개인정보보호 컨설팅 - 공공기관 개인정보영향평가 방법1

개인정보보호법에 따라 공공기관은 운영중인 '개인정보 파일'에 대하여 '개인정보영향평가'를 수행해야 합니다.

민간부문에서는 의무사항이 아니나 가급적 프라이버시 침해가 우려되는 사업을 시행할 때 '개인정보영향평가'를 시행할 것을 권장하고 있습니다. 점차 시간이 지나면 민간부문도 의무화가 되지 않을까 합니다.

행정안정부 및 KISA에서 발간한 '공공기관의 개인정보영향평가 수행 안내서'를 기초로 하여 관련 내용을 살펴보도록 하겠습니다. 

Ⅰ. 개인정보 영향평가 개요

1. 개념

● 개인정보 영향평가(PIA : Privacy Impact Assessment)란, 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시 동 시스템의 구축∙운영∙변경 등이 프라이버시에 미치는 영향(impact)에 대하여 사전에 조사∙예측∙검토하여 개선 방안을 도출하는 체계적인 절차를 말합니다.

2. 목적 및 필요성

● 개인정보 취급이 수반되는 사업을 추진함에 있어, 프라이버시에 미치는 영향을 사전에 분석하고 이에 대한 개선 방안을 수립하여 실제 사업 추진 상에 이를 반영함으로써 개인정보 침해 발생을 사전 예방하는 개인정보 영향평가의 수행이 필요합니다.

● 개인정보 영향평가를 통해, 개인정보 침해 위험성을 사전에 발견하여 정보시스템의 구축 및 운영에 있어 시행착오를 예방하고 효과적인 대응책을 수립할 수 있습니다.

● 특히, 공공기관의 경우 행정목적을 달성하기 위해 민감한 개인정보를 다량 집적∙보유하고 있는 경우가 많으므로 그 필요성이 더욱 높다고 할 수 있습니다.

3. 평가 대상

● 개인정보를 수집∙이용하거나 신규로 개인정보를 수집하고자 하는 공공기관은 사업을 본격적으로 추진하기 이전에 영향평가를 수행하여야 합니다. 

※ 공공기관은 공공기관 개인정보보호에 관한 법률 제2조제1호 및 법시행령 제2조에 규정한 기관으로 국가행정기관∙지방자치단체 및 그 밖의 공공단체 중 대통령령이 정하는 기관으로써, 각급 학교, 「공공기관의 운영에 관한 법률」제4조에 따른 공공기관, 특별법에 의하여 설립된 특수법인, 「지방공기업법」에 따른 지방공사 및 지방공단 등이 해당

● 개인정보 영향평가의 대상이 되는 사업은 다음과 같은 경우가 있습니다.

- 개인정보를 보유∙관리하는 정보시스템의 신규 구축 사업

- 개인정보를 보유∙관리하는 기존 정보시스템을 변경하는 사업

- 개인정보를 수집∙이용∙보관∙파기하는 등의 일련의 업무 절차상에서 중대한 개인정보 침해 위험이 발생할 가능성이 있는 사업

- 기존에 보유하고 있는 개인정보파일을 다른 기관과 연계하는 경우

- 신기술 또는 기존 기술의 통합으로 프라이버시 침해 가능성이 우려되는 기술을 사용하는 사업

4. 평가 시기

● 일반적으로 시스템 구축 전단계인 시스템 분석이나 시스템 설계 단계에서 실시하는 것이 적합합니다.

● 그러나, 기존 서비스 운영 중에라도 개인정보의 수집∙이용 및 관리상에 중대한 침해 위험이 발생할 가능성이 있거나, 전반적인 개인정보 관리체계를 점검하고 개선하기 위해서도 개인정보 영향평가를 수행할 수 있습니다.

5. 평가 수행 주체

● 개인정보 영향평가 수행을 위해서는 개인정보보호 관련 법규∙지침, 시스템 개발 ∙분석 등에 대한 전문지식이 필요하므로 다양한 전문 인력의 참여가 필요합니다.

● 통상적으로는 평가 대상 사업에 대한 이해도가 높은 사업주관부서가 기관내 개인정보보호 전담 조직, 정보보안 조직 등의 도움을 받아 별도의 영향평가팀을 구성하여 수행할 것을 권고합니다.

- 영향평가팀은 평가하고자 하는 사업을 주관하는 부서의 사업 담당자, 개인정보관리책임관, 분야별 개인정보관리책임관, 개인정보보호 담당자 등으로 구성될수 있으며 필요한 경우 관련 분야에 대한 외부 전문가의 도움을 받거나 개인정보보호 또는 정보보호 컨설팅 업체에 영향평가를 의뢰할 수도 있습니다.

6. 평가 수행 체계

● 현재의 개인정보 영향평가 수행체계는 공공기관에서 수행하는 개인정보 취급사업에 대해 기관 내부적으로 또는 외부 컨설팅 기관을 활용하여 개인정보 영향평가를 수행하고 있습니다.

● 개인정보보호법에 따라 공공기관은 법에서 정한 기준에 해당하는 정보화 사업에 대해 행정안전부에서 지정한 영향평가 기관을 통해 영향평가를 수행하고 그 결과를 행정안전부에 제출하게 됩니다.

- 행정안전부는 개인정보보호위원회의 심의∙의결을 거쳐 해당 사업에 대한 의견을 제시하게 됩니다.

개인정보 안심 서비스 - 개인정보보호 컨설팅 케이핌(www.kpim.co.kr)