KR101218496B1 - System for protection and management of personal information, and method thereof - Google Patents

System for protection and management of personal information, and method thereof Download PDF

Info

Publication number
KR101218496B1
KR101218496B1 KR1020100131979A KR20100131979A KR101218496B1 KR 101218496 B1 KR101218496 B1 KR 101218496B1 KR 1020100131979 A KR1020100131979 A KR 1020100131979A KR 20100131979 A KR20100131979 A KR 20100131979A KR 101218496 B1 KR101218496 B1 KR 101218496B1
Authority
KR
South Korea
Prior art keywords
personal information
policy
privacy
protection
law
Prior art date
Application number
KR1020100131979A
Other languages
Korean (ko)
Other versions
KR20120089917A (en
Inventor
홍승필
Original Assignee
성신여자대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성신여자대학교 산학협력단 filed Critical 성신여자대학교 산학협력단
Priority to KR1020100131979A priority Critical patent/KR101218496B1/en
Publication of KR20120089917A publication Critical patent/KR20120089917A/en
Application granted granted Critical
Publication of KR101218496B1 publication Critical patent/KR101218496B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals

Abstract

개인정보 보호 관리 시스템 및 개인정보 보호 관리 방법이 개시된다. 본 발명에 따른 개인정보 보호 관리 시스템은 개인정보 보호 관련 법규 분류 체계를 수신하여 분류 체계 상의 개인정보법규 항목들을 파싱하는 파싱부, 파싱부로부터 관련 개인정보법규 항목을 전달받아 관련 개인정보법규를 자연어 해석하여 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책을 분석하는 자연어 해석부, 자연어 해석부로부터 분석된 개인정보 보호와 관련한 정책을 전달받아 분석된 개인정보 보호와 관련한 정책에 대응되는 개인정보 보호 정책 기술문서를 생성하는 정책 생성부 및 정책 수행부가 생성한 개인정보 보호 정책 기술 문서를 수신하여, 개인정보 보호 정책 기술 문서에 기반하여 개인정보 이용자로부터의 개인정보 요청에 대하여 개인정보의 제공 가능 여부와 제공 가능 범위에 대한 결정을 내리고, 결정을 토대로 상기 개인정보 요청에 응답하는 정책 수행부를 포함하여 구성될 수 있다. 따라서, 본 발명에 따른 시스템 및 방법을 이용하면, 개인정보의 제공여부 및 제공의 범위가 표준적인 기술문서에 의해서 명확히 정의가 됨에 따라 개인정보 오남용 및 도용 발생시 즉각적인 대응의 유용성을 제공한다.Disclosed are a personal information protection management system and a personal information protection management method. The personal information protection management system according to the present invention receives a personal information protection related law classification system and parses the personal information law items on the classification system, and receives the related personal information law items from the parsing unit. Natural language interpreter that analyzes the personal information protection policy prescribed by relevant personal information laws and regulations, and personal information that corresponds to the personal information protection policy analyzed by receiving the policy related to personal information analysis analyzed from natural language interpreter Receives the privacy policy technical document generated by the policy generation unit and the policy execution unit that generate the protection policy technical document, and can provide personal information in response to a request for personal information from the user of the personal information based on the privacy policy technical document. Make a decision about whether or not to offer and based on that decision It may be configured to include a policy execution unit for responding to the personal information request. Thus, using the system and method according to the present invention, the availability and scope of provision of personal information is clearly defined by standard technical documents, thereby providing usefulness of immediate response in case of misuse and theft of personal information.

Description

개인정보 보호 관리 시스템 및 개인정보 보호 관리 방법{System for protection and management of personal information, and method thereof}System for protection and management of personal information, and method

본 발명은 개인정보 보호 관리 시스템 및 개인정보 보호 관리 방법에 관한 것으로, 더욱 상세하게는 개인정보를 다루고 있는 서비스 업체나 기업, 포털 사이트 내에서 체계적으로 정의된 개인정보 보호 정책을 적용하여 사용자의 프라이버시 보안성 강화 및 안전한 서비스를 제공하는 개인정보 보호 관리 시스템 및 개인정보 보호 관리 방법에 관한 것이다.The present invention relates to a personal information protection management system and a personal information protection management method, and more specifically, to a user's privacy by applying a systematically defined privacy policy within a service company, a company, or a portal site dealing with personal information. The present invention relates to a personal information protection management system and a personal information protection management method that provide enhanced security and secure services.

개인정보란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의해 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)로 정의될 수 있다(“정보통신망 이용촉진 및 보호 등에 관한 법률”상의 정의). 또한, 본인의 의사에 반하거나 본인이 알지 못하는 상태에서 이용될 경우 정보 주체(혹은 당사자)의 안녕과 이해관계에 영향을 미칠 수 있는 개인 관련 정보는 모두 개인정보라고 할 수 있다.Personal information is information about surviving individuals such as codes, letters, voice, sound, and video that can identify the individual by name, resident registration number, etc. (Even if this information alone does not recognize a specific individual, it can be easily combined with other information. (Including those that can be identified) (as defined in the Act on the Promotion and Protection of Information and Communication Network Utilization). In addition, any personal information that may affect the well-being and interests of the information subject (or party) when used against the person's intention or without the knowledge of the person can be said to be personal information.

한편, 이러한 개인정보를 수집 및 저장, 관리, 이용하는 정보통신 서비스 제공자가 고객의 개인정보를 안전하고 효율적으로 관리하는 것은 점점 중요한 사업영위 조건이 되고 있고, 때로는 기업의 생존과도 직결된 문제가 되고 있다.On the other hand, it is increasingly important that information and communication service providers who collect, store, manage, and use such personal information securely and efficiently manage personal information of customers, which is an important business condition, and sometimes directly related to the survival of a company. have.

이때, 정보통신 서비스 제공자는 시스템내에 존재하게 되는 개인정보에 대한 수집, 저장, 관리 및 이용의 전단계에서 생명주기별 관리를 수행하게 되는데, 이러한 생명주기별 관리는 개인정보의 수집 단계, 개인정보의 저장 및 관리 단계, 개인정보의 이용 및 제공 단계, 개인정보 파기 단계 등의 절차로 구성되게 된다.
At this time, the information and communication service provider performs life cycle management at all stages of collection, storage, management, and use of personal information existing in the system. It consists of the steps of storage and management, use and provision of personal information, and destruction of personal information.

도 1은 일반적인 개인정보 보호 관리 시스템에서의 개인정보 저장 및 관리 단계에서의 흐름을 설명하기 위한 개념도이다.1 is a conceptual diagram for explaining the flow of personal information storage and management in the general personal information management system.

도 1을 참조하면, 개인정보 저장 및 관리 단계는 정보통신서비스 제공자가 개인정보 소유자의 개인정보를 저장하고 이를 관리하는 단계에 해당된다.Referring to FIG. 1, the storing and managing of personal information corresponds to a step in which the information communication service provider stores and manages personal information of the personal information owner.

개인정보 소유자(10)는 정보통신제공자(100)가 운영하는 개인정보 관리 시스템(110)에 대하여 개인정보의 변경/추가를 요청하게 되고, 개인정보 관리 시스템(110)은 개인정보 관리 책임자(130)에게 개인정보 소유자(10)가 요청한 개인정보 변경/추가 요청에 대한 승인을 요청한다. 이때, 개인정보 관리 책임자(130)는 개인정보 관리 시스템(110)이 요청한 개인정보 변경/추가 요청에 대한 승인을 개인정보 관리 시스템(110)에 내리게 된다. 개인정보 관리 책임자(130)로부터 개인정보 변경/추가 요청에 대한 승인을 받게된 개인정보 관리 시스템(110)은 개인정보 저장 데이터베이스(120)에 대한 개인정보 변경/추가를 수행하게 된다.The personal information owner 10 requests a change / addition of personal information to the personal information management system 110 operated by the information communication provider 100, and the personal information management system 110 is responsible for managing personal information 130. ) To approve the personal information change / addition request requested by the personal information owner 10. At this time, the personal information manager 130 is given to the personal information management system 110 to approve the personal information change / addition request requested by the personal information management system 110. The personal information management system 110, which has received the approval of the personal information change / addition request from the personal information manager 130, performs the personal information change / addition to the personal information storage database 120.

예컨대, 수집된 개인정보를 데이터베이스 등에 저장하고, 개인정보 보호 정책에 따라 허가받은 자만이 접속할 수 있도록 하는 권한관리 등이 이루어진다. 개인정보 소유자의 요청이 있는 경우, 관리책임자의 승인하에 해당 개인정보를 변경 및 추가하거나 파기하는 등 저장된 개인정보에 대한 관리가 이루어진다.For example, the collected personal information is stored in a database or the like, and authority management is performed such that only authorized persons can access the data according to the privacy policy. At the request of the owner of the personal information, the management of the stored personal information is managed, such as changing, adding or destroying the personal information with the approval of the manager.

도 2는 일반적인 개인정보 보호 관리 시스템에서의 개인정보 이용 및 제공 단계에서의 흐름을 설명하기 위한 개념도이다.2 is a conceptual diagram for explaining the flow of personal information use and provision in a general personal information management system.

도 2를 참조하면, 개인정보 이용자(20)는 정보통신제공자(100)가 운영하는 개인정보 관리 시스템(110)에 대하여 개인정보의 이용을 요청하게 되고, 개인정보 관리 시스템(110)은 개인정보 관리 책임자(130)에게 개인정보 이용자(20)의 개인정보 이용 요청에 대한 승인을 요청한다. 이때, 개인정보 관리 책임자(130)는 개인정보 관리 시스템(110)이 요청한 개인정보 이용 요청에 대한 승인을 개인정보 관리 시스템(110)에 내리게 된다. 개인정보 관리 책임자(130)로부터 개인정보 이용 요청에 대한 승인을 받게된 개인정보 관리 시스템(110)은 개인정보 저장 데이터베이스(120)로 개인정보 이용자(20)가 요청한 개인정보를 열람하여 개인정보 이용자(20)에게 제공하게 된다.Referring to FIG. 2, the personal information user 20 requests the use of personal information to the personal information management system 110 operated by the information communication provider 100, and the personal information management system 110 requests personal information. The management officer 130 requests the approval of the personal information use request of the personal information user 20. At this time, the personal information manager 130 is given to the personal information management system 110 to approve the request for use of personal information requested by the personal information management system 110. The personal information management system 110, which has received the approval of the personal information use request from the personal information manager 130, reads the personal information requested by the personal information user 20 to the personal information storage database 120, and then uses the personal information user. To 20.

즉, 개인정보의 이용 및 제공 단계는 정보통신서비스 제공자가 수집·관리하고 있는 개인정보를 여러가지 필요에 의해서 관리책임자의 승인 하에 위탁업체나 제휴업체 등 제3자에게 제공하는 단계이다. 예컨대, 정적인 개인정보는 서비스 이용자 인증이나 인터넷 쇼핑 등의 기본 서비스 및 이벤트 등의 부가서비스를 위해 이용되며, 필요에 의해 개인정보 보호 정책에 명시하고 있는 서비스 제공자 외 제3서비스 제공자에게 제공되기도 한다. 따라서, 이 단계에서는 개인정보 소유자의 서비스 가입부터 탈퇴시까지 정보통신서비스 제공자가 저장 및 관리하고 있는 개인정보 일부를 이용하거나 제공하게 된다.
In other words, the use and provision of personal information is a step of providing personal information collected and managed by an information and communication service provider to a third party such as a consignment company or an affiliated company under the approval of the manager in charge. For example, static personal information is used for basic services such as service user authentication or internet shopping, and additional services such as events, and may be provided to third-party service providers other than the service providers specified in the privacy policy as necessary. . Therefore, in this step, the personal information owner uses or provides a part of the personal information stored and managed by the information communication service provider from the subscription of the service to the withdrawal.

상술한 바와 같이, 도 1을 통하여 예시한 개인정보의 관리 단계, 도 2를 통하여 예시한 개인정보의 이용 및 제공 단계에서는 해당 개인정보에 대한 어떠한 주체의 열람 요청, 제공 요청에 대하여 어떠한 수준의 개인정보까지를 열람 및 제공할 수 있을 것인지를 결정하는 것이 중요한 문제가 된다. 즉, 개인정보 보호에 있어서 중요한 문제는, 이와 같은 개인정보의 관리, 이용 및 제공에 대한 정책(policy)의 적절성과 이와 같은 정책의 수행(enforcement)을 어떠한 방식으로 수행할 수 있을 것인지의 문제이다.As described above, in the management step of the personal information illustrated in FIG. 1 and the use and provision of the personal information illustrated in FIG. Determining whether the information can be viewed and provided is an important issue. In other words, the important issue in the protection of personal information is the appropriateness of the policy regarding the management, use and provision of such personal information and how the enforcement of such policy can be carried out. .

상기와 같은 개인정보 보호 관리 시스템에서, 개인정보를 시스템적으로 보호하는데 있어서 상술된 정책 수립의 기초가 되는 개인정보 또는 정보프라이버시의 보호를 위한 법률들이 국내에 입법화 되고 있다. 하지만 이는 부분적인 제정으로 다양한 분야에 산재되어 있어 법적 보호의 공백 및 법규간의 상충되는 부분이 존재하게 된다. In the above personal information protection management system, laws for the protection of personal information or information privacy, which is the basis of the above-mentioned policy in protecting personal information systematically, have been enacted in Korea. However, this is partly enacted and interspersed in various fields, and there is a conflict between legal gaps and regulations.

예컨대, 현재 개인정보 보호 법은 공공부문과 민간부문의 이원화된 법체계로 구성된다. 현행 개인정보 보호법의 체계는 부가적인 규정으로 개정되면서 공공부문의 법률과 민간부문 중 정보통신 부문 및 신용부문 등의 주요 법률과 기타 개별법규의 체계로 되어 있다. 또한, 국제 개인정보 보호 가이드라인은 가장 대표적인 것이 OECD의 "프라이버시보호와 개인정보의 국제적 유통에 관한 가이드라인"으로 각국의 개인정보 보호를 위한 노력과 국내입법의 제정을 권고하고 있다. 하지만 국내에서는 산재된 개인정보 보호 법적 방안으로 기본적인 체계를 갖추지 못하고 입법적인 보완 조치가 이루어지지 않고 있다. For example, current privacy laws consist of dual legal systems in the public and private sectors. The current personal information protection law has been amended into additional provisions, and has become a system of public laws, major laws such as the information and communication sector and the credit sector among the private sector, and other individual laws. In addition, the international privacy guidelines are the most representative of the OECD's "Guidelines on Privacy Protection and the International Distribution of Personal Information", which recommends efforts to protect personal information and establish national legislation. However, in Korea, there are no legislative complementary measures in place of the basic system with the scattered personal information protection legal measures.

즉, 분산된 법률은 체계적인 기본 시스템을 갖추지 못하고 있어 개인정보 보호 통합 체제의 구축이 필요하다. 또한, 개인정보 보호에 대한 정책을 수립하고 이를 판단하는 정보보호 기술은 다양한 솔루션이 존재하기에 상이한 그룹 간의 이용 및 활용이 불편한 실정이다. In other words, decentralized laws do not have a systematic basic system, and therefore, it is necessary to establish a personal information protection system. In addition, the information protection technology that establishes and determines the policy for privacy protection is inconvenient to use and utilize between different groups because various solutions exist.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 개인정보 보호 정책 기술문서를 제공받아 정책 기술문서 상에 등재된 개인정보 보호 법규정을 해석한 결과와, 개인정보 보호 정책 기술문서 상에 정의된 개인정보 항목 및 접근 권한 값들을 토대로 개인정보 보호 정책을 생성하여, 생성된 정책을 수행하는 개인정보 보호 관리 시스템을 제공하는데 있다.An object of the present invention for solving the problems described above, receiving a privacy policy technical document, the result of interpreting the privacy laws and regulations listed on the policy technical document, and defined on the privacy policy technical document The present invention provides a personal information protection management system that generates a personal information protection policy based on the personal information items and access authority values, and performs the created policy.

상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, 개인정보 보호 정책 기술문서를 제공받아 정책 기술문서 상에 등재된 개인정보 보호 법규정을 해석한 결과와, 개인정보 보호 정책 기술문서 상에 정의된 개인정보 항목 및 접근 권한 값들을 토대로 개인정보 보호 정책을 생성하여, 생성된 정책을 수행하는 개인정보 보호 관리 방법을 제공하는데 있다.Another object of the present invention for solving the above problems is to receive a privacy policy technical document, the result of interpreting the privacy laws and regulations listed on the policy technical document, and on the privacy policy technical document The present invention provides a personal information protection management method for generating a personal information protection policy based on defined personal information items and access authority values, and executing the generated policy.

상기 목적을 달성하기 위한 본 발명은, 개인정보 보호 관련 법규 분류 체계를 수신하여 상기 분류 체계 상의 개인정보법규 항목들을 파싱하는 파싱부, 상기 파싱부로부터 상기 관련 개인정보법규 항목을 전달받아 관련 개인정보법규를 자연어 해석하여 상기 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책을 분석하는 자연어 해석부, 상기 자연어 해석부로부터 분석된 개인정보 보호와 관련한 정책을 전달받아 상기 분석된 개인정보 보호와 관련한 정책에 대응되는 개인정보 보호 정책 기술문서를 생성하는 정책 생성부 및 상기 정책 수행부가 생성한 개인정보 보호 정책 기술 문서를 수신하여, 상기 개인정보 보호 정책 기술 문서에 기반하여 개인정보 이용자로부터의 개인정보 요청에 대하여 개인정보의 제공 가능 여부와 제공 가능 범위에 대한 결정을 내리고, 상기 결정을 토대로 상기 개인정보 요청에 응답하는 정책 수행부를 포함한 것을 특징으로 하는 개인정보 보호 관리 시스템을 제공한다.The present invention for achieving the above object is, a parsing unit for receiving the personal information protection related law classification system and parsing the personal information law items on the classification system, receiving the related personal information law items from the parsing unit related personal information Natural language interpreter analyzing natural language by analyzing laws and regulations related to personal information protection provided by the relevant personal information law, and receiving personal information protection policy analyzed by the natural language interpreter. Receives a policy generation unit for generating a privacy policy description document corresponding to a policy and a privacy policy description document generated by the policy execution unit, and receives personal information from a personal information user based on the privacy policy description document. On the basis of the availability and extent of personal information It provides a personal information protection management system comprising a policy performing unit for making a decision on, and responding to the request for personal information based on the decision.

여기에서, 상기 개인정보 보호 정책 기술문서는 APPEL(A P3P Preference Exchange Language), EPAL(Enterprise Privacy Authorization Language) 및 XACML(eXtensible Access Control markup Language) 중 적어도 하나의 개인정보 보호 정책 표준 기술에 의거한 문서일 수 있다.Here, the privacy policy document is a document based on at least one privacy policy standard technology of A P3P Preference Exchange Language (APPEL), Enterprise Privacy Authorization Language (EPAL), and eXtensible Access Control markup Language (XACML). Can be.

여기에서, 상기 개인정보 보호 정책 기술문서는 XML(eXtensible Markup Language) 기반의 문서일 수 있다.Here, the privacy policy description document may be a document based on XML (eXtensible Markup Language).

여기에서, 상기 개인정보 보호 관리 시스템은 법률 데이터베이스를 추가로 포함하고, 상기 자연어 해석부는 상기 파싱부로부터 상기 관련 개인정보법규 항목을 전달받아 관련 개인정보법규를 상기 법률 데이터베이스로부터 독출하여 자연어 해석하고 상기 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책을 분석하도록 구성될 수 있다.The personal information protection management system further includes a legal database, and the natural language interpreter receives the relevant personal information law items from the parser, reads the related personal information law from the legal database, and interprets the natural language. It may be configured to analyze the policies relating to privacy protection provided by relevant privacy legislation.

여기에서, 상기 정책 생성부는 룰 베이스(rule-base)를 추가로 포함하고, 상기 룰 베이스에 포함된 룰(rule)들을 적용하여 상기 자연어 해석부로부터 전달받은 상기 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책에 대응되는 개인정보 보호 정책 기술문서를 생성하도록 구성될 수 있다.Herein, the policy generation unit further includes a rule-base, and the personal information prescribed by the related personal information law received from the natural language analysis unit by applying rules included in the rule base. It may be configured to generate a privacy policy statement corresponding to a policy relating to protection.

상기 다른 목적을 달성하기 위한 본 발명은, 개인정보 보호 관련 법규 분류 체계를 수신하여 상기 분류 체계 상의 개인정보법규 항목들을 파싱하는 파싱 단계, 상기 파싱 단계에서 파싱된 상기 관련 개인정보법규 항목을 전달받아 관련 개인정보법규를 자연어 해석하여 상기 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책을 분석하는 자연어 해석 단계, 상기 자연어 해석 단계에서 분석된 개인정보 보호와 관련한 정책을 전달받아 상기 분석된 개인정보 보호와 관련한 정책에 대응되는 개인정보 보호 정책 기술문서를 생성하는 정책 생성 단계, 개인정보 이용자로부터 개인정보 이용 요청을 수신하는 단계 및 상기 정책 생성 단계에서 생성한 개인정보 보호 정책 기술 문서를 수신하여, 상기 개인정보 보호 정책 기술 문서에 기반하여 상기 개인정보 이용자로부터의 개인정보 요청에 대하여 개인정보의 제공 가능 여부와 제공 가능 범위에 대한 결정을 내리고, 상기 결정을 토대로 상기 개인정보 요청에 응답하는 정책 수행 단계를 포함한 것을 특징으로 하는 개인정보 보호 관리 방법을 제공한다.In accordance with another aspect of the present invention, a parsing step of receiving a personal information protection related law classification system and parsing the personal information law items on the classification system receives the related personal information law items parsed by the parsing step. Natural language interpretation step of analyzing the relevant personal information law natural language analysis policy related to the protection of personal information prescribed by the relevant personal information law, the received personal information protection policy analyzed in the natural language interpretation step received the analyzed personal information A policy generation step of generating a privacy policy description document corresponding to a policy related to protection, receiving a request for using personal information from a user of personal information, and receiving a privacy policy description document generated in the policy generation step, The dog based on the privacy statement Making a decision on whether or not to provide personal information with respect to a request for personal information from an information user, and performing a policy of responding to the request for personal information based on the determination. To provide.

여기에서, 상기 개인정보 보호 정책 기술문서는 APPEL(A P3P Preference Exchange Language), EPAL(Enterprise Privacy Authorization Language) 및 XACML(eXtensible Access Control markup Language) 중 적어도 하나의 개인정보 보호 정책 표준 기술에 의거한 문서일 수 있다.Here, the privacy policy document is a document based on at least one privacy policy standard technology of A P3P Preference Exchange Language (APPEL), Enterprise Privacy Authorization Language (EPAL), and eXtensible Access Control markup Language (XACML). Can be.

여기에서, 상기 개인정보 보호 정책 기술문서는 XML(eXtensible Markup Language) 기반의 문서일 수 있다.Here, the privacy policy description document may be a document based on XML (eXtensible Markup Language).

본 발명에 의하면, 체계적인 개인정보 보호 법제도의 이용으로 자신의 정보를 제공하는 사용자 입장에서는 법적보호를 받을 수 있고, 자신의 정보에 대해서 제한적인 개인정보 수집을 제공함에 따라 불필요한 개인정보 활용 및 오남용을 방지한다. 또한, 개인정보를 요청 및 이용하는 타인 또는 기관은 법적인 보호 하에 개인정보를 이용 및 활용할 수 있다. 본 발명의 일 실시예에 의하면, 프라이버시를 보호하는 APPEL(A P3P Preference Exchange Language)과 같은 표준기술을 이용할 수 있으므로 상이한 그룹 및 기관 내 다양한 사용자들에게 정책을 적용하고 접근제어 및 개인정보 이용이 가능하여, 정보요청 및 이용 시 보안의 유연성과 편리성을 제공해준다. 본 발명에 의하면, 개인정보가 강력한 국내 법률에 의해서 체계적으로 시스템적인 정의가 됨에 따라 개인정보 오남용 및 도용발생시 즉각적인 대응의 유용성을 제공한다.According to the present invention, users who provide their information through the use of a systematic privacy protection system can be legally protected, and by providing limited personal information collection on their information, unnecessary use of personal information and misuse To prevent. In addition, other persons or organizations that request and use personal information may use and use the personal information under legal protection. According to an embodiment of the present invention, standard technologies such as APPEL (A P3P Preference Exchange Language), which protects privacy, can be used to apply policies to various users in different groups and organizations, and to control access and use personal information. This provides security flexibility and convenience when requesting and using information. According to the present invention, as personal information is systematically defined by a strong domestic law, it provides usefulness of immediate response in case of misuse and theft of personal information.

도 1은 일반적인 개인정보 보호 관리 시스템에서의 개인정보 저장 및 관리 단계에서의 흐름을 설명하기 위한 개념도이다.
도 2는 일반적인 개인정보 보호 관리 시스템에서의 개인정보 이용 및 제공 단계에서의 흐름을 설명하기 위한 개념도이다.
도 3은 본 발명에 따른 개인정보 보호 관리 시스템의 일 실시예를 설명하기 위한 블록도이다.
도 4는 본 발명에 따른 개인 정보 보호 관리 시스템에 적용 가능한 개인정보 보호 관련 법규 분류 체계의 예시를 보여주는 개념도이다.
도 5는 본 발명에 따른 개인정보 보호 관리 시스템에 적용되는 개인정보 보호 정책 기술문서의 일 예인 APPEL 문서를 예시한 도면이다.
도 6은 본 발명에 따른 개인정보 보호 관리 방법의 일 실시예를 설명하기 위한 순서도이다.1 is a conceptual diagram for explaining the flow of personal information storage and management in the general personal information management system.
2 is a conceptual diagram for explaining the flow of personal information use and provision in a general personal information management system.
3 is a block diagram illustrating an embodiment of a personal information protection management system according to the present invention.
4 is a conceptual diagram illustrating an example of a privacy classification regulation system applicable to a personal information protection management system according to the present invention.
5 is a diagram illustrating an APPEL document which is an example of a privacy policy technical document applied to a personal information protection management system according to the present invention.
6 is a flowchart illustrating an embodiment of a personal information protection management method according to the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. The terms first, second, A, B, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

이하에서 설명되는 본 발명에 따른 개인정보 보호 관리 시스템 및 개인정보 보호 관리 방법은 도 1 및 도 2를 통하여 설명된 정보통신제공자(100)가 운영하는 개인정보 관리 시스템(110) 및 개인정보 관리 책임자(130)의 역할을 수행하는 시스템 및 그 동작 방법에 해당된다.
The personal information protection management system and the personal information protection management method according to the present invention described below are the personal information management system 110 and personal information manager in charge operated by the information communication provider 100 described with reference to FIGS. 1 and 2. It corresponds to a system performing the role of 130 and its operation method.

본 발명에 따른 개인정보 보호 관리 시스템Personal information protection management system according to the present invention

도 3은 본 발명에 따른 개인정보 보호 관리 시스템의 일 실시예를 설명하기 위한 블록도이다.3 is a block diagram illustrating an embodiment of a personal information protection management system according to the present invention.

도 3을 참조하면, 본 발명에 따른 개인정보 보호 관리 시스템(300)은 파싱부(310), 자연어 해석부(320), 정책 생성부(330) 및 정책 수행부(340)를 포함하여 구성될 수 있다.Referring to FIG. 3, the personal information protection management system 300 according to the present invention may include a parser 310, a natural language interpreter 320, a policy generator 330, and a policy performer 340. Can be.

먼저 파싱부(310)는 개인정보 보호 관련 법규 분류 체계를 수신하여 상기 분류 체계 상의 개인정보법규 항목들을 파싱하는 구성요소이다. 여기에서 개인정보 보호 관련 법규 분류 체계는 개인정보의 수집 및 공유, 유통, 분배에 대한 국내외의 규정 및 법률들을 체계적으로 분류한 분류체계를 의미할 수 있다.First, the parsing unit 310 is a component that receives a personal information protection related law classification system and parses the personal information law items on the classification system. Here, the legal classification system related to personal information protection may mean a classification system that systematically classifies domestic and international regulations and laws on the collection, sharing, distribution, and distribution of personal information.

도 4는 본 발명에 따른 개인 정보 보호 관리 시스템에 적용 가능한 개인정보 보호 관련 법규 분류 체계의 예시를 보여주는 개념도이다.4 is a conceptual diagram illustrating an example of a privacy classification regulation system applicable to a personal information protection management system according to the present invention.

도 4를 참조하면, 수집 제한(collection limitation; 401), 데이터 품질(data quality; 402), 목적 명세(purpose specification; 403), 공개성(openness; 404), 개인 참여(individual participation; 405) 및 사용 제한(use limitation; 406) 등의 분류 체계에 따라 국내에 존재하는 법 규정을 분류한 분류 기준표가 예시되어 있다.Referring to FIG. 4, collection limitation 401, data quality 402, purpose specification 403, openness 404, individual participation 405, and use A classification criteria table is provided which classifies laws and regulations existing in Korea according to a classification system such as use limitation (406).

이러한 개인정보 보호 관련 법규 분류체계는 텍스트 데이터 또는 소정의 데이터베이스 형태에 저장되어 있을 수 있고, 시스템 관리자에 의해서 상황에 따라 변경 및 수정되어 본 발명에 따른 개인정보 보호 관리 시스템에 입력될 수 있을 것이다. 또한, 법률의 개정이나 신규 제정에 따라서 상기 개인정보 보호 관련 법규 분류 체계는 업데이트될 수 있다.Such privacy-related legal classification system may be stored in text data or a predetermined database form, and may be changed and modified according to a situation by a system administrator and input into a personal information protection management system according to the present invention. In addition, according to the revision or new legislation of the law, the classification scheme related to privacy protection may be updated.

다음으로, 자연어 해석부(320)는 상기 파싱부(310)로부터 상기 관련 개인정보법규 항목을 전달받아 관련 개인정보법규를 자연어 해석하여 상기 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책을 분석하는 구성요소이다.Next, the natural language interpreter 320 receives the related personal information law item from the parser 310 and analyzes the related personal information law in natural language to analyze the policy related to personal information protection prescribed by the related personal information law. It is a component.

즉, 자연어 해석부(320)는 파싱부(310)에서 파싱하여 제공한 관련 개인정보 법규 항목이 지정한 개인정보 보호 관련 법률 구문을 참조하여 관련 법률 구문을 자연어 해석하는 구성요소이다. 따라서, 본 발명에 따른 개인정보 보호 관리 시스템(300)은 자연어 해석부(320)의 요청에 의해서 해당되는 법률 조항들을 독출하여 자연어 해석부(320)로 제공하는 법률 데이터베이스(321)를 추가로 포함하여 구성될 수 있다. 다만, 상기 필요한 법률 조항들은 개방 API(Open API)를 제공하는 법률 조항 제공 웹 사이트 등을 통하여 다운로드될 수도 있으므로, 상기 법률 데이터베이스(321)는 본 발명에 따른 개인정보 보호 관리 시스템(300)의 필수 구성요소는 아닐 수 있다.That is, the natural language interpreter 320 is a component that interprets the relevant legal phrases by referring to the personal information protection-related legal phrases specified by the relevant personal information law items parsed and provided by the parser 310. Therefore, the personal information protection management system 300 according to the present invention further includes a legal database 321 which reads the relevant legal provisions and provides them to the natural language interpreter 320 at the request of the natural language interpreter 320. Can be configured. However, since the necessary legal provisions may be downloaded through a legal provision providing web site providing an open API, the legal database 321 may be required for the personal information protection management system 300 according to the present invention. It may not be a component.

따라서, 자연어 해석부(320)는 지정한 개인정보 보호 관련 법규정을 해독하여 해당 개인정보 보호 관련 법규가 규정하고 있는 개인정보에 대한 일반화된 정책을 수집하여 정책 생성부(330)로 전달하는 역할을 수행하게 된다. 이를 위하여 자연어 해석부(320)는 자연어로 기술된 법규 조항들을 육하원칙(5W1H)에 의거하여 자연어 분석할 수 있는 자연어 분석 엔진을 포함하여 구성될 수 있을 것이다.Therefore, the natural language interpreter 320 decodes the specified privacy related laws and regulations and collects the generalized policies for the personal information prescribed by the relevant privacy laws and delivers them to the policy generator 330. Will perform. To this end, the natural language interpreter 320 may be configured to include a natural language analysis engine capable of analyzing natural language based on the laws and regulations (WWH) of the laws and regulations described in natural language.

다음으로, 정책 생성부(330)는 상기 자연어 해석부(320)로부터 분석된 개인정보 보호와 관련한 정책을 전달받아 상기 분석된 개인정보 보호와 관련한 정책에 대응되는 개인정보 보호 정책 기술문서(332)를 생성하는 구성요소이다.Next, the policy generator 330 receives the policy related to the protection of personal information analyzed from the natural language interpreter 320, and the privacy policy technical document 332 corresponding to the analyzed policy related to the protection of personal information. The component that creates the.

여기에서, 상기 개인정보 보호 정책 기술문서(332)에 대해서 먼저 설명하기로 한다.Here, the privacy policy technical document 332 will be described first.

현재 개인정보 보호의 대표적인 기술은 W3C(the World Wide Web Consoritium)에서 개발한 개인정보 보호 정책을 기술하는 산업 표준인 P3P(the Platform for Privacy Preference Project), IBM과 ZKS가 공동 개발한 기업내 고객 정보와 같은 프라이버시 정보에 대한 정책 수립 및 교환을 판단하기 위한 기술로서 EPAL(Enterprise Privacy Authorization Language), XML 정보 보호 기술 중의 하나로 자원들 혹은 접근 요청 개체들에 권한 부여를 통해 자원에 대한 접근 제어를 하는 XML 기반의 언어로서 정책 언어 모델을 제안하고 XML로 구성된 요청, 응답, 그리고 정책 문법을 정의한 XACML(eXtensible Access Control markup Language) 등이 있다. 이외에, OECD에서 개발한 프라이버시정책 생성기(Privacy Policy Statements Generator) 등이 있다. Currently, representative technologies for privacy are the Platform for Privacy Preference Project (P3P), an industry standard that describes privacy policies developed by the World Wide Web Consoritium (W3C), and intra-company customer information jointly developed by IBM and ZKS. As a technology for determining policy establishment and exchange for privacy information such as EPAL (Enterprise Privacy Authorization Language) and XML information protection technology, XML that controls access to resources through authorization of resources or access request entities As a base language, there is an eXtensible Access Control markup Language (XACML) that proposes a policy language model, defines XML request, response, and policy grammar. In addition, there is a Privacy Policy Statements Generator developed by the OECD.

한편, 사용자가 자신의 정책을 표현 및 P3P 정책을 교환하기 위해 제안된 기술이 APPEL(A P3P Preference Exchange Language)이며, 본 발명에 따른 개인정보 보호 정책 기술문서(332)는 바람직하게 상기 APPEL 문서일 수 있다. On the other hand, the proposed technology for the user to express their policies and exchange P3P policy is APPEL (A P3P Preference Exchange Language), and the privacy policy technical document 332 according to the present invention is preferably the APPEL document. Can be.

그러나, 본 발명에 따른 개인정보 보호 정책 기술문서(332)는 개인정보 보호의 정책을 기술(description)하고 상호간에 교환할 수 있는, 정하여진 형태의 규약을 따르는 문서이기만 하면 특정 표준을 따른 문서에 한정되지 않고 이용될 수 있다. 예컨대, 상기 개인정보 보호 정책 기술문서(332)는 APPEL인 것이 바람직하나, 앞서 언급된 EPAL, XACML 등의 문서일 수도 있다. However, the privacy policy technical document 332 according to the present invention is a document conforming to a predetermined form of the protocol that can describe the policy of privacy protection and exchange with each other. It can be used without limitation. For example, the privacy policy description document 332 is preferably APPEL, but may also be a document such as the above-described EPAL, XACML.

이하 본 발명의 일 실시예는 상기 개인정보 보호정책 기술문서(332)가 APPEL 문서인 것을 상정하여 기술된 것이지만, 상기 개인정보호정책 기술문서는 정하여진 형태의 규약을 따르는 문서이기만 하면 특정 표준을 따른 문서에 한정되지 않고 이용될 수 있다. 이때, 상기 정책 기술문서(332)는 XML(eXtensible Markup Language) 문서 형태로 구성되는 것이 일반적일 수 있다.Hereinafter, an embodiment of the present invention has been described assuming that the privacy policy description document 332 is an APPEL document, but the privacy policy description document is a document that conforms to a prescribed form of a protocol and conforms to a specific standard. It can be used without being limited to the document. In this case, the policy description document 332 may be generally configured in the form of an XML (eXtensible Markup Language) document.

도 5는 본 발명에 따른 개인정보 보호 관리 시스템에 적용되는 개인정보 보호 정책 기술문서의 일 예인 APPEL 문서를 예시한 도면이다.5 is a diagram illustrating an APPEL document which is an example of a privacy policy technical document applied to a personal information protection management system according to the present invention.

도 5를 참조하면, 해당 개인정보 보호 정책 기술문서가 규정하고 있는 개인정보 보호에 대한 법규가 정보통신망 이용촉진 및 정보보호 등에 관한 법률임을 예시된 APPEL 문서의 항목(410)이 해당 개인정보 보호 정책 기술문서가 규정하고 있는 개인정보 보호에 대한 법규가 정보통신망 이용촉진 및 정보보호 등에 관한 법률임을 지정된다.Referring to FIG. 5, the item 410 of the APPEL document exemplifying that the law on the protection of personal information prescribed in the corresponding privacy policy technical document is a law on the promotion of information communication network use and information protection, etc. is applicable. The law on the protection of personal information prescribed in the technical documents shall be designated as the Act on the Promotion of Information and Communication Network Utilization and Information Protection.

또한, 해당 개인정보 보호 정책 기술문서 내에서 항목들(420)의 태그(tag)들을 통하여 해당 개인정보 보호정책 기술문서가 규정하는 해당 개인정보 항목들의 종류와 액세스 권한이 지정된다. 즉, 항목들의 종류와 각 항목들에 대한 액세스 권한을 개인정보 보호 정책 기술문서에서 규정함으로써, 후술될 정책 수행부(340)에서 정책을 수행할 수 있는 기준을 제공하게 되는 것이다.In addition, the tags of the items 420 in the privacy policy description document specify the types and access rights of the corresponding privacy information items defined by the privacy statement. That is, by defining the types of items and the access rights for the items in the privacy policy description document, the policy execution unit 340 to be described later provides a standard for executing the policy.

개인정보 보호 정책 기술문서 중 예컨대, APPEL 문서는 기본적으로 W3C에서 제공되는 표준 태그들을 적용하며, 본 발명에서 정책을 적용하기 위해 XML 기반 언어 제공으로 사용자의 기본 정보, 역할, 이용목적, 요청하는 정보 등에 대해서 XML의 확장태그를 이용하여 구성될 수 있다. 이러한 XML 기반의 언어는 연동성 및 향후 확장을 가능하게 한다.For example, the APPEL document of the privacy policy technical document basically applies the standard tags provided by the W3C, and provides basic information, role, purpose of use, and requesting information by providing an XML-based language to apply the policy in the present invention. It may be configured using the XML extension tag. This XML-based language enables interoperability and future expansion.

즉, 정책 생성부(330)는 상기 자연어 해석부(320)에서 분석한 개인정보 보호 관련 법규가 제시하는 개인정보에 대한 일반적인 항목별 접근 권한의 원칙을 토대로, 개인정보 항목 및 접근 권한 값들에 대한 정책(policy)을 규정하는 개인정보 보호 정책 기술문서를 생성하는 구성요소이다. That is, the policy generation unit 330 is based on the principle of the general item-specific access rights for the personal information proposed by the laws related to personal information protection analyzed by the natural language interpreter 320, for the personal information items and access rights values A component that creates a privacy policy statement that defines a policy.

예컨대, 정책 생성부는 도 5에서 예시한 APPEL 문서와 같은 개인정보 보호 정책 기술문서를 생성하게 된다.For example, the policy generator generates a privacy policy description document such as the APPEL document illustrated in FIG. 5.

도 5를 재참조 하면, 개인정보 보호 정책 기술문서는 <ENTITY> 항목에 포함되어있는 <DATA-GROUP>으로써 요청자의 정보를 설정하며, <ACCESS> 및 <ACCESSCONTROL> 태그로써 요청타입과 사용자의 접근제어권한을 규정하게 된다. Referring back to FIG. 5, the privacy policy description document sets the requestor's information with the <DATA-GROUP> contained in the <ENTITY> item, and the request type and the user's access with the <ACCESS> and <ACCESSCONTROL> tags. Control authority will be defined.

또한, <PURPOSE> 항목을 통해 개인정보를 이용하는 목적에 대해서 정의된 것을 정의하고, <DISPUTES-GROUP>와 <RETENTION>을 통해 적용되는 법 및 정보의 보유기간을 알 수 있다. 요청한 정보가 무엇인지는 <DATA-GROUP>에 정의될 수 있다.In addition, you can define what is defined for the purpose of using personal information through <PURPOSE> item, and know the law and information retention period applied through <DISPUTES-GROUP> and <RETENTION>. What information is requested can be defined in the <DATA-GROUP>.

이때, 개인정보는 국내관련 법률에서 규정하고 있는 정보통신서비스제공자의 전자적 게시에 대한 의무사항을 반영한 “개인정보 보호 정책 설정 및 협상규격 (한국정보통신기술협회, 2007)” 기반으로 요청정보를 분석한다. 또한, 사용자의 정보, 역할, 이용목적 등에 따라 적용되는 권한이 다르게 구분된다. At this time, the personal information is analyzed based on the “Personal Information Protection Policy Setting and Negotiation Standards (Korea Information and Communication Technology Association, 2007)” reflecting the obligations of the electronic communication of the information and communication service provider prescribed in the relevant laws of Korea. do. In addition, the permissions applied according to the user's information, role, purpose of use, etc. are classified differently.

따라서, 정책 생성부(330)는 상기 정책 생성부는 룰 베이스(rule-base)를 추가로 포함하고, 상기 룰 베이스에 포함된 룰(rule)들을 적용하여 상기 자연어 해석부(320)로부터 전달받은 상기 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책에 대응되는 개인정보 보호 정책 기술문서를 생성하도록 구성될 수 있다.Accordingly, the policy generator 330 further includes a rule-base, and applies the rules included in the rule base to receive the policy from the natural language interpreter 320. It may be configured to generate a privacy policy technical document corresponding to a policy relating to privacy protection provided by relevant privacy laws.

마지막으로, 정책 수행부(340)는 상술된 정책 수행부(330)를 통하여 전달받은 개인정보 보호 정책 기술문서에서 규정한 정책을 적용(enforcement)하는 역할을 수행한다. 즉, 개인정보 이용자(20)로부터의 개인정보에 대한 요청을 수신하고, 상기 정책 수행부(330)를 통하여 수립된 정책을 상기 요청에 적용하여 제공될 수 있는 개인정보의 한도를 결정짓고, 한도내에 있는 개인정보를 제3자에게 제공하는 것에 의해서 개인정보 보호 정책을 수행하는 역할을 수행하도록 구성된다.Finally, the policy executor 340 serves to enforce the policy specified in the privacy policy description document received through the policy executor 330 described above. That is, the request for personal information from the personal information user 20 is received, and the policy established through the policy execution unit 330 is applied to the request to determine the limit of personal information that can be provided and the limit. By providing personal information within the third party to a third party to enforce the privacy policy.

즉, 정책 수행부(340)는 개인정보 저장 데이터베이스(120)에서 상기 정책에 의거하여 결정된 제공 가능한 개인정보의 종류와 개인정보의 범위에 기초하여 개인정보를 열람하여 개인정보 이용자에게 제공하는 역할을 수행하도록 구성될 수 있다. 이때, 개인정보 저장 데이터베이스(120)는 본 발명에 따른 개인정보 보호 관리 시스템(300)내에 존재하는 구성요소일 수도 있으나, 정보의 기밀성을 유지하기 위하여 제3의 운영주체가 운영하는 데이터베이스로서 본 발명에 따른 개인정보 보호 관리 시스템에 대한 외부 구성요소로서 존재할 수도 있을 것이다.
That is, the policy execution unit 340 reads and provides the personal information to the personal information user based on the type of personal information and the range of personal information that can be provided based on the policy in the personal information storage database 120. It can be configured to perform. At this time, the personal information storage database 120 may be a component existing in the personal information protection management system 300 according to the present invention, but the present invention is a database operated by a third operating entity to maintain confidentiality of information. It may also exist as an external component to the privacy management system in accordance with

본 발명에 따른 개인정보 보호 관리 방법Privacy management method according to the present invention

도 6은 본 발명에 따른 개인정보 보호 관리 방법의 일 실시예를 설명하기 위한 순서도이다.6 is a flowchart illustrating an embodiment of a personal information protection management method according to the present invention.

도 6을 참조하면, 본 발명에 따른 개인정보 보호 관리 방법은 파싱 단계(S510), 자연어 해석 단계(S520), 정책 생성 단계(S530), 개인정보 이용 요청 수신 단계(S540) 및 정책 수행 단계(S550)를 포함하여 구성될 수 있다.Referring to FIG. 6, the personal information protection management method according to the present invention includes a parsing step (S510), a natural language interpretation step (S520), a policy generation step (S530), a personal information use request receiving step (S540), and a policy performing step ( S550) may be configured to include.

파싱 단계(S510)는 본 발명에 따른 개인정보 보호 관리 시스템이 개인정보 보호 관련 법규 분류 체계를 수신하여 상기 분류 체계 상의 개인정보법규 항목들을 파싱하는 단계에 해당한다. 도 3을 병행하여 참조하면, 상기 단계(S510)는 본 발명에 따른 개인정보 보호 관리 시스템(300)의 파싱부(310)가 개인정보 보호 관련 법규 분류 체계를 참조하는 과정에 해당한다. The parsing step (S510) corresponds to a step in which the personal information protection management system according to the present invention receives the personal information protection related law classification system and parses the personal information law items on the classification system. Referring to FIG. 3 in parallel, the step S510 corresponds to a process in which the parsing unit 310 of the personal information protection management system 300 refers to a privacy classification rule.

이때, 개인정보 보호 관련 법규 분류 체계는 도 4에서 예시한 바와 같이 개인정보의 수집 및 공유, 유통, 분배에 대한 국내외의 규정 및 법률들을 체계적으로 분류한 분류체계를 의미할 수 있고, 텍스트 데이터 또는 소정의 데이터베이스 형태에 저장되어 있을 수 있고, 시스템 관리자에 의해서 상황에 따라 변경 및 수정되어 본 발명에 따른 개인정보 보호 관리 시스템에 입력될 수 있을 것이다. 또한, 법률의 개정이나 신규 제정에 따라서 상기 개인정보 보호 관련 법규 분류 체계는 업데이트될 수 있다.At this time, the law classification system related to personal information protection may mean a classification system that systematically classifies domestic and foreign regulations and laws for the collection, sharing, distribution, and distribution of personal information, as illustrated in FIG. It may be stored in a predetermined database form, and may be changed and modified according to a situation by a system administrator and input into a personal information protection management system according to the present invention. In addition, according to the revision or new legislation of the law, the classification scheme related to privacy protection may be updated.

다음으로, 자연어 해석 단계(S520)는 상기 파싱 단계(S510)에서 파싱된 상기 관련 개인정보법규 항목을 전달받아 관련 개인정보법규를 자연어 해석하여 상기 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책을 분석하는 단계이다.Next, the natural language interpretation step (S520) receives the related personal information law items parsed in the parsing step (S510) and interprets the relevant personal information laws in natural language by analyzing the related personal information laws and policies related to personal information protection prescribed by the related personal information law. It is a step of analyzing.

즉, 자연어 해석 단계(S520)은 파싱 단계(S510)에서 파싱한 법률 조항들을 법률 데이터베이스(321) 등의 구성요소로부터 수신하여 해당 개인정보 보호 관련 법규가 규정하고 있는 개인정보에 대한 일반화된 정책을 수집하는 역할을 수행하게 된다. 이를 위하여 자연어 해석 단계(S520)는 자연어로 기술된 법규 조항들을 육하원칙(5W1H)에 의거하여 자연어 분석할 수 있는 자연어 분석 엔진을 이용하여 수행될 수 있을 것이다.That is, natural language interpretation step (S520) receives the legal provisions parsed in the parsing step (S510) from components such as the legal database (321) to implement a generalized policy for personal information prescribed by the relevant privacy laws and regulations. It will play the role of collecting. To this end, the natural language interpretation step S520 may be performed using a natural language analysis engine capable of analyzing natural language based on laws and regulations written in natural language based on the sixth principle (5W1H).

다음으로, 정책 생성 단계(S530)는 상기 자연어 해석 단계(S520)에서 분석된 개인정보 보호와 관련한 정책을 전달받아 상기 분석된 개인정보 보호와 관련한 정책에 대응되는 개인정보 보호 정책 기술문서를 생성하는 단계이다.Next, the policy generation step (S530) receives the policy related to the privacy protection analyzed in the natural language interpretation step (S520) to generate a privacy policy technical document corresponding to the analyzed privacy policy Step.

앞서 언급된 바와 같이, 개인정보 보호 정책 기술문서는 개인정보 보호의 정책(policy)을 기술(description)하고 상호간에 교환(exchange)할 수 있는, 정하여진 형태의 규약을 따르는 문서로서, 특정 표준을 따른 문서에 한정되지 않고 이용될 수 있다. 예컨대, 상기 개인정보 보호 정책 기술문서는 APPEL인 것이 바람직하나, 앞서 언급된 EPAL, XACML 등의 문서일 수도 있다.As mentioned above, a privacy policy statement is a document that follows a set of conventions that allow for the description and interchange of policies of privacy. It can be used without being limited to the accompanying document. For example, the privacy policy technical document is preferably APPEL, but may also be a document such as EPAL or XACML.

개인정보 보호 정책 기술 문서의 예시는 앞서 설명된 도 5에서와 같으므로 추가적인 설명은 생략한다.An example of the privacy policy technical document is the same as in FIG. 5 described above, and thus, further description thereof will be omitted.

다음으로, 개인정보 이용요청 수신 단계(S540)는 개인정보 이용자로부터 개인정보 이용 요청을 수신하는 단계이다.Next, a step of receiving a personal information use request (S540) is a step of receiving a request for using personal information from a user of personal information.

이때, 개인정보 이용자는 정보통신서비스 제공자가 수집·관리하고 있는 개인정보를 여러가지 필요에 의해서 관리책임자의 승인 하에 제공받는 위탁업체나 제휴업체 등 제3자일 수 있다. 즉, 개인정보 이용자는 서비스 이용자 인증이나 인터넷 쇼핑 등의 기본 서비스 및 이벤트 등의 부가서비스를 위해 개인정보의 이용이 요구되는 제 3자에 해당될 수 있다.In this case, the user of the personal information may be a third party such as a consignment company or an affiliated company that receives the personal information collected and managed by the information communication service provider under various management's approvals. That is, the personal information user may correspond to a third party that requires the use of personal information for basic services such as service user authentication or Internet shopping and additional services such as events.

마지막으로, 정책 수행 단계(S550)는 상기 개인정보 이용요청 수신 단계(S540)에서 개인정보 이용자가 요청한 개인정보 이용 요청에 대하여 상기 정책 생성 단계(S530)에서 생성한 개인정보 보호 정책 기술문서에 기초한 개인정보 보호에 관한 적용 정책에 기반하여 상기 개인정보 이용자에 대한 개인정보의 제공 가능 여부와 개인정보 제공의 범위를 결정하여 개인정보 저장 데이터베이스를 열람하여 해당되는 개인정보를 개인정보 이용자에게 제공하는 단계에 해당된다.
Finally, the policy execution step (S550) is based on the privacy policy technical document generated in the policy generation step (S530) for the personal information use request requested by the personal information user in the step S540 of receiving the personal information use request. Determining whether the personal information is provided to the personal information user and the scope of the personal information based on the application policy on the protection of personal information, and browsing the personal information storage database to provide the corresponding personal information to the personal information user. Corresponds to

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims It can be understood that

20: 개인정보 이용자 120: 개인정보 저장 데이터베이스
300: 개인정보 보호 관리 시스템
310: 파싱부 320: 자연어 해석부
321: 법률 데이터베이스
330: 정책 생성부 331: 룰 베이스
332: 개인정보 보호 정책 기술문서
340: 정책 수행부20: personal information user 120: personal information storage database
300: privacy management system
310: parser 320: natural language analysis unit
321: legal database
330: policy generator 331: rule base
332: Privacy Policy Article
340: Policy execution unit

Claims (8)

법률 데이터베이스;
개인정보 보호 관련 법규 분류 체계를 수신하여 상기 분류 체계 상의 개인정보법규 항목들을 파싱하는 파싱부;
상기 파싱부로부터 상기 관련 개인정보법규 항목을 전달받아 관련 개인정보법규를 상기 법률 데이터베이스로부터 독출하여 자연어 해석하고 상기 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책을 분석하는 자연어 해석부;
상기 자연어 해석부로부터 분석된 개인정보 보호와 관련한 정책을 전달받아 상기 분석된 개인정보 보호와 관련한 정책에 대응되는 개인정보 보호 정책 기술문서를 생성하는 정책 생성부; 및
상기 정책 수행부가 생성한 개인정보 보호 정책 기술 문서를 수신하여, 상기 개인정보 보호 정책 기술 문서에 기반하여 개인정보 이용자로부터의 개인정보 요청에 대하여 개인정보의 제공 가능 여부와 제공 가능 범위에 대한 결정을 내리고, 상기 결정을 토대로 상기 개인정보 요청에 응답하는 정책 수행부를 포함한 것을 특징으로 하는 개인정보 보호 관리 시스템.Legal database;
A parsing unit receiving a personal information protection law classification system and parsing the personal information law items on the classification system;
A natural language interpreter which receives the related personal information law item from the parsing unit, reads the related personal information law from the legal database, interprets the natural language, and analyzes the policy related to the protection of personal information prescribed by the related personal information law;
A policy generator configured to receive a policy related to privacy protection analyzed from the natural language interpreter and to generate a privacy policy description document corresponding to the analyzed privacy policy; And
Receiving a personal information protection policy description document generated by the policy execution unit and determining whether to provide personal information and a range of the provision of the personal information in response to a request for personal information from a user of personal information based on the privacy policy description document. And a policy execution unit for responding to the request for personal information based on the determination. 제 1 항에 있어서,
상기 개인정보 보호 정책 기술문서는 APPEL(A P3P Preference Exchange Language), EPAL(Enterprise Privacy Authorization Language) 및 XACML(eXtensible Access Control markup Language) 중 적어도 하나의 개인정보 보호 정책 표준 기술에 의거한 문서인 것을 특징으로 하는 개인정보 보호 관리 시스템.The method of claim 1,
The privacy policy technical document is a document based on at least one privacy policy standard technology of A P3P Preference Exchange Language (APPEL), Enterprise Privacy Authorization Language (EPAL), and eXtensible Access Control markup Language (XACML). Personal information protection management system. 제 1 항에 있어서,
상기 개인정보 보호 정책 기술문서는 XML(eXtensible Markup Language) 기반의 문서인 것을 특징으로 하는 개인정보 보호 관리 시스템.The method of claim 1,
The privacy policy description document is a privacy management system, characterized in that the XML-based document (eXtensible Markup Language). 삭제delete 제 1 항에 있어서,
상기 정책 생성부는 룰 베이스(rule-base)를 추가로 포함하고,
상기 룰 베이스에 포함된 룰(rule)들을 적용하여 상기 자연어 해석부로부터 전달받은 상기 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책에 대응되는 개인정보 보호 정책 기술문서를 생성하는 것을 특징으로 하는 개인정보 보호 관리 시스템.The method of claim 1,
The policy generator further includes a rule-base,
By applying rules included in the rule base to generate a privacy policy technical document corresponding to a policy relating to the protection of personal information prescribed by the relevant personal information law received from the natural language analysis unit. Privacy Management System. 개인정보 보호 관련 법규 분류 체계를 수신하여 상기 분류 체계 상의 개인정보법규 항목들을 파싱하는 파싱 단계;
상기 파싱 단계에서 파싱된 상기 관련 개인정보법규 항목을 전달받아 관련 개인정보법규를 자연어 해석하여 상기 관련 개인정보법규가 규정한 개인정보 보호와 관련한 정책을 분석하는 자연어 해석 단계;
상기 자연어 해석 단계에서 분석된 개인정보 보호와 관련한 정책을 전달받아 상기 분석된 개인정보 보호와 관련한 정책에 대응되는 XML(eXtensible Markup Language) 기반의 문서인 개인정보 보호 정책 기술문서를 생성하는 정책 생성 단계;
개인정보 이용자로부터 개인정보 이용 요청을 수신하는 단계; 및
상기 정책 생성 단계에서 생성한 개인정보 보호 정책 기술 문서를 수신하여, 상기 개인정보 보호 정책 기술 문서에 기반하여 상기 개인정보 이용자로부터의 개인정보 요청에 대하여 개인정보의 제공 가능 여부와 제공 가능 범위에 대한 결정을 내리고, 상기 결정을 토대로 상기 개인정보 요청에 응답하는 정책 수행 단계를 포함한 것을 특징으로 하는 개인정보 보호 관리 방법.A parsing step of receiving a personal information protection related legal classification system and parsing the personal information legal items on the classification system;
A natural language interpretation step of receiving the related personal information law item parsed in the parsing step and analyzing the related personal information law in a natural language to analyze a policy related to personal information protection prescribed by the related personal information law;
Policy generation step of generating a privacy policy technical document, which is an XML (eXtensible Markup Language) based document corresponding to the analyzed personal information protection policy by receiving the policy related to personal information analysis analyzed in the natural language interpretation step. ;
Receiving a request for using personal information from the personal information user; And
Receiving the privacy policy description document generated in the policy generation step, and based on the privacy policy description document for the availability and the scope of the provision of the personal information to the request for personal information from the user of the personal information And making a decision and responding to the request for personal information based on the decision. 삭제delete 삭제delete
KR1020100131979A 2010-12-21 2010-12-21 System for protection and management of personal information, and method thereof KR101218496B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100131979A KR101218496B1 (en) 2010-12-21 2010-12-21 System for protection and management of personal information, and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100131979A KR101218496B1 (en) 2010-12-21 2010-12-21 System for protection and management of personal information, and method thereof

Publications (2)

Publication Number Publication Date
KR20120089917A KR20120089917A (en) 2012-08-16
KR101218496B1 true KR101218496B1 (en) 2013-01-22

Family

ID=46883159

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100131979A KR101218496B1 (en) 2010-12-21 2010-12-21 System for protection and management of personal information, and method thereof

Country Status (1)

Country Link
KR (1) KR101218496B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101636026B1 (en) 2015-07-03 2016-07-05 주식회사 바넷정보기술 System and method for destructing and removing privacy data
KR102296420B1 (en) * 2019-09-30 2021-09-01 한국과학기술원 Method and system for trust level evaluationon personal data collector with privacy policy analysis
KR102627705B1 (en) * 2020-12-09 2024-01-23 한국전자통신연구원 Apparatus and method for management of accessing medical data

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090106815A1 (en) * 2007-10-23 2009-04-23 International Business Machines Corporation Method for mapping privacy policies to classification labels

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090106815A1 (en) * 2007-10-23 2009-04-23 International Business Machines Corporation Method for mapping privacy policies to classification labels

Also Published As

Publication number Publication date
KR20120089917A (en) 2012-08-16

Similar Documents

Publication Publication Date Title
US7299171B2 (en) Method and system for processing grammar-based legality expressions
Preibusch et al. Ubiquitous social networks: Opportunities and challenges for privacy-aware user modelling
Hu et al. Guidelines for access control system evaluation metrics
Lioudakis et al. A middleware architecture for privacy protection
Wang et al. Ubiquitous computing environments and its usage access control
KR101218496B1 (en) System for protection and management of personal information, and method thereof
Rosadi et al. Privacy challenges in the application of smart city in Indonesia
KR101086452B1 (en) System for identity management with privacy policy using number and method thereof
Chiu et al. Privacy and access control issues in financial enterprise content management
Yoose Balancing privacy and strategic planning needs: A case study in de-identification of patron data
Masood et al. Usage Control Model Specification in XACML Policy Language: XACML Policy Engine of UCON
Kabir et al. A conditional role-involved purpose-based access control model
Bekara et al. A semantic information model based on the privacy legislation
Cenys et al. Designing role-based access control policies with UML
Essaouini et al. Access control policy: A framework to enforce recommendations
Skinner et al. Defining and protecting meta privacy: a new conceptual framework within information privacy
Huertas Celdrán et al. A management platform for citizen’s data protection regulation
Choi et al. Design and implementation of a policy-based privacy authorization system
Papagiannakopoulou et al. Privacy-aware access control
Fatema Adding Privacy Protection to Policy Based Authorisation Systems
Ficco et al. Security SLAs for cloud services: Hadoop case study
Giblin et al. Towards Separation of Duties for Services
Praitano et al. An Introduction to Privacy
Kornfeind Public Libraries and Information Privacy Policies: A Case of the Naperville Public Library and Privacy Trends in the LIS Profession
Wolter et al. An xacml extension for business process-centric access control policies

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161209

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181224

Year of fee payment: 7