공공기관 개인정보 영향평가 수행 시 참고사항
(2016.07)
□ 관련 법규○ 개인정보 보호법 제33조(개인정보
영향평가)
○ 개인정보 보호법 시행령 제35조(개인정보 영향평가의 대상), 제36조
(영향평가 시 고려사항), 제37조(평가기관의 지정 및 지정취소), 제38조
(영향평가의 평가기준 등)
○ 개인정보 영향평가에 관한 고시 (행정자치부 고시 제2015-53호, 2015.12.31.)
○ 개인정보 보호법 시행령 제35조(개인정보 영향평가의 대상), 제36조
(영향평가 시 고려사항), 제37조(평가기관의 지정 및 지정취소), 제38조
(영향평가의 평가기준 등)
○ 개인정보 영향평가에 관한 고시 (행정자치부 고시 제2015-53호, 2015.12.31.)
□ 영향평가 개요○ (목적) 개인정보를 처리하는 시스템을 구축 또는 변경하는 경우 위험요인을 분석하고 개선사항을
도출하여 개인정보 침해사고 예방
○ (대상) 개인정보 처리 시스템을 구축 또는 변경하려는 공공기관
○ (대상) 개인정보 처리 시스템을 구축 또는 변경하려는 공공기관
<영향평가 수행 대상 : 개인정보 보호법 시행령
제35조> ▪ 5만 명 이상의 민감정보 또는 고유식별정보가 포함된
개인정보파일
▪ 공공기관 내부 또는 외부 개인정보파일과 연계 결과 50만 명 이상의 개인정보가 포함된
▪ 공공기관 내부 또는 외부 개인정보파일과 연계 결과 50만 명 이상의 개인정보가 포함된
개인정보파일
▪ 100만 명 이상의 개인정보가 포함된 개인정보파일
▪ 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하는 경우, 변경된 부분
▪ 100만 명 이상의 개인정보가 포함된 개인정보파일
▪ 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하는 경우, 변경된 부분
평가기관목록에서 확인 가능
□ 영향평가 수행 시기○ 신규 시스템 구축 또는 기존 시스템 변경 시 시스템 분석․설계 단계
○ 시스템 운영 중 중대한 개인정보 침해위험 발생 우려 시
○ 개인정보 보호법 시행령 시행(2011.9.30.) 전 구축․운영 시스템은‘16.9.까지 수행
※ 개인정보 보호법 시행령(2011.9.30.) 부칙 제6조(개인정보 영향평가에 관한 경과조치) 참조
□ 영향평가 사업 담당자 유의사항○ 투입인력의 영향평가 수행 자격 확인(인증서 확인)
※ 「개인정보 영향평가에 관한 고시」에 따라 제5조에 따라 전문인력 인증을 받은 경우 영향평가
수행 가능
○ 영향평가는 시스템 구축․운영 전 개인정보 침해 요인을 찾고,
이를 개선하여 개인정보 침해사고를 예방하는 것이 목적이므로
- 영향평가기관이 영향평가 사업 발주기관과 관련 시스템을 정확히 이해할 수 있도록 자료 제공
○ 영향평가는 시스템 구축․운영 전 개인정보 침해 요인을 찾고,
이를 개선하여 개인정보 침해사고를 예방하는 것이 목적이므로
- 영향평가기관이 영향평가 사업 발주기관과 관련 시스템을 정확히 이해할 수 있도록 자료 제공
등에 적극 협조하고
- 기관과 시스템의 특성을 반영한 개선사항 도출 등 내실 있는 영향평가 사업이 될 수 있도록
- 기관과 시스템의 특성을 반영한 개선사항 도출 등 내실 있는 영향평가 사업이 될 수 있도록
관리․감독 철저
○ 개인정보보호종합지원시스템(intra.privacy.go.kr)에 영향평가 결과 등록
- 영향평가서 : 사업 완료 후 2개월 이내
- 개선계획 이행점검 확인서 : 사업 완료 후 1년 이내
○ 개인정보보호종합지원시스템(intra.privacy.go.kr)에 영향평가 결과 등록
- 영향평가서 : 사업 완료 후 2개월 이내
- 개선계획 이행점검 확인서 : 사업 완료 후 1년 이내
다운로드 가능
○ 개인정보 영향평가
컨설팅
뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)
