개인정보보호 컨설팅 - 공공기관 개인정보영향평가 절차

나. 영향평가 수행 주체의 선정

(1) 영향평가팀 구성 방안 협의

● 개인정보 영향평가를 수행하기 위해서는 평가하고자 하는 사업 자체에 대한 이해와 개인정보보호 관련 법제 및 정책, 전략 수립, 기술∙시스템 분석 및 정보보안(Security) 등의 광범위하고 다양한 전문 지식과 정보를 필요로 합니다.

● 따라서, 평가 대상 사업을 주관하는 담당자 혹은 기관 내 개인정보보호 담당자가 영향평가 수행을 위해 필요한 모든 지식과 소양을 갖춘다는 것은 현실적으로 어려움이 있으므로 기관 내 유관 부서, 사업을 구축하는 업체(개발용역업체), 외부 전문가 등과 협의하여 팀을 구성하여 수행하는 것이 적합합니다.

● 일반적으로 개인정보 영향평가는 대상 사업 주관부서가 중심이 되어 수행하되, 개인정보관리책임관, 개인정보보호담당자, 분야별 책임관, 정보통신보안담당관, 보안담당관 등과 협의하거나 자문을 받아 운영이 가능합니다.

- 또한, 평가 대상 사업을 주관하여 추진하는 부서 외에 해당 사업과 관련되어 개인정보를 취급하는 부서나 외부 기관∙사업자 등이 존재하는 경우에는 해당 부서 혹은 외부 기관의 담당자도 참여하는 것이 적합합니다.

- 개발시스템의 경우 실제 업무 담당자와 사업담당자가 달라 업무 흐름 파악이 정확하지 않을 수 있기 때문에 현업 업무 담당자도 참여하도록 해야 합니다.

- 예를 들어, 정부 중앙부처나 지자체가 사업을 추진하나 실제 사업의 운영 및 관리는 산하기관 등 외부 기관에서 주관한다면, 해당 산하기관 담당자가 참여하여 해당 사업의 상세 운영∙관리 방안에 대해 함께 논의하여야 합니다.

- 마찬가지로, 대부분의 공공기관 정보화 사업이 외부 SI업체의 용역으로 추진되는 경우가 많은데 이와 같은 경우에는 해당 SI업체 사업 책임자 혹은 프로젝트 관리자(PM), 파트 리더(PL) 등이 참여하여 구체적인 설계 방안을 논의하고 관련 자료 제출 및 검토에 협조하여야 합니다.

● 대규모의 개인정보를 이용하거나 여러 공공기관이 연계되어 복잡한 개인정보 취급 절차 발생이 예상되는 경우에는 외부 개인정보보호 컨설팅 업체에 영향평가를 대행하여 수행토록 하는 것이 바람직합니다.

(2) 영향평가팀 구성 및 역할 정의

● 영향평가팀을 구성한 후에는 영향평가팀의 중심이 되는 사업주관부서 담당자가 각각 구성원의 역할 및 책임 사항을 배분합니다.

- 역할 및 책임 배분 시 영향평가팀에 참여하는 부서 및 유관 기관 담당자의 업무 및 필요 검토 자료를 명확히 정의하고 업무의 중복을 가급적 지양하는 것이 바람직합니다.

● 다음 표는 영향평가팀의 업무를 평가 단계별로 역할 관계를 정의한 예시로써, 이를 참조하여 역할 배분을 할 수 있습니다.

- 영향평가팀에는 사업주관부서(영향평가 주관부서)와 기관 내 사업과 관련된 유관 부서 및 외부 기관, 시스템 개발부서가 기본적으로 포함되며 외부 용역을 통해 개발하는 경우 시스템 개발업체(개발 용역업체)가 포함됩니다.

- 또한, 평가항목 중 많은 부분이 법률적 내용에 기반하므로 개인정보보호를 위한 법률적 해석에 자문이 필요하거나 전문가의 조언이 필요한 경우 자문위원을 구성할 수 있습니다.

(3) 영향평가팀 운영 계획 수립

● 영향평가팀 구성과 각 구성원의 역할 및 책임 사항의 배분이 논의가 완료되면 이를 문서화 한 영향평가팀 운영 계획서를 작성하여 정리하는 것이 좋습니다.

- 운영계획서는 영향평가팀원 내부적으로 공유하여 상호 간의 역할과 업무를 다시 한번 확인하는 것이 효율적입니다.

다. 영향평가 계획 수립

● 영향평가팀은 평가 과정에 필요한 사항들을 정리하고 영향평가팀 내부적으로 공유하기 위해 세부적인 평가 계획을 수립하고 이를 문서화 한「평가계획서」를 작성합니다.

● 영향평가 계획서에는 다음의 요소들이 반영되는 것이 적합하며, 온라인 평가가 아닌 오프라인으로 수행 시 수행기관 평가환경에 따라 적절히 수정 가능합니다.

- 영향평가 계획서 내 반영 사항 : 평가목적, 평가대상 및 범위, 평가주체(평가팀), 평가기간, 평가절차(방법), 주요 평가사항, 평가기준 및 항목, 자료 수집 및 분석 계획 등

- 외부 컨설팅업체를 활용하지 않고 내부인력만으로 수행하는 영향평가의 경우에는 평가경험이 많은 외부 평가전문가를 참여시켜 평가 계획의 적절성 여부에 대해 점검받는 것이 좋습니다.

● 작성된 평가계획서는 개인정보관리책임관 등 내부보고체계를 따라 보고하고 영향평가 대상사업 최종책임자의 영향평가 수행 지시 후, 평가를 실시하며 

- 본격적인 영향평가 수행에 앞서, 영향평가 실시의 이해와 필요성 인식을 돕고 향후 업무협조 요청 시 원활한 평가업무 추진을 돕기 위해 영향평가팀은 물론 당해 정보화사업과 관련된 유관 부서 및 외부 기관 등과 공유를 위해 착수 회의를 가질 것을 권고합니다.

개인정보 안심 진단 서비스 - 개인정보보호 컨설팅(www.kpim.co.kr)