떠올라 정보의 가치는 점점 더 중요해지고 있다. 특히 개인에 관한 정보는 정보화 사회 이전부터도 소비자의 행동이나 소비심리의 분석 등 마케팅을 위해 다양하게 활용되어 오고 있었던 만큼 개인정보의 가치는 다른 무엇보다 중요하다고 할 수 있고, 오늘날의 기업 운영에서 인터넷을 이용한 웹서비스나 전자상거래는 거의 필수적이어서 대부분의 기업들이 소속 직원뿐 아니라 어느 정도는 고객의 개인정보를 취급하고 있다하여도 과언이 아닐 것이다. 하지만, 개인정보는 기업 내부에서의 고의 또는 과실에 의해 유출이 되거나 노출되기도 하고, 외부로부터의 악의적인 해커에 의한 해킹의 표적이 되어 침해사고가 발생하며, 최근에는 그 피해규모가 점점 커지고 있다. 이렇게 침해사고로 유출된 개인정보는 사회공학기법인 피싱(Phishing) 피싱(Phishing)이나 스미싱(Smishing)에 이용되어 2차적인 금융사고로 이어지고 있으며, 그 수법 또한 날로 지능화되고 고도화되어 가고 있다. 때문에 각국에서는 개인정보 보호를 위해 법령 등을 제정하여 지켜야할 사항을 강제하고 있으며, ISO(International Standard Organization)와 같은 국제 표준기구에서는 개인정보 침해사고의 예방을 위해 「정보보호 관리체계」(이하 ISMS)나 「개인정보 관리체계」(이하 PIMS) 등과 같은 최소한의 기준을 만들고, 그 기준에 따라 인증을 받도록 하는 제도를 운영해 오고 있다. 우리나라 역시 「정보보호 및 개인정보보호 관리체계」(이하 ISMS-P)와 「개인정보 영향평가」(이하 PIA)를 운영하고 있으며, 필요에 따라서는 국제표준인 ISO/IEC 27001과 ISO/IEC 27701을 자율적으로 취득하고 있다. 하지만, 국내 ISMS 인증의 의무대상은 침해사고 발생 시 파급이 큰 ISP나 IDC 외에는 일정규모 이상의 병원, 학교 및 정보통신서비스 제공자로 한정되어 있고, 개인정보보호를 포함하는 ISMS-P에 대한 인증은 인증신청자가 인증범위에 포함시킬 수도 있고 포함시키지 않을 수도 있다. 또, PIA의 인증의무는 ‘공공기관’만을 대상으로 하고 있기 때문에 개인정보보호가 법적 의무 사항임에도 불구하고 ISMS-P 인증대상이 아닌 중소기업에서는 개인정보 보호를 위한 감사가 제대로 이루어지고 있지 않는다고 봐야 할 것이다. 본 연구는 기존의 연구들이 「개인정보보호법」의 법제나 개인정보를 저장하고 있는 ‘정보시스템의 보호를 위한 기술적인 부분’, 또는 ‘개인정보나 정보보호와 관련된 인증기준의 개선방안’ 에 대한 연구인 것에 반해, 실제적으로 개인정보 보호를 위해 「개인정보보호법」을 잘 준수하고 실행하고 있는지에 대한 합법성 감사에 초점을 맞추고 있다. 즉, 정보보호나 개인정보보호 관련 인증을 받고 있지 않는 기업에서 개인정보에 대한 내부감사의 감사판단기준과 실무에서의 개인정보보호를 위한 점검기준을 제시하고자, ‘개인정보보호를 위한 국내인증인 ISMS-P와 PIA에 적용되는 「개인정보보호법」조항이 무엇인지’와 ‘개인정보보호 감사중점과 감사판단기준으로 사용할 수 있는 개인정보보호 인증기준은 무엇인지’, 그리고 ‘인증기준만으로 감사준거가 되는 「개인정보보호법」조항에 누락되는 것은 없는지’에 대한 질문을 토대로, 전반적인 「개인정보보호법」과 관련 법령, 지침 및 가이드를 분석하여 「개인정보보호법」을 중심으로 한 감사중점과 감사판단기준을 제공함으로써, 인증대상 이외 기업에게 개인정보보호를 위한 자체 점검기준이나 감사의 판단기준으로 활용할 수 있도록 하여 법·규정의 준수와 더불어 개인정보보호에 대한 인식제고와 사고예방에 기여하고자 하였다. 또한, 「개인정보보호법」의 전반적인 연구를 통해 향후, 감사나 실무적 관점에서 개인정보의 보호를 위한 관련 연구가 정보시스템이나 법 제29조(안전조치의무)의 기술적 보호를 넘어 정보주체나 관리적인 부분, 법 개정에 의해 새로이 포함된 가명처리 및 메타버스와 같은 새로운 영역까지 폭넓은 연구가 이루어질 수 있는 기반을 마련하고자 하였다. 본 연구에서는 ISMS-P 인증기준 102개와 PIA 인증기준 85개를 참조하여 「개인정보보호법」을 중심으로 합법성을 판단할 수 있도록 특성에 따라 5개 분야로 구분하여 19개의 감사중점과 141개의 감사판단기준을 제시하였다. 이는 기존의 연구들이 개인정보의 감사보다는 정보시스템을 위주로 한 기술적인 점검이나 인증기준을 이용한 정보보호 방안 등에 집중되고 있었던 것에 반해, 처음으로 「개인정보보호법」 전반에 걸쳐 관리적·기술적·물리적 보호를 위한 감사중점과 합법성 감사를 위한 감사판단기준을 일반화하여 제시하였다는 점에서 의의가 있다고 할 수 있다. 또한, 본 연구 결과는 인증 대상 기업뿐 아니라 인증을 의무적으로 받지 않아도 되는 기업을 대상으로 ‘개인정보 감사 가이드’ 또는 ‘개인정보보호 점검 가이드’로써 유용하게 활용이 가능하여 정책적이고 실무적인 의의가 있다고 하겠다. 본 연구의 한계로는 「개인정보보호법」은 일반법으로 일반법에 우선하는 관련 특별법까지는 검토를 하지 못하였다. 예를 들면, 법 ‘제24조의2(주민등록번호의 처리의 제한)’ 제1항제1호에서는 “법률이나 대통령령 등에 의해 구체적으로 주민등록번호의 처리를 허용하는 경우”인 「소득세법」, 「금융실명거래법」, 「전자금융거래법」등 다수의 특별법에서 ‘주민등록번호’의 수집을 법률로써 허용하고 있다. 또 ‘제21조(개인정보의 파기)제1항’처럼 “다른 법령에 따라 보존하여야 하는 경우”에도 파기를 아니하고 분리 보관할 수 있도록 하고 있는 바, 「의료법」, 「통신비밀보호법」, 「전자상거래등에서의 소비자보호에 관한 법률」 등 관련 법령에 대한 검토가 이루어질 필요가 있다. 또한, 연구의 범위를 현행 법규만으로 한정하였기 때문에 최근의 정보 위협에 따른 내용들이나 ISMS-P와 PIA 인증기준에서의 50개의 권고조항은 반영하고 있지 못하고 있으며, 현행법상에서의 잠재적이거나 새로운 문제들, 예를 들면, 가이드로 안내하고 있고 법에 대한 규정이 없는 ‘바이오정보’나 ‘RFID’, ‘챕봇 이루다 사건’처럼 새로이 떠오르는 AI(인공지능)나 IOT(사물인터넷) 및 블록체인, 그리고 메타버스와 같은 가상현실에서 발생하는 개인정보에 대한 내용들은 향후 연구가 필요한 과제일 것이다.

공공기관의 개인정보의 법적 취급

표주태 경북대학교 대학원 2009 국내석사

One of the most predominant theories of privacy is that of control over personal information. Personal Information refers to “the whole information of a human being to recognize his/her identity.” The development of communications and computers to facilitate a wide range of use of personal information becomes a threat to privacy. This trend requires a lot of nations including America, Canada, France, Sweden, Germany and Japan to take necessary legal actions for the protection of personal information. There is a regular order in the legal system. The legal treatment of person information maintained by public agencies has the order. First, personal information is gathered by public agencies. Second, the personal information collected by them is managed. This management stage appears the protection, and the disclosure. On the other hand, personal information is protected, discolsed by public agencies. The final, personal information is preserved, scrapped. This stage of personal information is the following. The legal system of personal information in our country, especially by public agencies, is distributed into 4 laws. That is the "Framework Act on Administrative Investigation", "Act on the Protection of Personal Information Maintained by Public Agencies", "Official Information Disclosure Act", and "Act on the Management of Archives by Public Agencies". The 4 laws stated above have weakness in managing personal information. This paper analyzes the legal treatment of the personal information maintained by public agencies according to the stage of one and suggests the improvements against problems on those law systems.

個人情報 影響評價에 관한 法制硏究

장호익 숭실대학교 대학원 2011 국내박사

「개인정보보호법」은 개인정보 영향평가의 평가대상기관, 평가기준, 평가방법 및 절차 등 개인정보 영향평가제도의 주요한 사항을 「개인정보보호법시행령」에 위임하고 있다. 따라서 본 연구는 「개인정보보호법시행령」제정방안을 우선 검토 하였다. 「개인정보보호법」은 영향평가 대상기관을 공공기관으로 한정하되, 처리하는 개인정보의 양, 개인정보의 제3자 제공 여부, 정보주체의 권리를 해할 가능성 등을 고려하여 그 대상을 정하도록 하였는 바, 현재 공공기관에서 운영하고 있는 개인정보파일의 현황 등을 고려하여 우선 10만 명 이상의 개인정보(민감정보 또는 고유식별정보의 경우에는 1만명 이상의 개인정보)를 처리하는 개인정보파일을 신규로 구축·운영하는 경우 등에는 평가전문기관에 의뢰하여 영향평가를 실시하도록 하였다. 그러나, 평가대상의 범위는 상황 변화에 따라 융통성 있게 변경될 수 있다. 그 다음으로 영향평가의 기준, 방법 및 절차 등은 개인정보 영향평가의 기술적·절차적인 사항으로서 그 동안 행정안전부와 한국인터넷진흥원에서 일부 공공기관에서 시행하는 정보화사업을 대상으로 시범적으로 개인정보 영향평가사업을 하면서 축적된 경험을 바탕으로 하여 작성한 공공기관 영향평가 수행안내서의 관련 내용을 참고하였다. 다음으로는 새로 제정된 「개인정보보호법」의 시행으로 개인정보보호 측면에서 획기적인 진전을 이룰 것으로 판단되나, 법 제정 관련 이해관계자들의 의견을 조율하는 과정에서 개인정보 영향평가제도의 총괄기관을 어디로 하여야 하는 지, 영향평가 대상기관의 범위를 어디 까지 하여야 하는 지 등 여러 부문에서 입법정책적으로 문제점이 노정 되었는 바, 본 연구에서는 이러한 문제점을 개선하여 장기적으로 개인정보 영향평가가 형식에 그치지 않고 실질적으로 효율적인 개인정보 영향평가가 이루어질 수 있는 제도를 정립하기 위한 개선 방안에 대하여 검토하여 보았다. 새로 제정된 「개인정보보호법」상 개인정보 영향평가제도의 관장기관은 행정안전부장관으로 되어 있다. 그러나, 행정안전부 자체가 전자 정부사업의 주요한 집행기관으로서 그 사업 추진과정에서 개인정보를 침해할 소지가 있는 바, 그러한 기관에서 개인정보보호업무를 관장하는 것에 근본적인 의문이 있다. 「개인정보보호법」에 따라 새로 설치되는 개인정보보호위원회가 어느 정도 관계 행정기관으로부터 독립성을 갖추어 국가기관 상호간의 견제가 가능한 개인정보보호 감독기구로서의 역할을 수행할 것으로 기대되기 때문에 행정안전부장관을 대신하여 개인정보보호위원회가 개인정보 영향평가제도의 총괄기관으로서의 역할을 수행하여야 한다고 보았다. 다음으로는 「개인정보보호법」은 일정 기준에 해당하는 공공기관에 대하여만 개인정보 영향평가를 의무화하고 있으나, 최근 들어 민간부문에서의 개인정보 수집·활용능력이 고도화되고 그에 따른 침해 사례도 크게 증가하고 그 피해규모도 방대하여짐에 따라 민간무문의 영향평가 의무부과에 따른 사업지연 또는 비용부담 과다 측면에서 전면적인 확대는 어렵더라도 개인정보의 유출, 오남·용 사례가 자주 발생하는 경우, 처리되는 개인정보의 양, 개인정보의 민감성 등을 고려하여 개인정보보호위원회가 필요하다고 인정하는 경우에는 영향평가를 권고할 수 있는 제도적 장치를 마련할 필요가 있다고 보았다. 또한, 개인정보 영향평가를 실무적으로 수행하는 평가전문기관의 적정한 관리·감독이 필요한 바, 평가전문기관의 지정·감독에 관한 사항에 대하여 검토하였고 , 「개인정보보호법」은 영향평가의 결과를 개인정보파일을 등록할 때 첨부 하도록만 할 뿐 공개 의무를 부과하고 있지 않고 있는데, 평가결과의 공개 문제도 개인정보 영향평가제도 도입취지와 연계하여 반드시 시행되어야 할 사항이다. 특히 「개인정보보호법」은 영향평가를 의무화하면서 이를 이행하지 않는 경우의 조치사항에 대하여 침묵을 지킴으로서 법의 실효성을 감소시키는 중대한 입법불비를 드러냈다. 이에 본 논문에서는 그에 대한 일차적으로는 시정명령을 하고, 시정명령에도 응하지 않는 경우에는 행정질서벌로서의 과태료를 부과하는 방안을 제시하였다. The Act on the Protection of Personal Information delegated several important things such as the institution that shall be subject to the impact assessment, the standard of assessment, the method of assessment, the process of it and etc. to be prescribed by Presidential Decree. Therefore, this doctoral dissertation focused on the desirable form of future Presidential Decree of this Act. The Act on the Protection of Personal Information limited the institution that is subject to the impact assessment to public institutions, but the specific subject institution shall be determined considering several facts such as the amount of processed personal information, whether the personal information shall be provided to a third party, the possibility of hampering the right of information subject and etc. This doctoral dissertation suggests the impact assessment shall be done by the professional assessment institution when personal information files of more than 100,000 people (in case of sensitive information or inherent identification information: more than 10,000 people's information) will be newly developed and managed. However, the scope of the subject of impact assessment can be changed flexibly due to the change of environment. Secondly, this doctoral dissertation suggests the standard of assessment, the method of assessment and the process of it after consulting the guidebook for the impact assessment public institutions published by the Ministry of Public Administration and Security and the Korea Internet Security Agency, what they made based on their experience on the personal information impact assessment during the temporal assessment to several public institutions. Furthermore, there are some unsolved problems to decide which institution shall be the managing institution of this impact assessment, how many institutions shall be subject to this assessment, etc., even though this new law will be very helpful for the protection of personal information. this thesis examined several suggestions on how to set up a desirable method that this assessment process can be a really effective impact assessment tool rather than a superficial one in the long run. The Act on the Protection of Personal Information set the managing institution of the impact assessment shall be the Minister of Public Administration and Security. However, the Ministry of Public Administration and Security itself acts as a major performer of big electronic government projects and it can infringe some personal information rights during the project. It would possibly be a good choice the Minister of Public Administration and Security shall be the managing institution. The newly organized "Committee for the Protection of Personal Information" by the Act on the Protection of Personal Information could be act as an independent supervisory institution and this committee shall be the managing institution of privacy impact assessment process. In addition, the law ordered only some public institutions shall have duties of privacy information assessment, but the scope of it is too restrictive. The Committee for the Protection of Personal Information shall have some way at least to recommend the impact assessment when it considers necessary considering the frequency of information right infringements, the amount of processed information, the sensitivity of mattered information and etc., even we cannot enforce compulsory impact assessment to all private institutions because the process can hamper the private economic activities and cause big burden of money. In addition, the "professional assessment institution", which actually does the privacy impact assessment, needs appropriate management and supervision. This doctoral dissertation examined some items for the designation and supervision of the professional assessment institution. Upon this, the Law does not impose the duty of opening the information of the result of impact assessment and only make it attached to the personal information file when it registered. However, when considering the reason why we introduce this impact assessment system, the opening of the result of impact assessment shall be accomplished in the near future. Specially, the Law is silent about how to sanction when the subject institution does not follow the duty of impact assessment. It's a big legislative mistake and it can be a huge hampering factor of this new law. Therefore, I added a suggestion that we shall order a corrective order for the first place and, if the subject institution does not follow the order, the imposition of fine for negligence or charge for compelling the performance.

초등학교 고학년의 개인비전 창출 프로그램 개발

정경훈 부산대학교 대학원 2013 국내박사

본 연구의 목적은 초등학교 고학년의 개인비전 창출 프로그램을 개발하는 데 목적이 있다. 이를 위한 연구과제로 선행연구와 요구분석을 통해 개인비전 창출 프로그램을 구안하고, 전문가 및 사용자 형성평가, 개인비전 검사 등으로 타당도 검증을 실시하고 그 결과를 수정과 검토 과정을 거쳐 프로그램의 최종안을 개발하는 데 두었다. 교수체제설계 모형에 따른 연구 절차에 따라 도출된 결과를 요약하면 다음과 같다. 첫째, 개인비전 창출 프로그램의 핵심가치는 기존 초등학교 현장에 도입된 다른 프로그램과 달리 학생 문제의 해결자인 동시에 변화 촉진자로서의 역할을 할 것으로 인식되었다. 둘째, 개발 프로그램의 학습 구조가 되는 개인비전 창출과 달성 절차가 도출되었다. 이 절차의 요소에는 개인비전의 특징과 역할, 개인비전의 구성요소와 개인비전 모형, 개인비전 프로세스, 지원요소 등이 포함되었다. 셋째, 구안된 개인비전 창출 프로그램은 7장(章), 15회차의 학습계획으로 구성되었다. 넷째, 구안 프로그램은 4개 영역에 한정하여 전문가 형성평가를 실시하였고 그 결과를 프로그램 수정에 활용하였다. 다섯째, 5개 영역으로 한정하여 사용자 형성평가를 실시하여 프로그램의 강점과 개선점을 도출하였다. 여섯째, 개인비전 사전․사후 검사 결과 개인비전 구성요소별 또한 종합적으로 효과가 있는 것으로 나타났다. 일곱째, 프로그램 적용후 도출된 결과물을 5개 영역으로 한정하여 분석한 결과를 수정 및 검토 과정을 거쳐 최종 프로그램을 개발하였다. 따라서 이와 같은 연구 결과는 기존 도입된 학교 프로그램과 차별성이 있는 프로그램으로, 초등학생의 문제 행동 해결을 위한 필수 프로그램으로 인식되어 초등학생에게 변화 촉진자로서의 역할을 할 수 있는 개인비전 설정에 도움을 줄 것으로 기대된다. This study was conducted to develop an practical alternative program for the solution of school problems which upper grade students in elementary schools are being faced. To achieve this purpose, core values to develop personal vision program was investigated and processes for the creation and achievement of personal vision were developed. On the basis of the obtained results, a personal vision program was designed and then its feasibility was verified through formative evaluations by specialists and users. Finally, the effectiveness of the modified personal vision program as a tool for field application and person vision test was also verified. The obtained results in this study could be summarized as follows: Firstly, the development of personal vision program was well timed in view of necessity. Because the personal vision in students play a role of compass in their lives and provide them the answer related to the reason for being, teachers, who are facing various problems and could not find clues to solve the problems, consider personal vision as a core key to solve the problems with elementary school students. In addition, a personal vision program is expected to help students establish personal vision as a change facilitator in their lives. Secondly, the developed person vision program is not different from any existing programs. For examples, most of creative programs for personality, career, and counselling were insufficient in the connectivity among learning content and were operated to acquire fragmentary knowledge and for events. Therefore, participating students could not achieve their goal from the programs. On the contrary, the personal vision programs developed in this study was designed on the basis of core components and change process needed for student's life change. The major contents includes wish, core identities, expected future image. The program would be very effective if continuously operated as one term curriculum. Thirdly, the personal vision program seems to be effective in the development of student's person visions and the facilitation of change. Judging outputs such as the vision statement and learning diary of students, the formation of consiousness to personal vision and the recognization of life change were observed. Although short-term applicationcation of the developed vision program was not enough to verify its effectiveness, the effect would be expected to increased if the program will be applicated in long-term and continuous observation and encouragement for participating students will be conducted by teachers. However, the following further studies will be requested for the effective application of personal vision programs. Firstly, integrated education linked to curricula should be considered. Personal vision, which is the aggregation of talent, skill, motive, value and could be regarded as a core competence in elementary school students, should be firstly developed through a role model. On the basis of established personal vision, learning content was analyzed and drew. Cooperative system in which curricular activities provide students grounds for the aquisition of knowledge and techniques, and creative experience programs and other experience curricula endow motivation and cultivate values, should be established. Secondly, the interelation among adopted programs should be established to facilitate personal changes of students. More than 20 creative experience programs, which have included since amended educational curriculum in 2009, are being operated in each elementary school. However, most of these programs were adopted for the fragmentary learning without interrelation each other and were terminated without the verification of their effectiveness. To facilitate personal changes in elementary school students, the choose and focusing of adopted programs will be requested. Moreover, processes and core components to enduce for student's life change should be prepared before program operation and at the same time, program's merits and the time and duration of adoption should be fully considered.

전자정부하에서 각 행정기관 홈페이지의 개인정보 노출 방지에 대한 연구

강구형 한남대학교 경영산업대학원 2008 국내석사

우리나라는 초고속 인터넷 가입율 세계 1위, 인터넷사용자 수 세계 3위 등 IT 강국으로 전 세계의 주목을 받고 있다. 또한 언제·어디서나 인터넷에 접속하여 정보를 신속하게 소통할 수 있는 유비쿼터스 사회로의 진입을 눈앞에 두고 있다. 인터넷 사용의 고도화와 더블어 해킹이나 컴퓨터 바이러스, 스팸메일의 유통, 사이버 범죄의 지능화, 개인정보 유출 및 프라이버시 침해 등과 같은 정보화의 부작용이 증가하고 있다. 이러한 부작용은 개인뿐만 아니라 사회 전반에 걸쳐 막대한 경제적 손실을 초래 할 수 있다는 점에서 더욱 문제의 심각성이 커지고 있다. 최근 언론 보도를 통해서 알 수 있듯이 많은 공공기관 홈페이지를 통해 개인정보가 노출되고 있고, 구글과 같은 검색엔진에 의해 공공기관에서 보관하고 있는 대량의 개인정보가 인터넷에 공개 되고 있으며, 이렇게 노출된 개인정보는 사이버범죄에 악용될 여지가 매우 높다. 본 논문에서는 행정기관 홈페이지에서의 개인정보 노출 방지 방안에 대해 제시 하였다. 첫째, 개인정보보호에 대한 인식 제고를 위해 개인정보를 다루는 담당자에 대한 지속적인 교육과 개인정보보호 관련 캠페인을 실시한다. 둘째, 개인정보보호 관련 법령들이 일관성을 갖도록 관련 법령을 관리하는 해당 기관에서는 신속하게 법령을 개정해야 하며, 개인정보보호 관련 대표 법률은 모든 부처 및 영역에서 일관성 있게 적용할 수 있도록 다양한 기준을 제시해 주어야 한다. 셋째, 개인정보 노출 방지 기술인 개인정보 노출 차단(필터)프로그램을 적용하며, 개인 주민번호 대체 수단인 아이핀(i-PIN)을 활용한다. 넷째, 각 행정기관 홈페이지를 통해 정보 공개시 개인정보가 노출 될 수 있는 유형별로 조치 방안을 제시하였다. 유비쿼터스 시대에 진입을 눈앞에 두고 있는 시점에서 개인정보보호에 대한 중요성은 더욱 높아지고 있다 유비쿼터스 컴퓨팅 환경에서는 개인의 신상명세나 금융정보 등 더욱 많은 정보가 노출 될 수 있으므로 유비쿼터스 환경에서 개인정보를 보호 할 수 있는 정보통신기술에 대한 연구를 계속 진행해야 할 것이다. 또한 법과 제도를 제정하여 유비쿼터스 환경에서도 개인정보가 보호될 수 있는 제도적 근거를 마련하여야 할 것이다.

개인가치가 콘도미니엄 선택속성에 미치는 영향에 관한 연구

최훈태 경기대학교 2005 국내석사

국가경제의 발전과 국민 소득 수준의 향상으로 인해 관광이 생활의 일부로 인식됨에 따라 관광과 여가활동에 대한 수요는 매년 증가추세를 보이고 있다. 이러한 시대적인 관광 패러다임(paradigm)의 흐름 속에 관광수요에 대한 관광시장 및 관광현상이 성립되기 위해서 가장 기본적이고 필수적인 관광주체가 레저산업 분야인 콘도미니엄 산업이라 생각한다. 또 관광산업은 무형적 서비스를 제공해야 하는 특수성 때문에 관광소비자들이 구매의사를 결정하는 과정에서 상대적으로 추상적이고 복잡한 심리변수에 의해 많은 영향을 받는다. 따라서 본 연구는 콘도미니엄 이용자들의 내재된 심리변수, 즉 개인가치가 콘도미니엄의 선택속성에 어떠한 영향을 미치는지에 대한 연구를 통해, 관광소비자들의 잠재된 개인가치별로 콘도미니엄을 선택 행동함에 있어서 근본적인 중요속성이 무엇인가를 규명하는데 궁극적인 의의를 두었다. 이에 대해, 본 연구에서는 다음과 같은 구체적인 연구목적을 제시 하고자 한다. 첫째, "개인가치"와 콘도미니엄의 "선택속성"간의 관계를 문헌조사를 통해서 개념화하고 체계화 한다. 둘째, 이들 변수를 모형화 함으로써 연구의 실증적인 검증을 위한 틀을 마련 한다. 셋째, 개인가치가 콘도미니엄 선택속성에 미치는 영향을 조사 · 분석함으로써 이들 변수의 인과성인 종속관계를 규명한다. 넷째, 연구결과를 통해 관광소비자들이 갖고 있는 개인가치의 요인별로 콘도미니엄을 선택행동 할 때 선호하는 중요속성과 시사점을 제시한다. 이와 같은 본 연구의 목적을 수행하기 위하여 천혜의 자연환경이 뛰어난 지리산 일대에 소재된 대형 콘도미니엄 3개 업체를 선정해 237부의 설문지를 회수하여 본 연구의 실증분석에 활용하였다. 본 연구를 통하여 나타난 연구결과를 요약하면 다음과 같다. 관광소비자들에게 내재된 심리변수인 개인가치에 있어서 외적가치요인과 내적가치 요인 중 외적가치요인만이 콘도미니엄 선택속성의 모든 요인에 유의적인 영향을 미치는 것으로 나타나, 콘도미니엄은 외적가치를 소유한 관광소비자들에게 긍정적인 반응을 유발시키는 행위의 주체라고도 설명할 수 있을 것이다. 따라서, "콘도미니엄은 관광소비자들에게 관광현상을 성립시키기 위한 필연적인 시설로써 외적가치를 소유한 관광소비자들의 발현이다"라고 함축하고 싶다. The demand for a tourism and a leisure is tending to increase every year because the sightseeing is recognized as a part of living according to a growth of the national economy and a rise in the national income level. In order to be made up of the sightseeing market and state for a tourism demand under this current tourism paradigm, the most fundamental and indispensable tourism core is the condominium business of a leisure industry field as I think. The tourist industry is relatively influenced by the abstract and complex mental factor in the course of deciding to tourists' purchase intention because of the characteristic offered as an invisible service. Accordingly this research aims at looking into what the basic and important property is as selecting condominium each potential personal value of the tourists, through the study of an immanent mental factor of condominium users, that is, how the personal value influences on the selection of a condominium. On this, the research explains concretely an study object as followed. Firstly, to generalize and organize the relationship between "the personal value" and "the selection of a condominium" through referring to records. Secondly, to frame for a substantial inspection as making a model of these variables. Thirdly, to examine into this variable causality, subordinate relationship as analyzing into that the personal value influences on the selection of a condominium. Fourthly, to suggest a preference important factor as selecting a condominium every tourists' personal value through the result of this research. On behalf of achieving this research object there put the survey, which are 237 questionnaires on 3 condominium organizations located in all over the Chiri-mountain of a fine natural environment as a gift of nature, to analyze the research. As follows, to make a long story short through this research. Among the personal value of the tourists' intrinsic factor, the external value has only an intentional effect on every condominium selection factor between an external value and an internal value. In result the condominium is the central inducing tourists, who have an external value, to take an effect in the affirmative. Therefore, "the condominium is the manifestation of tourists owned an external value, as an essential facility to realize the tourist situation." in my opinion.

유비쿼터스 컴퓨팅에서의 개인정보보호

임영덕 성균관대학교 2005 국내석사

유비쿼터스 컴퓨팅은 현재와 같이 컴퓨터라는 단말기를 통하여 정보를 수집·이용하는 단계를 넘어서, 인간이 이용하는 모든 것들에 컴퓨팅 기능과 고유 주소를 부여하고 이들을 네트워크화하여 모든 사물을 인간의 편리를 극대화하는 방향으로 활용하는 것이라고 할 수 있다. 따라서 인간은 유비쿼터스 컴퓨팅 환경에서 자신에게 필요한 서비스를 좀 더 편리하고, 적절하게 제공받을 것이라고 예상된다. 반면에 이러한 유비쿼터스 컴퓨팅 시대에서는 발전된 정보통신기술에 의한 개인정보의 침해가 지금보다도 더 광범위하고도 은밀하게 진행되리라 예상되기도 한다. 예를 들면, 위치추적 시스템을 통하여 자신의 위치를 파악 당하거나, CCTV에 의하여 자신의 모습을 촬영당하거나, 물품에 내장되어있는 RFID가 판매된 이후에도 계속 작동하여서 그 물품의 구매자의 위치가 그대로 노출됨으로 인하여 개인 정보가 침해당하는 것은 유비쿼터스 컴퓨팅에서 일어날 수 있는 가장 흔한 기본권의 침해 사례일 것이다. 본 논문에서는 이러한 유비쿼터스 사회에서의 개인정보침해에 대하여 매체별로 침해의 특성을 알아보고, 이러한 침해에 대응하여 개인정보를 보호하기 위하여 취해야할 개인정보보호의 법적 방안에 대하여 제시한다. The development of communications and computers to facilitate a wide range of use personal information becomes a threat to privacy. The revolutionary development of the information technology has made information society changing day to day. While the development of technology has made information be easily stored and used, the use of computers and smartphones leaves an individual susceptible to invasions of privacy. The concern about privacy runs high, but the prescriptions for treatment vary widely. Privacy advoctes seek different goals when formulating policy proposals. Some seek to protect individuals and society from the effects of loss of privacy, including the loss of human dignity. Others seek to encourage the development in personal information, so that consumers can profit from their own information, rather than giving it away. However, technologies of surveillance, data stalking and commercial profiling create wide spread concern about privacy in personal information. Furthemore, existing legal rights cannot be enough to protect Korean citizens against offensive data practices. For this matter Korea legislated the act for the protection of personal information in public institutions. The act for the protection of personal information in public institutions which shall be the basic law for the protection of personal information is in complete enough to control the infringement of personal information caused by rapid development of the information and communication technology. And also it is undisputed that a future world of smart and cooperating artifacts will pose great risks to our personal privacy. The emergence of ubiquitous sensor networks and robust data mining techniques will amplify the tracking profiling of personal information. Adherence to fair information practices requires personal information collectors to provide suitable means of notice and consent to users, but the sheer volume of collection events would arguably overwhelm the general public if expected to acknowledge and possibly consent to every collection event. A simpler means of managing everyday privacy is necessary. I explore individual privacy protection in Korea, which is protected through a combination of constitutional guarantees and regulations, all of which apply to the public and private sectors in different ways. After taking a quick tour of related laws and regulations on privacy protection, I seek privacy initiative in Korea from fair information practice and legislation. Nowaday, Individuals have a legal right to informational privacy if the legal system would protect them against loss of the condition of informational privacy that is caused by the actions of governmental officials, business entities or private persons. A broad range of legal theories are utilized to vindicate the right to informational privacy. Therefore it is necessary that the content of the act should be revised and the way to improve the protection of personal information should be reconsidered. Firstly concerning the scope of application of the act, it should cover the information which is not controlled by computer. Secondly the right of perusal and the right of correction should be strengthened and furthermore the right of deletion as well as the right of supplement should be given to the subject of information. In addition to this, for the possibility of misuse and leakage of information conducted by public institutions it is considered to give the Committee for the Protection of Personal Information, presently the reviewing institutionmore power to be independent.

금융회사의 개인정보 이용 동의 구현에 대한 효과성 개선 모델

장기현 고려대학교 정보보호대학원 2016 국내석사

개인정보보호법 및 개인정보 보호 관련 법률에서는 개인의 정보를 수집 이용 제공하고자 할 때 이용자의 동의를 얻도록 규정하고 있다. 이에 따라 금융회사에서는 고객으로부터 개인정보 이용 동의서를 징구하여 고객의 개인정보 이용 동의를 얻고 있다. 또한 정부차원에서 고객의 실질적인 동의 의사 확인을 위해 거래별, 상품별 동의서 양식을 다양화하고 필수항목과 선택항목을 구별하는 등의 동의서 양식 개선 노력을 하고 있다. 그러나 아직 금융회사에서는 동의의 본질에 충실하지 못해 동의의 효력을 얻기 어렵거나 동의 의사를 판단하기 어려운 동의서들을 수집 보관하는 사례가 발생한다. 이에 본 연구에서는 개인정보처리자인 사업자의 개인정보 이용 동의 처리 과정에서 개인정보보호 관련 법률을 준수하고 정보주체에게 동의의 본질에 충실한 동의를 유도하기 위한 동의서 검증 절차를 추가한 발전된 개인정보 이용 동의 구현 모델을 제안한다. It is required to have Personal Information Agreement when a financial company uses personal information by the Law of Privacy. So, financial companies have to demand customers the submission of Personal Information Agreement. Thus, financial companies have made Personal Information Agreement in various formats for customers. However, financial companies are lack of a verification process, the cases of collecting invalid Agreement often occurred. This study focuses on the verification process of Personal Information Agreement and the contents of Personal Information Agreement. In conclusion, this study proposes an improved model that added to the process of verification for the concept of Agreement. Based on this study, I hope financial companies to reform their agreement process and to improve the effectiveness on the implementation of Personal Information Utilization Agreement.

개인의 심리적 환경이 초등학생 고학년의 스트레스와 학교생활적응에 미치는 영향

조훈이 건국대학교 교육대학원 2010 국내석사

본 연구는 개인의 심리적 환경이 초등학생 고학년의 스트레스와 학교생활적응에 미치는 영향을 알아보고자 하였다. 이를 위해 서울시 송파구에 위치한 J초등학교 6학년 학생 96명과 강동구에 위치한 C 초등학교 143명 등 총 239명으로부터 자료를 수집하였으며, 불성실한 응답을 제외한 총 229명의 자료를 분석하였다, 본 연구를 위해 미국 청소년 건강연구(Add Health)에서 청소년 건강과 건강 행동의 이유를 밝히기 위해 청소년 건강에 대한 국가적 종단 연구를 실시하였는데, 이 때 사용했던 인터뷰용 질문지와 부모 설문지 문항 일부를 본 연구 목적에 맞게 심리적 환경을 알 수 있는 문항들을 선택하여 번안하였으며, 지도교수의 조언을 받아 본 연구자가 초등학교학생들에게 적합하도록 설계하였다. 스트레스 요인 검사는 천민필(1993)이 제작하고 김경숙(2005)이 사용한 질문지로 실시하였으며 학교생활적응에 관한 검사는 임정순(1993)이 개발하고 송미원(1999)이 수정, 보완한 것을 사용하였다. 실시한 결과는 SPSS(winows version 16.0) 프로그램을 사용하여 개인의 심리적 환경, 스트레스 요인, 학교생활적응 간의 상관분석을 실시하였고 개인의 심리적 환경의 변인들을 독립변인으로, 스트레스 요인과 학교생활적응 변인들을 종속변인으로 중다회귀분석을 실시하였다. 이에 따른 연구의 결과는 다음과 같이 요약될 수 있다. 첫째, 개인의 심리적 환경과 스트레스 및 학교생활적응과 어떤 관계가 있는지 상관관계를 분석한 결과 스트레스와 사회적지지에서 유의미한 부적 상관관계를 보였으며, 학교생활적응과 모와의 대화․부와의 대화․사회적지지에서 유의미한 정적 상관관계를 보였다. 반면, 스트레스의 각 요인과 학교생활적응 간에는 유의한 관계를 보이지 않았다. 개인의 심리적 환경 요인 간 상관관계에서는 모가 함께 있어 주는 빈도와 부가 함께 있어 주는 빈도, 모와의 대화와 부와의 대화, 사회적지지와 모와의 대화, 사회적지지와 부와의 대화 간에 정적으로 유의한 상관을 보였다. 스트레스 요인 간 상관관계에서는 전체적으로 모두 정적 상관관계를 보였다. 둘째, 개인의 심리적 환경이 스트레스에 어떠한 영향을 주는지 알아본 결과 통계적으로 유의미한 상관관계가 있다. 이를 독립변수별로 살펴보면 부가 함께 있어 주는 빈도, 모가 함께 있어 주는 빈도, 부와의 대화에서는 전체 스트레스와 유의미한 관계를 보이지 않은 반면 모와의 대화, 사회적지지에서 유의미한 영향을 미치는 것으로 나타났다. 셋째, 개인의 심리적 환경이 학교생활적응에 어떠한 영향을 주는지 알아본 결과 통계적으로 유의미한 관계가 있는 것으로 분석되었다. 이를 독립변수별로 살펴본 결과 부가 함께 있어 주는 빈도, 모가 함께 있어 주는 빈도, 모와의 대화, 부와의 대화에서는 학교생활적응과 통계적으로 유의한 상관관계를 보이지 않은 반면 사회적지지에서 유의미한 정적 영향을 미치는 것으로 나타났다. 연구결과를 종합해 보면 개인의 심리적 환경 요인 중 등교 전, 하교 후, 잠잘 때 부․모가 집에 함께 있어주는 빈도, 부․모와의 대화는 아동의 스트레스 및 학교생활적응에 크게 영향을 주지 않는다는 것을 알 수 있다. 단지, 모가 자녀에게 관심을 가질수록 아동은 오히려 스트레스를 더 많이 받을 수 있다는 것을 보여준다. 또한 부모, 교사, 친구 등 주변 사람들이 나에게 관심을 써 준다는 인식을 많이 할수록 학교생활을 잘 하는 것으로 나타나 사회적지지가 아동의 학교생활적응에 밀접한 관계가 있음을 보여준다.

個人情報의 保護에 관한 公法的 硏究 : 個人情報保護機構의 改善方案을 中心으로

성민경 延世大學校 法務大學院 2006 국내석사

오늘날 통신과학기술과 인터넷의 보급으로 인한 디지털 정보혁명은 누구나 언제 어디에서나 손쉽게 유용한 정보를 수집,이용할 수 있게 함으로써 모든 생활영역에서 다양한 변화와 함께 우리에게 수많은 혜택을 안겨주었다.그러나 한편으로는 정보의 무제한적이며 빠른 유통과 수집,처리,통합으로 인해 정보의 오남용의 문제가 심각해지고 있다. 특히 개인정보에 있어 무분별한 이용과 관리는 개인의 프라이버시에 상당한 위험을 초래하고 있다.본 연구는 이러한 개인정보의 오남용을 방지하며 나아가 개인의 프라이버시침해를 최대한 보호하기 위해 관련 법제와 이를 운영할 개인정보보호기관의 개선 방안을 모색해 보았다.제1장에서는 본 연구의 목적과 범위 그리고 연구방법에 대해 간략히 설명하였다.제2장에서는 개인정보보호의 공법적 기초로서 개인정보가 무엇이며 그 보호의 중요성 및 필요성에 대해 논의 하였다.그리고 개인정보보호를 위한 기본권으로서 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지를 정보주체가 스스로 통제하고 결정할 수 있는 권리인 개인정보통제권에 대해서 자세히 알아보았다.제3장에서는 국제사회에 있어서 개인정보보호를 위한 노력으로서 3가지 규범을 소개해 보았다. 우선 OECD의 개인정보보호 8원칙과 UN의 개인정보 가이드라인등 국제기구의 개인정보보호를 위한 동향과 유럽연합의 개인정보보호지침을 꼼꼼히 살펴보았다. 이는 과거 많은 국가의 개인정보보호를 위한 규범의 기본적인 방향을 제시 하였으며 지금까지도 여러 각국의 규범에 많은 영향을 주기 때문이다.이어서 독일, 영국, 프랑스, 캐나다, 미국, 일본 등 주요 국가의 개인정보보호정책과 법률을 검토해 보았다. 이상 6개국은 개인정보보호에 관한 사회적 문화적 인식과 법률체계가 어느 나라 보다 앞서 있으며 그에 대한 노력 또한 우리에게 좋은 본보기가 될 수 있기에 이상 6개국의 법제와 우리법제의 비교법적 검토가 필요하기 때문이다.다음으로 우리나라의 개인정보보호관련 법제에 대해 살펴보았다.우리의 경우 공공부문과 민간부분을 따로 규정한 이원적 법률체계로 인한 개인정보보호 공백의 발생 문제와 각각의 개별법으로 규정된 개인정보보호 범위의 혼란으로 야기된 문제가 적지 않다. 따라서 그에 따른 개선방안으로 개인정보보호관련 법률을 통합 정비하여 제정한다면 보호원칙의 통일성 제고와 함께 일관된 정책수립이 가능하여 보다 확실하게 보호의 공백을 메울 수 있을 것이다.제4장에서는 개인정보보호를 위한 법률과 정책 등을 가장 효과적으로 운용하기 위해서는 개인정보의 오남용의 사전예방과 사후구제를 담당할 적절한 기구가 필요할 것이다. 따라서 개인정보보호기관에 대해 알아보았다우선 제3장에서와 같이 주요선진국의 개인정보보호기관의 특징과 운영 실태를 면밀히 살펴보고 이어서 우리나라의 개인정보보호관련 기관을 살펴보았다.그 비교를 통해 도출된 문제점은 우리의 개인정보보호기관이 공공부문과 민간부문으로, 다시 개별법상으로 산재되어 있기 때문에 보호의 공백이 발생하며 기관의 독립성이 확보되지 못하기 때문에 나타나는 권한과 기능의 약화로 인해 보호목적을 충분히 달성하지 못하는데 있다.제5장은 본 연구의 핵심이라 할 수 있는 개인정보보호기관의 개선방안에 대한 논의를 그 중심으로 하였다.우선 개인정보관련 정부부처로부터 독립되어있어야만 그 보호와 감독에 공정을 기할 수 있을 것이다. 한편 독립성의 최대보장을 위해서는 완전한 독립기구 형태가 바람직할 것이나 보호감독기능의 실효성 문제도 간과할 수 없는바 그 독립성과 실효성의 적절한 조화와 절충이 필요할 것이다.다음으로 공공부문과 민간부문으로 나누어진 기관의 통합에 관한 논의로써 단일기구로 통합된다면 역시 통합 제정된 법률을 효율적으로 운영할 수 있을 뿐만 아니라 정보주체가 자신의 정보가 어디에서 어떻게 처리되는지 쉽게 알 수 있고 보호에 대한 강한 믿음을 가질 수 있으며 권리침해시 단일 창구를 통해 권리구제를 쉽고 빠르게 받을 수도 있을 것이다.마지막으로 개인정보보호기구의 위상을 독립의 문제와 연결하여 논의 하고 이어 조직의 형태와 위원의 구성방식과 임명방식 그리고 임기에 대해 간단히 검토해 보았다.또한 개인정보보호기구가 갖추어야 할 세부적인 기능과 권한을 사전예방적 차원과 사후구제적인 차원으로 나누어 그 강화방안에 대해 살펴보았다.이상 개인정보의 보호를 위하여 관련 법률을 보다 실효성 있게 정비하고 이를 효과적으로 집행,운영하며 개인정보의 감독과 보호기능을 충실히 이행 할 수 있는 독립적, 통합적이며 체계 일관적인, 또한 강력한 권한을 가진 개인정보보호기구의 필요성이 절실하다. Today, thanks to the development of communication science and technology and the spread of the Internet, people can access and use information easily at any time and in any place, and this has brought various changes and benefit to every area of people’s life. However, as an infinite volume of information is distributed, collected, processed and integrated speedily, the abuse and misuse of information is emerging as a serious problem. In particular, the indiscreet use and management of personal information is exposing individuals’ privacy to high risk.Thus, in order to prevent the abuse and misuse of personal information and to protect individuals’ privacy to the maximum, the present study considered how to improve relevant that execute the laws.Chapter I briefly described the objectives, the scope and the methods of this research.Chapter II discussed the concept of personal information and the importance and necessity of its protection as the ground of public law for personal information protection. In addition, it examined the right to control personal information as a basic right for personal information protection, with which the subject of information can control and decide when, to whom and to what extent his/her information will be disclosed and used.Chapter III introduced three standards in international society, which were established as efforts to protect personal information.First, we closely examined the trends of personal information protection by international organizations including The OECD’s Eight Principles of F.I.P and The Guidelines for the Regulations of Computerized Personal Data Files in U.N. as well as The Guideline on Personal Information Protection in E.U. Until now, these standards suggested to many countries the basic directions of personal information protection and affected their relevant regulations.In addition, this chapter studied policies and laws related to personal information protection in major countries including Germany, the U.K. France, Canada, the U.S. and Japan. As the six countries are world leaders in social and cultural consciousness and legal systems related to personal information protection and their efforts present desirable models, we need to compare our legal system with theirs.Next, this chapter analyzed the legal system for personal information protection in Korea. Not a few problems have been caused by the vacuum of personal information protection resulting from the dual legal system that separates public sectors from private sectors and by confusion in the scope of personal information protection stipulated differently by individual laws. These problems may be solved by unifying and improving laws related to personal information protection, which will improve the integrity of protection principles, enable the making of consistent policies and fill vacuums in protection.Chapter IV examined organizations for personal information protection because an appropriate authority in charge of prevention of and relief from the abuse and misuse of personal information is required for the effective execution of laws and policies for personal information protection. First, a close examination was made on the characteristics and operation of personal information protection authorities in major developed countries as discussed in Chapter III, and Korean authorities related to personal information protection were examined.Problems derived from the comparison were vacuums in protection because personal information protection authorities in Korea are divided into public and private sectors and again into individual laws and the too weak authorities and functions of authorities for attaining the goals of protection due to lack of independency.Chapter V discussed how to improve personal information protection authority, which is the core of this research.First, the authorities can carry out fair protection and supervision when they are independent from governmental agencies related to personal information. In addition, although a wholly independent organization is desirable to guarantee the utmost independency, but because the effectiveness of the protecting and supervising functions cannot be neglected, it is necessary to make a harmony and compromise between independency and effectiveness.Secondly, in the discussion on the integration of authorities divided into public and private sectors, if they are integrated into a single institution, the resultant integrated law can also be applied efficiently and the subjects of information can know easily where and how their information is processed and be confident in information protection. Furthermore, through the single channel, the victims of privacy violation can be relieved more easily and quickly.Finally, this chapter discussed the standing of the integrated authority in connection with independency, and considered its organization, the composition of the committee members, the method of appointing the members and their term of service. In addition, it discussed detailed functions and rights required to the personal information protection authority and how to strengthen them from the perspectives of prevention and post relief.As discussed above, it is keenly required to improve laws for the protection of personal information to be more effective, to execute and operate the laws more efficiently, and to organize an independent personal information protection institution with integrated powerful authority for the faithful performance of its functions to supervise and protect personal information.