고객 만족! 고객 감동!을 실현하는 정보시스템 전문 기업 (주)키삭입니다.

KISAC Mail

보안

HOME > 보안 > 개인정보영향평가

개인정보를 활용하는 새로운 정보시스템의 구축 또는 기존의 운영중인 개인정보시스템의 중대한 변경 시 동시스템의 구축,운영,변경 등이 프라이버시에 미치는 영향(Impact)에 대하여 사전에 조사, 예측, 검토하여 개선방안을 도출하는 체계적 절차 정보시스템의 구축, 변경 등이 완료되기 전에 평가 및 개선을 통해 국민의 프라이버시에 미치는 중대한 영향을 사전에 파악하여 그 위험요인을 제거하거나 최소화할 수 있는 방안을 모색하는 것

[ 배경 ]
• 정보화사회의 급속한 발전 : 행정, 교육, 의료등 다양한 분야에서 정보의존도 및 활용성 증대
• 새로운 유형의 개인정보 지속 생성 : RFID, 위치정보등 특정 정보통신기술을 활용한 개인정보 지속생성,이용
• 과도한 개인정보의 수집,오남용 : 프라이버시 침해 위험 급증

개인정보 보호법 제33조(개인정보영향평가)
시행령 제35조(개인정보영향평가의 대상), 제36조(영향평가시 고려사항)
시행령 제37조(평가기관의 지정 및 취소), 제38조(영향평가의 평가기준 등)
시행령 부칙 제6조(개인정보영향평가에 관한 경과조치)
개인정보영향평가에 관한 고시 - 행정안전부 고시 제2011-39호(2011.09.30)

평가대상

공공기관은 일정규모 이상의 개인정보파일을 운영하는 경우 "개인정보보호법" 제33조 및 "개인정보 보호법 시행령" 제35조에 근거하여 개인정보 영향평가 수행 의무화
상위 법률상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집, 이용하는 기관은 개인정보 유출 및 오.남용으로 인한 사회적 피해를 막기 위해 PIA 수행 가능

수행시기

개인정보를 수집, 이용하려는 대상기관이 본격적으로 정보화 사업을 추진하기 이전에 수행 의무
새로운 정보시스템의 구축변경 시 침해요인사전분석 및 개선을 위해 구축전 분석,설계단계에서 실시 (감리단계에서 반영정도의 적절성 확인, 유지보수 단계에서는 자체적으로 지속점검 및 감사 권장)
운영중인 개인정보 취급 시스템의 개인정보 수집, 이용 및 관리상의 중대한 침해위험 발생이 우려되는 경우
전반적인 개인정보 관리체계를 점검하여 개선하기 위한 경우

평가절차

평가항목

18개분야 114개 평가항목 + 대상기관의 특성을 고려한 평가항목 추가

대상기관의 개인정보보호 관리체계	- 대상기관 개인정보 보호 조직 - 개인정보보호 계획 - 개인정보처리 방침 - 개인정보 위탁 및 제공시 안전조치 - 개인정보 침해 대응 - 정보주체 권익보호 - 개인정보 처리구역 보호	8분야 30평가 항목
대상시스템의 개인정보보호 관리체계	- 대상시스템의 개인정보 관리 - 개인정보 취급내용 공개	2분야 9평가 항목
개인정보 처리단별 보호	- 수집단계 - 저장 및 보유 단계 - 이용 및 연계. 제공 단계 - 파기단계	4분야 60평가 항목
특정 IT기술 활용 시 개인정보보호	- CCTV 활용 - RFID활용 - 바이오 정보 활용 - 위치정보 활용	4분야 14평가 항목

개인정보영향평가
자체 방법론

개인정보 영향평가 시행 단계를 사전분석, 평가계획, 평가자료 수집 및 법/규정 검토, 개인정보 흐름분석, 개인정보 침해 요인 분석, 개선계획 수립, 평가보고서 작성 7단계로 구분하여 정의함

각 단계별 산출물 목록은 다은과 같음.

서브 프로세스	활동	산출물
100 사전분석	101 요구사항 분석	요구사항 명세서
100 사전분석	102 사전 분석	사전평가질문서
200 평가계획 수립	201 영향평가 수행주체 선정	평가팀 구성 평가팀운영계획서
200 평가계획 수립	202 평가계획 수립	평가계획서
300 현황분석 및 법제도 검토	301 내부정책자료 분석	자료 목록
	302 외부정책자료/법제도 검토	대상사업별 적용
	303 사업관련자료 검토	사업개요서
400 개인정보 흐름분석	401 업무절차도 작성	업무절차서
	402 개인정보 현황표 작성	자산목록 자산 중요도
	403 개인정보 흐름도	개인정보 흐름도
	404 시스템 구조도 작성	시스템 구조도
500 개인정보 침해요인 분석	501 영향평가표 작성	영향평가 체크 상세 점검표
	502 개인정보보호 조치현황 파악	상세 점검 결과서
	503 개인정보 침해 위험요소 도출	위험요소 목록
	504 위험도 산정	위험요소 위험도
600 개선계획 수립	601 개선방안 목록 작성	개선방안 목록
600 개선계획 수립	602 개선계획 수립	일정계획, 개선계획
700 평가보고서 작성	701 평가보고서 작성	평가보고서

대학	동양미래대학교 개인정보 영향평가
공공기관	국민연급공단 개인정보 위험도 분석 및 DB 암호화 분석 컨설팅 분당서울대학교병원 홈페이지 개편사업 개인정보영향평가 제주국제자유도시개발센터 – JDC지정면세점 영업관리시스템 개인정보 영향평가 한국의료분쟁조정중재원 – 개인정보영향평가 및 보안SW 도입 사업
중앙부처	경찰청 통합민원상담센터 개인정보 영향평가 행정안전부 민원24 개인정보 영향평가 사업
지방자치단체	괴산군 개인정보 영향평가 안산시 중앙도서관 정보시스템 개인정보 영향평가

개인정보 침해 문제를 사전에 발견하여 정보시스템 구축, 운영에 있어 시행착오 예방 및 효과적인 대응책의 수립
개인정보 침해에 관하여 고객의 불만 등 외부개입 이전에 내부적으로 문제를 파악, 처리하여 사업자에 대한 신뢰 증진
사업 초기에 적절한 평가를 통해 적은 비용으로 개인정보보호 장치의 마련