I. 서론
IT 기술의 발전과 다양한 서비스의 증가로 많은 공공기관들은 민원 서비스, 복지 서비스 등 해당 기관의 업무를 위해서 개인정보를 활용하고 있다. 더불어 여러 기관 간 상호 서비스 연계 및 통합이 이루어지면서 개인정보 활용에 대한 업무 의존도가 높아지고 있는 추세이다.
공공기관에서 개인정보를 활용하는 비중이 커지면서 각 기관에서는 개인정보의 안전한 관리를 위해 개인정보보호에 대한 관심제고를 요구한다. 업무 환경의 변화에 따라 국가에서는 개인정보의 안전한 활용 및 관리를 위한 법률을 제ㆍ개정하거나 개인정보보호 관련 평가제도나 인증제도를 운영하는 등의 노력을 기울이고 있다.
그럼에도 불구하고, 국내에서는 2008년 옥션, 2011년 SK커뮤니케이션즈, 2011년 넥슨, 2012년 EBS, 코웨이, KT, 2014년 카드사 개인정보 유출과 같은 대형 개인정보 유출 사고들이 발생하였으며, 이외에도 공무원의 개인정보 무단사용 및 오・남용 등 수차례의 개인정보 침해사고가 발생하였다. 개인정보 침해사고는 시간이 지남에 따라 사고의 유형이 점점 다양해지고, 피해 규모 또한 증가하고 있다. 행정자치부에서 공개한 통계자료에 따르면 개인정보 침해 관련 상담 및 침해구제 요청을 위한 신고 및 상담 건수는 2010년부터 54,832건, 2011년 122,215건, 2012년 166,801건, 2013년 177,736건, 2014년 155,908건으로 2014년에는 잠시 주춤하지만 지속해서 침해사고에 대한 사례나 사회적 관심이 높아지고 있다는 것을 알 수 있다[1].
이에 따라 행정자치부는 2008년부터 공공기관의 개인정보보호 수준에 대한 자율적 개선을 유도하기 위해 개인정보보호 관리수준 진단을 시행하고 있다[2]. 하지만 제도 시행 초기에는 공공기관들의 관심이나 참여가 활발하지 않았고, 행정자치부는 공공기관의 참여도를 높이기 위해 진단 결과를 정부업무평가, 지자체합동평가, 지방공기업경영평가에 반영하도록 제도를 개선하였다. 진단 결과가 여러 공공기관평가에 반영되자 많은 기관에서는 평가 결과에 대한 이의제기와 추가 증적자료를 제출하는 등 많은 관심을 표출하고 있다. 실제로 이는 많은 공공기관들의 진단 결과 점수가 높아지는 효과로 이어지고 있다. 그러나 공공기관들의 관리수준 진단 결과 점수가 높음에도 불구하고 개인정보 침해사고가 발생함에 따라 개인정보보호 관리수준 진단 제도가 단순히 높은 점수를 받기 위해 증적을 마련하는 제도에 그치지 않는지, 그 실효성에 대한 문제가 제기되고 있다.
따라서 본 연구에서는 개인정보보호 관리수준 진단 제도의 문제점을 개선하기 위해 대상기관의 효율성을 분석하고, 효율성 측정 결과를 개인정보보호 관리수준 진단에 반영하는 연구를 통해 개선된 모델을 제안하도록 한다.
II. 이론적 배경 및 선행 연구
2.1 개인정보보호 관리수준 진단
행정자치부에서 시행하는 개인정보보호 관리수준 진단은 중앙부처, 광역자치단체, 지방공기업, 기초자치단체 등의 공공기관을 대상으로 기관의 개인정보보호 관리체계와 침해사고 예방 활동 등을 진단ㆍ측정하고, 문제점을 개선하여 개인정보보호 수준 향상을 도모하는 데 목적을 두고 있다.
개인정보보호 관리수준 진단은 다음과 같은 절차에 따라 진행된다. 행정자치부에서 매년 진단위원회를 구성하여 진단계획을 수립하고, 진단 대상과 진단 지표를 선정하면 각 대상기관의 담당자들이 진단에 필요한 증적자료를 제출한다. 이후 진단위원회는 증적자료를 확인하고 1차 평가를 공개한 뒤 이의제기를 통해 최종적인 결과를 산출하는 방식으로 진행된다.
진단 지표의 내용은 매년 전년도 진단 결과를 고려하여 대상 기관들의 개인정보보호 수준을 종합적으로 진단할 수 있도록 구성한다. 2014년 진단 지표는 Table 1.과 같이 3개 분야, 11개 지표, 23개 진단항목으로 구성되어 있다[3].
Table 1. Personal Information Protection Management Indicators
진단항목별 평가는 대상기관으로부터 받은 실적과 증빙자료를 바탕으로 각 항목에 대해 확인을 하는 방식으로 구성되며, 실적이 인정되는 범위에 따라 진단 항목의 점수를 차등 부여한다. 각 지표에 가중치를 적용하는 결과 점수 산정 방법은 식(1)과 같다. 식 (1)에서 i는 1에서 11까지의 진단지표이며, ai는 지표별 진단점수, ωi는 지표별 가중치를 나타낸다.
#(1)
또한, 자율적인 개인정보보호 활동이 진행되도록 해당 기관의 최종 결과 점수를 산출하여 정부업무평가, 지방자치단체 합동평가, 지방공기업 경영평가 등에 반영하고, 진단 결과에 따라 개선이 필요한 사항을 통보하거나 전문기관을 통해 컨설팅 받도록 지원 하고 있다.
2.2 효율성 개념 및 측정
효율성은 생산 등의 활동에 있어 투입요소에 대해 산출되는 결과물의 비율을 나타내는 것으로 주로 경영이나 산업 등의 분야에서 조직의 성과수준을 비교 할 때 주로 사용한다. 성과를 측정하는데 있어 효율성과 유사하게 사용되는 효과성이라는 단어는 효율성과 차이가 존재한다. 효율성은 투입요소와 산출물의 비율을 나타내는데 반해, 효과성은 목표성과에 대비하여 실제 달성한 부분에 대한 비율은 뜻한다. 즉, 효과성은 투입요소에 해당하는 자원들의 규모를 고려하지 않는데 차이가 있다[4].
효율성 측정에는 절대적 측정과 상대적 측정 방법이 있다. 절대적 효율성은 투입요소를 물리적인 단위나 모종의 비율로서 표현하는 것을 나타내며, 이와 달리 상대적 효율성은 여러 조직들의 효율성을 비교하여 최고 수준의 효율성을 표준으로 상대적인 비율을 측정하는 것이다[10].
효율성은 연구에 따라 효율성에 대한 의견 차이가 다소 존재하나 본 논문에서는 일반적인 의미에 해당하는 투입요소에 대한 산출물 비율의 개념으로 적용하고자 하며, 상대적 효율성에 해당하는 접근방식을 사용하고자 한다.
2.3 DEA 모형
DEA(Data Envelopment analysis:자료포락분석) 모형은 Farrell, Charnes, Cooper, Rhodes, Banker 등[7][8][9]에 의해 고안된 효율성 분석 모델로 다수의 투입요소와 다수의 산출요소를 생산하는 조직에 대한 효율성을 평가하기 위한 모형이다[5]. DEA는 일반적인 효율성 측정과 달리 사전에 구체적인 함수형태를 가정하는 모수적 측정이 아니라 선형계획법에 근거하여 상대적 효율성을 측정하는 방법이다. 이는 효율성 측정 대상의 투입요소와 산출물의 자료를 활용하여 경험적 효율 프론티어를 도출한 후, 의사결정단위(Decision Making Unit, DMU)에 해당하는 평가대상들이 효율적 프론티어 라인으로부터 떨어진 거리를 측정함으로써 비효율성을 측정하는 기법이다[6].
최근까지 다양한 조직의 효율성을 평가하기 위해 많은 DEA 모형이 개발되어 왔다. 그 중에서도 Charnes, Cooper, and Rhodes가 제안한 CCR 모형과 Banker, Charnes, and Cooper가 제안한 BCC 모형을 가장 많이 사용하고 있다. CCR 모형과 BCC 모형은 투입요소와 산출요소 중 어느 부분에 초점을 두는가에 따라 투입지향과 산출지향으로 구분되며, 본 논문에서는 투입대비 산출물의 수준을 중점으로 분석하기 위해 CCR 모형-산출지향, BCC 모형-산출지향을 활용한다.
2.3.1 CCR 모형
CCR 모형은 Charnes, Cooper, and Rhodes 가 DEA라는 명칭으로 최초로 제안한 효율성 분석의 기본 모형이다.
CCR 모형은 분석 대상인 DMU 집합이 불변규모수익(Constant Return to Scale, CRS)임을 가정하고, DMU의 기술효율성을 분석하는 방법이다. 대상 DMU들의 투입 수준을 고정한 채 산출물을 최대한 증가시킬 수 있는 비율을 나타내는 방법으로써 다음 식(2)과 같다.
#(2)
식(2)에서 h0 은 해당 DMU의 효율성을 나타내며, vi은 i번째 투입요소에 대한 가중치, ur은 r번째 산출물에 대한 가중치, xij는 DMU j의 i번째 투입요소 양, yrj는 DMU j의 r번째 산출물 양, n은 DMU의 수, m은 투입요소의 수, s는 산출물의 수를 뜻한다.
2.3.2 BCC 모형
CCR 모형은 불변규모수익을 가정 하에 효율성을 분석하는 모형이기 때문에 규모의 효율성이나 순수 기술적 효율성을 구분하지 못하는 단점을 가지고 있다. 이를 극복하고자 Banker, Charnes, and Cooper[3]이 CCR 모형의 불변규모수익을 완화하여 가변규모수익(Variable Returns to Scale, VAS)을 적용한 BCC 모형을 제시하였다.
BCC 모형에서는 순수기술효율성을 확인할 수 있으며 그 방법으로는 식(3)과 같다.
#(3)
2.3.3 DEA의 특징
DEA 모형은 다음과 같은 특성으로 인하여 여러 대상의 효율성을 측정하기 위해 널리 사용되고 있다.
첫째, 효율성 측정을 위한 투입과 산출의 요소에 단일요소가 아닌 복수의 개념이 적용되며, 개별 투입과 산출에 대하여 각각의 가중치를 사전에 결정하거나 동일하게 적용하지 않아 객관적이다.
둘째, 여러 DMU의 효율성을 분석하기 때문에 비효율적인 대상 DMU의 비효율성 정도를 측정할 수 있으며, 의사결정자가 투입이나 산출의 양을 조절 가능하도록 분석이 가능하다.
셋째, 공공기관 등의 효율성을 측정하는 데 널리 사용하고 있다. 공공부문의 업무가 가지는 무형의 목표는 가격으로 환원하기 어렵기 때문에 계량적 분석이 어려운 점이 존재하나 DEA 모형의 경우 투입요소와 산출물의 가격을 요구하지 않기 때문에 평가 모형으로 적합하다[6].
2.4 선행연구 분석
2.4.1 개인정보보호 관리수준 진단에 대한 선행연구분석
본 연구는 개인정보보호 관리수준 진단의 평가방법에 대한 기존의 한계점을 보완할 수 있는 개선 모델 제안에 목적이 있다. 따라서 개인정보보호 관리수준 진단과 관련된 선행연구를 분석하고 살펴본다.
신영진 등[10]은 2012년에 개인정보보호 관리수준 진단지표를 전문가 및 실무자를 대상으로 HP 방법으로 분석하여 중요도에 관한 변화와 정책과제의 우선순위를 제시하는 연구를 수행하였으며, 2008년에도 HP 방법을 활용하여 지표별 가중치를 부여하는 연구를 수행하였다.
김명섭[11]은 개인정보보호 수준을 평가하기 위한 지표를 개발하기 위해 국내에서 운영되는 평가모델과 인증모델을 활용하는 연구를 수행하였다.
이승훈 등[12]은 개인정보보호 관리수준 진단 결과를 분석하고, 기관별 수준과 특성을 반영하여 가중치를 재산정하는 연구를 수행하였다.
개인정보보호 관리수준 진단에 대한 선행연구를 분석한 결과 기관의 개인정보보호 관리수준을 평가하기 위한 평가지표의 구성이나 지표에 대한 가중치를 연구하는 내용이 주로 진행되었다. 본 연구도 기존에 진행되었던 가중치 연구와 마찬가지로 평가방법에 대한 연구에 해당하지만, HP 분석을 통한 가중치 산정과 달리 각 공공기관에 효율성 측정값을 반영하는 부분에서 새로운 측면의 접근으로 볼 수 있을 것이다.
2.4.2 DEA 모형을 이용한 선행연구 분석
상대적인 효율성을 측정하는 방법으로 활용하는 DEA 모형은 다른 통계기법과는 달리 방법론적인 장점으로 인해 공공기관이나 유사한 프로세스의 조직을 대상으로 적용하는데 많은 연구가 진행됐다. 선행연구 분석을 통해 DEA 모형 적용 분야와 투입요소 및 산출요소 활용 사례를 살펴본다.
신영진[13]은 공공기관의 개인정보보호에 관한 효율성을 분석하기 위해 DEA 모형을 이용하였다. 해당 연구에서 투입요소는 개인정보 관리예산, 개인정보 관리인력, 정보보호 교육 현황을 활용하였으며, 산출요소는 개인정보 관리현황, 홈페이지 정보관리현황, 개인정보보호 시스템 운영, 개인정보 관리시스템 통제를 활용하였다.
박태형 등[14]은 공공부문의 정보보호 담당 조직의 교육과 조직 운영의 효율성을 평가하기 위해 DEA 모형을 이용하였다. 해당 연구에서 투입요소는 담당인력 수, 정보보호 예산을 활용하였으며, 산출요소는 보안교육 수, 외부교육 수, 외부교육 비용을 활용하였다.
조병오[15]는 정보보안 기업의 효율성을 분석하기 위해 DEA 모형을 이용하였다. 해당 연구에서 투입 요소는 종업원 수, 자산, 자본, 연구개발비를 활용하였으며, 산출요소는 총매출액, 영업이익, 특허, CC인증, GS인증을 활용하였다.
류혁준[16]은 국내 건설기업의 경영효율성을 분석하기 위해 DEA 모형을 이용하였으며, 투입요소로는 총자산, 인건비, 비유동자산을 활용하고, 산출요소로는 매출액, 당기순이익을 활용하였다.
정수관 등[17]은 공공도서관의 효율성을 분석하기 위해 DEA 모형을 이용하였으며, 투입요소로는 연간 장서증가 수, 전체직원 수를 활용하고, 산출요소로는 대출 수, 이용자 수를 활용하였다.
신동욱[18]은 의료 질 측면에서의 병원의 효율성을 평가하기 위해 DEA 모형을 이용하였으며, 투입 요소로는 의사 수, 간호사 수, 직원 수를 활용하고, 산출요소로는 입원환자 수, 외래환자 수, 의료 질 점수를 활용하였다.
모든 연구사례를 기재하지 않았으나 이외에도 다양한 분야의 공공기관이나 조직을 대상으로 효율성을 분석하기 위해 DEA 모형을 이용하고 있음을 확인하였다. 선행연구를 분석한 결과, 모든 연구사례에서 투입요소에 예산이나 인력을 공통으로 포함하는 것을 볼 수 있다. 이는 조직운영의 기본 원동력으로 활용되고, 투입된 자원을 통해 최종 산출물을 만드는 필수 요소이기 때문이다.
III. 연구 방법 및 설계
3.1 연구의 틀 및 방법
본 연구는 DEA 모형으로 산출한 효율성의 측정값을 개인정보보호 관리수준 진단 평가방법에 반영하는 데 목적이 있다. 따라서 본 연구에서 측정하는 효율성의 관점은 대상기관의 개인정보보호 기반마련과 활동 관점에서 분석한다. 우선 개인정보보호 기반마련은 대상기관이 기반마련에 얼마나 투자하는지를 바탕으로 개인정보보호 기반마련 관점의 효율성을 분석한다. 이를 통해 대상기관의 개인정보보호 관심 수준과 의지를 확인할 수 있을 것이다. 다음으로 개인정보보호 활동은 대상기관의 개인정보보호 관리수준 진단 결과 점수를 바탕으로 개인정보보호 활동 관점의 효율성을 분석한다.
연구에 활용하는 DEA 모형은 앞서 살펴본 CCR과 BCC 두 모형을 함께 활용한다. CCR 모형은 불변규모수익을 가정하기 때문에, 규모의 차이가 큰 여러 DMU를 동시에 측정 시 효율적 프론티어를 참조하는 과정에서 규모의 차이로 인한 문제점이 존재한다. 이 문제를 해결하기 위해 규모를 비슷하게 분리하여 측정하는 방법이 적절하나, 적절한 양의 DMU를 확보하는 데 어려움이 있으므로 가변규모수익을 가정하는 BCC 모형을 함께 활용한다. 그러나 BCC모형은 큰 규모의 DMU가 적은 경우 다수의 DMU가 효율적으로 나타나는 경우가 존재한다. 이처럼 두 모형의 적용 방법이나 환경에 따라 장단점이 존재하므로 동시에 활용 가능한 규모효율성을 최종적으로 반영하도록 한다[19].
연구의 분석을 위해, 우선 대상기관의 개인정보보호 활동과 개인정보보호 관리수준 진단 결과를 분석하여 효율성 분석에 필요한 투입, 산출요소를 결정한다. 그리고 DEA 모형으로 효율성을 측정하고, 측정 결과를 개인정보보호 관리수준 진단 결과에 반영하는 방안과 활용하는 방안을 알아보도록 한다. 연구의 분석 방법은 Fig. 1.과 같이 도식화할 수 있다.
Fig. 1. Method of study
3.2 의사결정단위 선정 및 자료의 수집
의사결정단위(DMU)는 2014년 개인정보보호 관리수준 진단 대상기관 중에서 진단결과 자료를 확보할 수 있는 기관을 대상으로 선정하였다. 대상기관들은 중앙부처 산하기관(2), 기초자치단체(18), 지방 공기업(6)으로 구성되어 있다. 따라서 연구에서 활용하는 개인정보보호 관리수준 진단지표, 투입, 산출 요소에 대한 시간적 범위는 2014년으로 한정한다.
대상기관의 효율성을 분석하기 위한 투입요소와 산출요소의 자료는 대상기관에서 공개한 공시자료와 공공기관 경영정보공개시스템에 공개된 자료를 수집하여 분석한다.
3.3 투입 및 산출요소 설정
DEA 모형은 효율성 분석 시 의사결정단위 (DMU)의 투입요소와 산출요소에 따라 효율성 결과가 달라지므로 투입 및 산출요소의 선정이 매우 중요하다[18]. 선행연구 분석 결과에 따라 투입요소에는 일반적인 기관의 운영예산이나 규모를 포함하도록 ① 기관의 전체 예산(단위:백억원), ② 기관의 전체 직원 수(단위:명)를 선택한다. 전체 예산과 전체 직원수를 활용하는 이유는 산출요소에 활용하는 요소와의 관계를 통해 개인정보보호 기반마련에 대한 의지를 측정할 수 있기 때문이다. 또한 전체 예산이나 전체 직원 수가 많을수록 기반시설이나 전담인력, 개인정보보호 시스템 등 여러 분야에 투자할 여력이 그렇지 못한 조직보다 상당히 유력하기 때문이다[20].
산출요소에는 기관의 개인정보보호 기반마련과 활동을 확인할 수 있도록 ③ 전담인력수(단위:명)와 ④개인정보보호 예산이 편성된 분야의 수(단위:분야 수), ⑤ 개인정보보호 관리수준 진단 점수(단위:점) 를 산출요소로 선정한다. 개인정보보호 전담인력수 및 예산편성 분야의 수는 2014년 개인정보보호 관리 수준 진단 지표에서 가중치를 부여하기 위해 실제로 측정하고 있는 요소이다. 본 연구에서도 전체 예산과 직원에 비해 어느 수준의 개인정보보호 전담인력과 예산을 편성했는지를 확인하기 위해 산출요소로 선정하였다. 그리고 개인정보보호 관리수준 진단 점수는 개인정보보호 기반마련과 활동을 통해 얻은 최종적인 산출물로, 해당 기관이 어느 정도 수준의 개인정보보호 체계를 갖췄는지를 확인하기 위한 산출요소로 선정한다. 단, 개인정보보호 관리수준 진단 점수는 전체 점수가 아닌 진단지표 1의 점수를 제외한 점수를 사용하였다. 이는 개선 모델을 통해 진단지표 1의 점수를 재산정하기 위해서 제외하였으며, 재산정한 점수는 연구 결과 부분에서 활용하도록 한다.
앞서 정리한 투입요소와 산출요소의 기술통계 내용은 Table 2.와 같다.
Table 2. Descriptive statistics summary of the elements
IV. 연구 결과
4.1 DEA 모형 : 효율성 분석
4.1.1 CCR 모형에 따른 효율성 분석
CCR 모형으로 대상기관의 투입요소와 산출요소를 분석한 결과는 Table 3.과 같다. 측정 결과를 살펴보면 전체 DMU의 효율성 평균은 43%로 나타났으며, 최소값은 7.1%, 최대값은 100%로 나타났다. 각각의 DMU를 살펴보면, 효율성이 100%인 DMU는 DMU 2, DMU 21, DMU 23, DMU 25, DMU 26으로 총 5개의 DMU가 효율적인 것으로 나타났다.
Table 3. CCR Model Results
4.1.2 BCC 모형에 따른 효율성 분석
BCC 모형으로 대상기관의 투입요소와 산출요소를 분석한 결과는 Table 4.와 같다. 측정 결과를 살펴보면 전체 DMU의 효율성 평균은 93%로 나타났으며, 최소값은 75.5%, 최대값은 100%로 나타났다. 각각의 DMU를 살펴보면, 효율성이 100%인DMU는 DMU 1, DMU 2, DMU 4, DMU 6, DMU 7, DMU 8 등으로 총 14개의 DMU가 효율적인 것으로 나타났다.
Table 4. BCC Model Results
4.1.3 규모효율성 분석
기술효율성(Technical Efficiency: TE)은 규모 효율성(Scale Efficiency: SE)과 순수기술효율성(Pure Technical Efficiency: PTE)으로 구분할 수 있다. 규모효율성은 DMU의 규모가 최적 상태인지를 확인할 수 있으며, 비효율성의 원인이 비효율적인 운영에 의한 것인지 규모로 인한 불리한 상황에 의한 것인지 혹은 둘 다에 의한 것인지를 확인 가능하다. 규모효율성은 CCR 결과와 BCC 결과의 비로 확인할 수 있다[21].
CCR 모형과 BCC 모형의 분석 결과를 통해 규모효율성을 분석한 결과는 Table 5.와 같다. 측정 결과를 살펴보면 전체 DMU의 효율성 평균은 45%로 나타났으며, 최소값은 8.4%, 최대값은 100%로 나타났다. 각각의 DMU를 살펴보면, 효율성이 100%인 DMU는 DMU 2, DMU 21, DMU 23, DMU 25, DMU 26으로 총 5개의 DMU가 효율적인 것으로 나타났다.
Table 5. Effectiveness of Scale
4.1.4 효율성 분석에 대한 소결
지금까지 DEA 모형을 이용하여 기술효율성과 순수기술효율성을 분석하고, CCR과 BCC 두 모형의 특성과 분석 결과에 따른 차이가 존재하기 때문에 두 결과를 동시에 활용하는 규모효율성을 측정하였다.
효율성을 측정한 결과 대상기관들은 투입되는 전체 예산이나 인력에 비해 결과물에 해당하는 산출요소들이 상대적으로 비효율적인 부분이 존재한다는 사실을 확인할 수 있었다. 비효율적인 대상기관들은 효율성 개선을 위해 투입요소를 줄이거나 산출요소를 증가시키는 방법이 있다. 하지만 공공기관의 특성상 예산이나 전체 인력의 요소의 양을 조절하기에는 어려움이 존재하므로, 산출요소의 극대화를 통한 효율성 개선이 필요하다. 이는 비효율적으로 결과가 나타난 대상기관들은 전반적으로 개인정보보호 기반마련을 위한 예산 투자나 진단 결과 점수에 해당하는 노력이 더욱 필요하다는 것으로 해석할 수 있다.
4.2 개인정보보호 관리수준 진단 개선
4.2.1 개인정보보호 관리수준 진단 평가방법 개선
행정자치부는 개인정보보호 관리수준 진단 결과를 매년 공개하고 있으며, 결과에 따라 우수기관을 선정하고 있다. 하지만 발표되는 결과와 달리 끊임없이 발생하는 개인정보 침해사고로 인하여 관리수준 진단 제도에 대한 실효성 측면에서 논란이 제기되고 있다. 또한, 이의 제기 단계에서 추가 증적을 제출하는 과정에 추가 증적의 신뢰성 판별이나 검증 등에 대한 문제도 제기되고 있는 실정이다. 개인정보보호 관리 수준 진단 제도는 공공기관들의 개인정보보호 수준을 향상시키고 침해사고를 미연에 방지하기 위해서 꾸준한 제도 운영이 필요하나, 실제 관리수준을 반영하고, 제도의 실효성을 제고할 수 있도록 제도의 개선이나 새로운 평가방법이 요구되고 있다.
본 연구에서 제안하는 평가방법은 대상기관의 개인정보보호 기반마련과 활동에 대한 효율성 측정 결과를 가중치로 활용하는 방안이다. DEA 모형으로 분석한 효율성 측정 결과를 가중치로 활용하기 위해 기존의 개인정보보호 관리수준 진단에서 진단지표 1에 해당하는 개인정보보호 기반마련 부분에 측정 결과를 반영한다. 기존의 진단지표 1은 대상기관의 환경에 따라 5 또는 9점의 점수가 산출된다. 측정한 효율성 값을 진단지표 1에 효율성 측정 결과를 반영하여 지표 점수를 재산출하고 다른 지표와 합산한다. 이 과정에서 진단지표 1의 점수는 기관의 효율성 측정값에 따라 0에서 9점 사이의 점수로 재산정한다. 제안하는 개선모델은 Fig. 2.와 같이 도식화 할 수 있다. Fig. 2.에서 i는 진단지표 1을 제외하기 때문에 2에서 11까지의 진단지표이며, ai 는 지표별 진단점수, ωi 는 지표별 가중치, e는 DMU의 규모효율성을 나타낸다.
Fig. 2. Propose a improvement model
4.2.2 개선 모델 적용 결과
본 연구에서 제안하는 방법에 따라 진단지표 점수에 효율성 측정 결과를 반영하면, 효율성 측정 결과가 효율적인 기관은 해당 지표의 기존 점수를 그대로 적용 가능하다. 반대로 비효율적인 기관은 해당 지표의 기존 점수에서 측정된 효율성 값만큼의 점수가 산출된다. 효율성이 0%라면 해당 기관의 진단지표 1의 점수는 0점으로 산출된다.
전체 DMU의 기존 개인정보보호 관리수준 진단 결과 점수와 제안모델을 적용한 점수는 Table 6.과 같다. CCR 모형 분석에서 효율적으로 분석된 5개의 DMU는 점수 변동이 없었으며, 비효율적인 DMU는 비효율적인 정도에 따라 점수가 감소하였다. 전체 26개 DMU 중에서 21개 DMU의 점수가 변동되었으며, 최대 5.25점 감소, 평균 2.51점이 감소하였다. 또한, 상대적으로 점수가 변동됨에 따라 점수 순위에도 변동이 발생하였다.
Table 6. Before and After Score
4.2.3 개선 모델의 활용 방안
개인정보보호 관리수준 진단 대상기관은 해당 기관의 관리수준 진단 결과가 다른 평가에 반영되므로, 개인정보보호 관리수준 진단 제도의 최종 점수를 높이기 위해 노력할 것이다. 실제로 진단위원회의 1차평가 이후 이의제기 검토 과정에서 많은 기관들이 추가 증적을 제출하여 결과를 조정하는 사례가 빈번하게 발생하고 있다. 추가 증적의 경우 시간적 여건이나 물리적 여건 등의 어려움으로 인해 증적에 대한 검증이나 실사가 정확하게 이루어지기 어려운 부분이 존재한다.
본 연구에서 제안하는 개선모델과 효율성 측정방법을 Fig. 3.과 같이 적절한 시기에 분석하여 활용 한다면, 추가 증적을 수용하는 과정에서 신뢰도 검증을 통한 수용 여부 판단, 증적 수용에 따른 증적의 가중치 산정 등에 적용할 수 있을 것이다. 또한, 대상기관의 개인정보보호 기반마련과 활동에 대한 의지 확인 및 효율성 판단, 유사기관 간 개인정보보호 기반마련과 및 활동에서의 효율성 비교 등 다양한 의사결정 방법으로 활용할 수 있을 것이다.
Fig. 3. The way for practical use of model
V. 결론 및 시사점
본 연구에서는 개인정보보호 관리수준 진단 제도를 개선하기 위해, 대상기관의 개인정보보호 기반마련과 활동 측면에서의 효율성을 분석하여 개인정보보호 관리수준 진단에 반영하는 새로운 평가방법을 제안하였다. 그리고 실제 관리수준 진단 결과에 반영하여 기존 평가와 비교ㆍ분석하고, 제안 모델을 활용하여 개인정보보호 관리수준 진단 제도의 실효성이나 과정상의 문제를 해결하는 방안에 대해 논의하였다.
본 연구의 한계점으로는 공시정보와 개인정보보호 관리수준 진단 결과에 한정된 자료이기 때문에 기관의 다양한 투입, 산출요소의 검토와 시간적 요소가 고려되지 않아 다소 아쉬운 부분이 있다. 그리고 DEA 모형 자체의 특성으로 변수의 선택에 따라 상대적인 효율성 값이 달라질 수 있다는 부분과 언제까지나 상대적인 효율성 평가모델이라는 점에서 절대적인 효율성 단위로 간주하는데 어려움이 있다[22].
따라서 향후 연구에서는 다양한 투입, 산출요소의 분석, 시간적 요소를 고려함과 동시에, 이를 개인정보보호 관리수준 진단 전체에 적용 가능한 모델의 연구가 필요하다. 더 나아가 개인정보보호 분야에서 특성이 다른 여러 대상을 평가하여 의사결정에 활용할 수 있는 모델을 개발할 수 있을 것이다.
References
- Ministry of Government Administration and Home Affairs, Thed number of cases personal information infringement accident report, Ministry of Government Administration and Home Affairs, http://www.mogaha.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000049893&fileSn=0, 2015
- Personal Information Protection Commission, Personal information protection annual report, Personal Information Protection Commission, Aug. 2014
- Korea Internet & Security Agency, Public institutions personal information protection management manual, Korea Internet & Security Agency, May. 2014
- Man-Hee Park, Efficiency and productivity analysis, Korea Academic Information Corporation, Jun. 2008
- Sung-Ho Kim, Tae-Sung Choi, and Dong-Won Lee, Efficiency analysis theory and application, Seoul economic management, Apr. 2007
- Jung-Dong Lee, Dong-Hyun Oh, Efficiency analysis theory of DEA, IBBook, Aug. 2010
- M.J. Farrell, "The measurement of productivity efficiency," Journal of the Royal Statistical Society, vol. 120, no. 3, pp. 253-290, Mar. 1957 https://doi.org/10.2307/2343100
- A. Charnes, W.W. Cooper, and E. Rhodes, "Measuring the efficiency of decision making units," European Journal of Operational Research, vol. 2, no. 6, pp. 429-444, 1978 https://doi.org/10.1016/0377-2217(78)90138-8
- R.D. Banker, A. Charnes, and W.W. Cooper, "Some models for estimation technical and scale inefficiencies in data envelopment analysis," Management Science, vol. 30, no. 9, pp. 1078-1092, Sep. 1984 https://doi.org/10.1287/mnsc.30.9.1078
- Young-Jin Shin, Hyeong-Chul Jeong, and Won-Young Kang, "A study of priority for policy implement of personal information security in public sector: focused on personal information security index," Journal of the Korea Institute of Information Security & Cryptology, 22(2), pp. 379-390, Apr. 2012
- Myoung-Sub Kim, Bong-Nam Noh, and Yong-Min Kim, "A privacy level check model based on new privacy law in korea," Proceedings of the Korean Information Science Society Conference, 38(1), pp. 118-121, Jun. 2011
- Seunghoon Lee, Heeun Park, and Sungeun Choi, "A study on index improvement of personal information protection level diagnosis in the public organizations," Proceedings of Symposium of the Korean Institute of Communications and Information Sciences, pp. 207-208, Jun. 2011
- Young-Jin Shin, "Personal information protection analysis efficiency analysis in public sector," Journal of Local Government Studies, 18(1), pp. 87-106, Mar. 2005
- Tea-hyoung Park, Ki-chan Yoon, Sin-yong Moon, and Jong-in Lim, "Evaluating the efficiency of information security organizations in public sector using DEA models," Journal of the Korea Institute of Information Security & Cryptology, 20(6), pp. 209-220, Dec. 2012
- Byung-Oh Jo, "Analysis and improvement the efficiency of the information security enterprises by using data envelopment analysis," M.S. Thesis, Chungbuk National University, Aug. 2014
- Hyeok-Jun Ryu, "Measuring managerial efficiency of korean construction firms using data envelopment analysis-tier and cluster analysis," M.S. Thesis, Hanyang University, Feb. 2014
- Sukwan Jung, Sangmok Kang, "Efficiency analysis of public library by DEA cost minimization," The Journal of Cultural Policy, 27(2), pp. 145-163, Aug. 2013
- Konshik Kim, "Analyzing the technical efficiency of korean engineering and construction firms after the financial crisis," Korean Journal of Construction Engineering and Management, 6(1), pp. 151-161, Feb. 2005
- Bong Young Hong, "The comparison between CCR and BCC model," The Journal of the Institute of Social Science, 12(1), pp. 17-22, Feb. 2005
- Gwang Sic Sim, Jae Yun Kim, "DEA-AR/AHP model design for efficiency evaluation of metropolitan rapid transit," Journal of the Korean Operations Research and Management Science Society, 34(3), pp. 105-124, Sep. 2009
- Seung Hyun Ban, Dong Hun Han, "An efficiency analysis of korean software companies using DEA," The e-Business Studies, 15(3), pp. 197-213, Jun. 2014 https://doi.org/10.15719/geba.15.3.201406.197
- Mansok Hyon, Wangjin Yoo, "A study on the technology transfer efficiency for public institutes using DEA model," Journal of the Society of Korea Industrial and Systems Engineering, 32(2), pp. 94-103, Jun. 2008
Cited by
- Development of Vehicle Status Alerts System for Personal Information Leakage Protection using the NFC-based GCM Service vol.19, pp.2, 2016, https://doi.org/10.9717/kmms.2016.19.2.317
- An Analysis of the Public Awareness on National Policy on Protection of Personal Information: using SERVQUAL vol.26, pp.4, 2016, https://doi.org/10.13089/JKIISC.2016.26.4.1037