개인정보보호 컨설팅 - 공공기관 개인정보영향평가 절차2

라. 평가 자료 수집

● 본격적인 개인정보 영향평가 수행에 앞서 평가 대상 및 개인정보 정책 환경을 분석하기 위한 관련 자료를 수집 할 필요가 있습니다.

- 분석 대상 자료는 기관 내∙외부의 개인정보보호 관련 규정 및 정책 환경 등을 분석하기 위한 개인정보보호 관련 ① 내부정책 자료, ② 외부정책 자료, 사업 자체에 대한 이해를 위한 ③ 사업설명 자료 등으로 구분할 수 있습니다.

(1) 내부 정책 자료 분석

● 개인정보 영향평가 수행에 있어 해당 기관의 개인정보보호 관련 체계 및 규정의 수립 및 이행 여부는 중요한 평가 요소 중의 하나입니다.

- 따라서, 본격적인 영향평가 수행 이전에 기관 내 개인정보보호 체계에 관한 사항을 검토합니다.

● 기관 내 정책 자료로는 기관의 전반적인 개인정보보호 체계 및 규정 수립 여부를 확인하기 위한 개인정보 관리지침, 개인정보보호 정책 및 조직 체계 관련 자료, 개인정보 취급자 및 위탁 업체 등 개인정보를 실질적으로 처리하는 인력에 대한 통제를 위한 규정 및 교육 자료, 정보보안 환경 분석을 위한 시스템 구조도 등이 해당 됩니다.

● 필요 자료

- (조직∙체계 자료) 기관 내 개인정보 보호방침, 개인정보 관리계획, 직제표, 개인정보 보호규정, 정보보안 규정 등

- (인적 통제∙교육 자료) 개인정보 관련 조직 내 업무 분장표 및 직급별 업무권한 현황, 정보시스템의 접근 권한에 대한 내부 규정, 시스템 운영자 및 정보취급자에 대한 교육 계획, 위탁 업체 관리 규정 등

- (정보 보안 자료) 방화벽 등 침입차단 시스템 및 백신프로그램 도입 현황, 기존 유사 시스템 구조도 등

(2) 외부 정책 자료 분석

● 개인정보 영향평가 수행을 위해서는 개인정보보호 관련 법규 준수 여부(Compliance)에 대한 평가가 필수적입니다.

- 예를 들어, 개인정보를 수집하는 경우‘공공기관의 개인정보보호에 관한 법률(이하‘개인정보법’)’에 따라, 법률에 근거하여 수집하거나 그렇지 않은 경우에는 정보 주체에게 동의를 받아야 한다. 평가 시에는 동의 획득 여부에 대한 평가와 함께 동의 획득 절차가 행안부가 권고하는 방향에 따라 적절히 조치되었는지에 대한 평가 또한 병행되어야 합니다.

- 이를 위해서는 각종 개인정보보호 관련 법규 등의 분석을 통해 평가 대상 사업 관련 기관 외부의 개인정보보호 정책 환경을 파악하는 작업이 선행되어야 합니다.

● 외부 정책 자료는 공공기관에게 공통적으로 해당되는 일반 정책 자료와 평가 대상 사업에 한해 제한적으로 적용되는 특수 정책 자료가 있으며 그 유형은 법령, 지침, 가이드라인, 훈령 등으로 다양합니다.

- 개인정보 영향평가는 법률에서 정하고 있는 바에 대한 단순한 조치 여부를 체크하는 것이 아니라 개인정보보호의 측면에서 사업을 평가∙분석하는 것이기 때문에 반드시 법률에 강제하고 있는 사항이 아니라 관련 지침이나 가이드라인 등의 권고 사항이라고 할지라도 이를 반영하여 평가하는 것이 적합합니다.

[공공부문 개인정보보호 관련 법규]

● 공공기관이 평가 수행 시 기본적으로 검토되어야 하는 각종 개인정보보호 관련 법규는 다음과 같으며 행정안전부 홈페이지(www.mopas.go.kr)를 통해 관련 자료를 수집할 수 있습니다.

● 공공기관에 공통적으로 적용되는 기본적인 개인정보보호 법규 외에, 해당 분야에만 적용되는 추가적인 법규에 대해 반드시 검토하여야 합니다. 개인정보보호의 중요성이 대두됨에 따라 각 중앙부처에서는 해당 분야에 특화된 개인정보보호 지침을 마련하여 운영하는 경우가 많으므로 법률 외에 관련 지침 및 가이드라인 등에 대한 검토 또한 수반되어야 합니다.

- 예를 들면, 교육 분야의 경우에는‘교육 기본법’및‘초중등교육법’내의 개인정보보호관련규정,‘ 교육기관및교육행정기관의개인정보보호업무지침’ 등이 해당될 수 있으며 평가 대상 사업이 민원 업무 처리와 관련된 경우라면 ‘민원사무처리에 관한 법률’을 추가적으로 검토할 수 있습니다.

● 최근 들어, 고도화∙지능화된 대국민 공공 서비스 제공을 위해 RFID, 위치정보 등 첨단 IT기술을 활용하고 있습니다. 일례를 들면, 고속도로 톨게이트 요금 자동 정산을 위한 하이패스 서비스의 경우 등이 RFID 기술을 활용한 대표적 공공 서비스입니다.

- 이와 같이 신규 IT 기술을 활용한 경우에도 개인정보보호를 위한 충분한 조치 사항이 이루어졌는지에 대한 평가가 필요하나, 공공 분야에는 신규 IT 기술과 관련된 법규나 지침이 마련되어 있지 않아 평가 기준 수립에 어려움이 있을 수 있습니다.

- 이런 경우에는, 민간 분야의 지침이나 가이드라인 등을 활용하여 평가 기준을 활용할 수 있는데, 정보통신 분야의 대해서는 방송통신위원회가 관련 지침이나 가이드라인 등을 마련하여 배포하고 있습니다. 동 안내서나 지침은 근본적으로 OECD의 개인정보보호 8원칙 등에 기반하여 작성된 것이므로, 공공∙민간의 구분 없이 평가 기준 수립에 참고하여도 무방합니다.

(3) 사업 관련 자료의 검토

● 영향평가 대상사업의 추진배경, 추진목표, 사업개요 및 당해 사업에 직∙간접적으로 영향을 미치는 제반 사항에 대한 검토∙분석을 실시하고, 영향평가팀이 사업 내용을 명확히 이해할 수 있도록‘사업개요서’를 작성합니다.

- 이를 위해, 사업 추진 계획서, 제안 요청서(RFP), 과제 수행 계획서, 요구 사항정의서 등의 다양한 형태의 사업설명자료를 참조할 수 있습니다. 영향평가 대상 사업의 개발단계에 따라 참조할 수 있는 자료가 상이하며, 기 구축된 개인정보처리시스템의 경우에는 업무매뉴얼 등에 대한 검토도 병행합니다. 또한, 사업 관련 자료 분석을 위해 수집된 내용은 추후 영향평가 수행 단계에서 활용되므로 상세히 검토하도록 합니다.

- 공공 분야의 정보화 사업 및 개인정보 수집∙이용이 법률에 근거하여 추진되는 경우가 많으므로, 관련 법적 근거를 조사하고 사업 개요서 내에 반영합니다.

● 필요 자료

- (사업수행자료) 사업추진 계획서, 제안 요청서, 과제 수행 계획서, 요구사항정의서, 업무 매뉴얼(기 구축 시) 등

- (외부연계) 위탁 계획서, 연계 계획서 등

- (개발산출물) 시스템 설계서, 요건 정의서, 업무 흐름도, 기능 정의서, Data Flow Diagram, 테이블 정의서, 화면 설계서, 메뉴 구조도 등

개인정보 안심 진단 서비스 - 개인정보보호 컨설팅 케이핌(www.kpim.co.kr)

※ 본 자료는 한국인터넷진흥원의 '공공기관 개인정보영향평가 수행 가이드'를 옮긴 것입니다.