개인정보보호 컨설팅 - 공공기관 개인정보영향평가-개인정보 침해요인분석

나. 개인정보 침해 요인 분석

(1) 영향평가 영역 구성

● 개인정보 침해요인을 분석하기 위해 개인정보를 취급하는 조직의 개인정보 관리체계와 평가대상 사업의 개인정보보호 관리체계, 개인정보 생명주기에 따른 개인정보 처리단계별 보호 조치 사항 등을 파악하고 분석하여야 합니다.

- 또한, 이를 체계적으로 파악하고 평가 기준을 수립하고자 기관 실정에 맞도록 평가항목을 구성하는 것이 효율적입니다.

● 본 안내서는 개인정보 영향평가 영역을 총 4개 범주로 나누었으며, 각 범주의 분야중 평가대상 사업과 관계없는 부분은 제외 후 평가 가능합니다.(예: 개인정보를 외부기관에 위탁∙제공하지 않는 경우 ‘1.5 위탁 및 제공 시 안전조치’ 분야의 항목 제외)

- 따라서, 평가항목은 변경 불가능한 절대적 기준이 있는 것이 아니라, 기관이나 평가 대상 사업 특성에 따라 변경 가능하며, 해당 사업별 특성을 반영하여 추가∙삭제∙변경 등 탄력적으로 구성하여 사용하면 됩니다.

(2) 영향평가 항목 구성

● 본 안내서의 평가항목은 공공기관의 개인정보보호 의무사항을 정하고 있는 공공기관의 개인정보보호에 관한 법률, 공공기관 개인정보보호 기본지침, 공공기관 개인정보관리 업무 매뉴얼 등의 내용을 기준으로 하고 있습니다.

● 평가항목은 공공기관이 개인정보보호를 위해 조치해야 하는 사항으로 총 4개의 평가영역으로 구분되고, 각 영역은 ① 평가기관의 개인정보보호 관리체계, ② 평가대상 사업의 개인 정보보호 관리체계 ③ 개인정보 처리단계별 보호 ④ 신규 IT 기술 활용 시 개인정보보호로 구분됩니다.

- 총 평가항목은 총 113개로 구성되어 있습니다.

● CCTV, RFID, 위치정보, 바이오정보와 같은 신규 IT 기술을 활용하는 경우에 한해 ④ 신규 IT 기술을 활용한 개인정보보호에 관한 점검 항목이 추가됩니다.

● 개인정보 취급 업무 및 개인정보 흐름이 다수 존재하는 경우에는 각 흐름별로 평가항목을 각각 작성하여야 합니다. 다만, 개인정보 관리체계, 정보주체 권익보호 등의 경우와 같이 해당 기관의 공통적인 사항에 대해서는 개별 작성할 필요는 없습니다.

● 영향평가팀은 평가항목을 활용하여 자료 검토, 실사, 인터뷰 등을 통해 개인정보보호 조치 사항을 파악하여 분석합니다. 평가항목을 바탕으로 수집한 자료, 인터뷰, 실사 결과 등으로 도출된 평가 결과를 평가항목 내 정리하여 기재합니다.

- 특히 영향평가를 외부 전문 기관을 통해 활용하는 경우에는 해당 업무 담당자와의 인터뷰가 필수적으로 수반되며, 인터뷰를 실시하는 경우에는 인터뷰 대상을 먼저 확인하여 정리해야 하는데, 평가 분야에 따른 관련 담당자의 부서와 이름, 연락처를 기록합니다.

● 또한, 평가 항목 외에도 관련 근거, 항목 설명, 확인 자료 등을 제시하여 점검자가 상이하더라도 일관된 수준의 점검이 이루어지도록 작성할 필요가 있습니다.

● 다음은 평가항목, 관련 근거, 항목 설명 등을 반영한 예시입니다.

- 질의문 : 점검 항목

- 확인 : 평가 기준은 다음과 같음

- 평가 근거 및 의견 : ‘ 확인’ 부분에 이행, 부분이행, 미이행, 해당없음이라고 응답한 근거나 사유를 기재. 해당 점검 항목 규정한 법규나 지침이 있는 경우 해당 근거 조항 기재

- 항목 설명 : 점검 항목의 추가적인 설명 및 용어 설명 제시

- 평가 예시 : 평가 질의문의 ‘확인’란에 해당하는 이행, 미이행, 부분이행을 판단하는 예시 제시

- 관련 법률 및 근거 : 평가 질의문에 관한 내용을 규정하는 법, 규정

● 동 안내서에서는 공공기관이 통상적으로 개인정보보호를 위하여 조치하여야 하는 사항을 기준으로 평가항목을 작성하여 부록으로 제시하고 있습니다.

- 동 평가항목을 기준으로 기관 및 평가 대상 사업의 특성에 맞게 평가항목을 적절하게 활용하기를 권고합니다.

- 평가항목에 기재된 사항 중 평가 대상 사업과 무관한 사항은 ‘해당없음’으로 표시하도록 합니다.

- 예를 들어, 개인정보취급을 위탁하지 않는 경우에는 위탁 관련된 평가항목은 ‘해당없음’으로 표시하면 됩니다.

(3) 개인정보 침해 위험 요인 도출

● 개인정보 침해 요인 도출은 인터뷰 등을 통해 파악된 개인정보보호 조치 사항을 기반으로 개인정보 침해 요인을 분석하는 단계입니다.

- 확인란에 ‘이행’으로 표시된 경우는 검토하고자 하는 사항을 충분히 조치하였으므로 침해 요인이 없지만, ‘미이행’이나 ‘부분이행’으로 표시된 부분에 대해서는 침해 요인의 분석 및 도출이 가능합니다.

● 상기와 같은 점검결과로부터 개인정보 침해요인을 다음과 같이 도출할 수 있습니다.

개인정보 안심 진단 서비스 - 개인정보보호 컨설팅 케이핌(www.kpim.co.kr)

※ 본 내용은 '한국인터넷진흥원'의 '공공기관 개인정보영향평가 가이드' 내용을 옮긴 것입니다.