개인정보보호 컨설팅 - 공공기관 개인정보영향평가-위험도 산정 및 개선방안 도출

다. 위험도 산정

● 도출된 침해요인에 대해 전부 개선하여야 하나, 이를 해소하기 위한 기관 내 자원이 충분치 않은 경우에는 개선사항의 우선순위를 정하여 선택적으로 조치하여야 할 수도 있습니다.

  - 우선순위 선정을 위한 위험도 계량화에는 여러 가지 방법이 있으나, 본 안내서는 개인정보가 포함된 업무를 자산으로 보고, 업무내 개인정보의 조합 수준에 따라 자산가치를 산정하여 자산가치, 발생가능성, 법적 준거성을 조합하여 위험도를 평가하여 합산하는 방법을 제시합니다.

  - 이는 자산의 가치가 높을수록, 해당 개인정보 침해요인의 발생 가능성이 높을수록, 또한 법률에 규정된 의무사항일수록 해당 침해요인이 통제되지 못하는 경우에 이로 인한 개인정보 침해 위험도가 크다는 개념에서 출발한 위험도 산정 방안입니다.

  - 아래의 위험도 산정방식은 하나의 방안으로서, 기관특성이나 사업특성에 따라 영향평가팀은 위험도 산정방식을 다르게 적용할 수 있습니다.

● 법적 준거성 및 침해요인 발생 가능성 점수 부여 방법은 다음과 같다. 법적 준거성 및 침해요인 발생 가능성 값은 기관 특성이나 사업특성에 따라 평가팀의 협의를 거쳐 조정 가능합니다.

● 위의 방식에 따라 각 자산의 위험 요소별 위험도를 측정하기 위해 개인정보 흐름분석 시 도출된 업무를 흐름표를 활용하여 개인정보 라이프사이클별로 구분한 후, 도출된 침해요인 중 해당사항 있는 것에 대해 파악하여 위험도를 산정합니다.

● 위의 방식에 따라 각 자산의 위험 요소별 위험도를 측정하기 위해 다음과 같은 양식을 활용합니다.

● 다음 위험도 측정 예시는 총 6개의 침해요인이 발생한 평가 사업에 대해 평가자가 취급업무의 개인정보 라이프 사이클별로 구분하여 연계 후 위험도를 측정한 것입니다.

  - 민원처리(제공)의 경우 도출된 침해요인 중 해당 자산과 매칭되는 것이 없기 때문에 공란으로 두었습니다.

라. 개선 방안 도출

● 영향평가팀은 상기의 과정을 통해 도출된 침해요인별 위험도 측정결과에 대한 검토를 거쳐, 해당 위험을 제거하거나 최소화하기 위한 개선방안을 수립하여야하며 아래와 같은 양식을 활용할 수 있습니다.

  - 개선방안은 위험도의 우선순위에 따라 나열하여 해당 기관이 수용 가능한 수준을 정하여 단기, 중∙장기로 구분하여 개선방안을 도출할 수 있습니다.

  - 개선방안은 영향평가팀의 검토 의견을 수용하여 확정되며 해당 기관의 실정에 따라 결정됩니다.

출처: 한국인터넷진흥원 '공공기관 개인정보영향평가 수행 안내서' 내용을 옮긴 것입니다.

개인정보 안심 진단 서비스 - 개인정보보호 컨설팅 케이핌(www.kpim.co.kr)