본문 바로가기 주메뉴 바로가기

개인정보보호컨설팅

Auditing, Consulting and Evaluation for Information System

개인정보영향평가

개인정보파일의 신규 도입·변경 시 위험요인 분석 및 개선 사항을 도출하기 위하여 사전에 조사 분석·평가하기 위한 제도

법적 근거 및 적용대상
  • 법적근거 : 개인정보 보호법 제33조(개인정보 영향평가)
  • 적용대상 : 개인정보 보호법 시행령 제35조에 해당하는 개인정보파일을 구축ㆍ운영하거나 기존 시스템을 변경 또는 연계하려는 공공기관
  • 영향평가 의무수행 대상
    [구축·운용 시]
    의료정보 등 민감정보 또는 주민등록번호 등 고유식별정보 포함 시 5만명 이상의 정보주체에 관한 개인정보파일 구축 운용 또는 변경하는 경우
    내·외부 시스템과 연계결과, 50만명 이상의 정보주체에 관한 개인정보파일을 구축·운용 또는 변경하는 경우
    100만명 이상의 개인정보파일을 구축ㆍ운용 또는 변경하는 경우
    [변경 시]
    영향평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하는 경우
영향평가 수행체계
처리절차
  • 평가시점 : 영향평가 수행은 개인정보처리 시스템 구축 전단계인 분석 또는 설계단계에서 실시
  • 수행주체 : 영향평가 주관부서 담당자, 개인정보보호 책임자, 개인정보보호 담당자 등으로 영향평가팀을 구성하여 영향평가를 수행
    ※ 공공기관은 개인정보보호위원회에서 지정한 평가기관에 영향평가 의뢰
  • 분석자료
항목 수집 목적 수집 대상 자료
① 내부 정책 자료
  • 기관 내부의 개인정보호 체계, 규정, 조직 현황 등 분석
  • 기관 내 개인정보 보호 규정
  • 기관 내 정보보안 관련 규정
  • 기관 내 직제표 등
  • 개인정보취급자(정보스템 관리자, 접근자 등), 위탁업체 등에 대한 내부 규정 및 관리. 교육 체계 확인
  • 개인정보 관련 조직 내 업무 분장표 및 직급별 권한
  • 정보시스템의 접근권한에 대한 내부 규정
  • 위탁업체 관리 규정 등
  • 시스템 관리자 및 정보취급자에 대한 교육계획
② 외부 정책 자료
  • 개인정보보호 정책 환경 분석
  • 개인정보 보호법, 관련 지침 등
  • 개인정보보호 기본계획 등
  • 영향평가 대상사업의 특수성을 반영한 정책 환경 분석
  • 평가대상사업 추진 근거 법률 및 개인정보 보호 관련 법령
③ 대상시스템 관련 자료
  • 정보시스템을 통해 수집되는 개인정보의 양과 범위가 해당 사업 수행을 위해 적절한지 파악
  • 사업 수행 계획서, 요건정의서
  • 제안서, 업무기능분해도
  • 업무흐름도, 환면설계서
  • 정보시스템의 외부연계 여부 검토
  • 위탁 계획서, 연계 계획서
  • 인터페이스 정의서
  • 메뉴 구조도
  • 정보시스템의 구조와 연계된 개인정보 보호 기술현황 파악
  • 침입차단시스템 등 보안 시스템 구조도
  • 인터페이스 정의서
개인정보 영향평가 절차
기대효과
  • 설계단계에서부터 개인정보 침해위험성을 검토하고 개선함으로써 시스템 구축·운영시 발생할 수 있는 침해위협 최소화 및 효과적인 대응책 마련
  • 개인정보보호 관련 법령의 준수와 정보주체의 권리 및 이익보호 강화