개인정보보호 컨설팅 - 공공기관 개인정보영향평가-개인정보관리현황분석

2. 개인정보 관리 현황 분석

가. 개인정보 흐름 분석

(1) 개인정보 취급 현황 분석

● 영향평가 대상사업을 면밀히 분석하고 업무를 정의하여 해당 사업을 통해 처리되는 업무 중 개인정보 취급이 수반되는 업무를 도출하여 평가 범위를 명확히 합니다.

- 예를 들어, 공공기관에서 홈페이지 구축사업에 대해 평가를 진행하고자 하는 경우, 홈페이지를 통해 처리되는 모든 업무가 개인정보와 관련이 있는 것은 아닙니다. 기관 홍보 및 정책 자료 게시 등의 업무는 개인정보 취급과는 전혀 무관하며, 웹사이트 회원 가입, 민원 접수∙처리, 정책 제안 게시판 활용 등의 일반 국민과의 접점이 발생하는 업무에 한해 개인정보 취급이 발생합니다. 따라서, 영향평가는 개인정보취급이 발생하는 업무를 대상으로 하므로, 전체 사업 분석을 통해 개인정보 취급이 수반되는 업무만을 분리하는 것이 체계적 평가 수행을 위해 적합합니다.

● 개인정보를 취급 현황 분석을 위해서는 앞 단계에서 수집한 ‘요건 정의서’, ‘사업 수행 계획서 등을 활용하여 사업을 분석할 수 있습니다.

● 신규 사업 추진의 경우, 업무 분석은 개발 관련 산출물 분석 및 담당자 인터뷰 등을 통해 수행 할 수 있습니다.

  ※ (개발 관련 산출물 예시) 시스템 설계서, 요건 정의서, 업무 흐름도, 기능 정의서, DFD(Data Flow Diagram), 테이블 정의서, 화면 설계서, 메뉴 구조도 등

- 기 구축 시스템이나 기존 업무 절차상의 변경이 발생하는 경우에는 실사를 통해 분석을 수행할 수 있습니다.

  ※ (예시) 홈페이지 회원 가입 절차, 관리자 메뉴, 운영자 메뉴, 사용자 메뉴, 회원정보 DB, 개인정보 관련 DB 등에 대한 현장 확인

● 일반적으로 단일 정보화 사업 내에는 다양한 개인정보 흐름이 존재하고 평가는 각 개인정보 흐름별로 이루어집니다. 따라서, 개인정보 흐름은 개인정보 취급 현황 분석으로 도출된 업무별로 작성되므로, 개인정보 취급 업무를 적절히 구분하여 ‘개인정보 취급 업무표’를 작성합니다.

● ‘개인정보 취급업무표'의 작성 내용은 다음과 같습니다.

- (영향평가 업무명) 영향평가 대상시스템에서 개인정보가 취급되는 업무를 주요 업무단위로 기재

  ※ 개인정보에 대한 관리가 가능하도록 유사한 업무단위로 5