1강. 개인정보 영향평가 개요

1. 개인정보 영향평가란?

 

소관기관 : 개인정보보호위원회 

법률 : 개인정보보호법

관련 조항 : 개인정보영향평가(제33조)

 

Privacy by Design

• 사후 조치가 아닌 사전예방 
• 개인정보 보호의 기본 설정 : IT 시스템과 업무 관행에서 이용자가 아무런 일을 하지 않아도 자동으로 개인정보가 보호되도록 기본 설정
• 개인정보 보호의 내재화 : 시스템 설계에 내재화 -> 핵심 기능의 필수 요소 (not add-on)
• 개인정보 보호와 서비스 목표 둘 다 추구
• 개인정보 라이프사이클 전체 보호
• 가시성 및 투명성 유지
• 이용자 개인정보 보호 존중 - 이용자 중심주의

지정 요건

• 최근 5년간 영향평가 업무, 유사 업무, 정보보호컨설팅 업무, 주요 정보통신기반시설 취약점 분석 평가 또는 보호대책 수립 업무 수행의 대가로 받은 금액의 합계액이 2억 원 이상인 법인
• 전문 인력을 10명 이상 상시 고용하고 있는 법인
• 신원 확인 및 출입 통제를 위한 설비를 갖춘 사무실
• 기록 및 자료의 안전한 관리를 위한 설비

 

 

평가기관 지정 필수 취소 요건

• 거짓이나 그 밖의 부정한 방법으로 지정을 받은 경우
• 지정된 평가기관 스스로 지정취소를 워한거나 폐업한 경우

취소 가능 요건

1. 평가기관 지정요건을 충족하지 못하게 된 경우
2. 고의 또는 중대한 과실로 영향평가업무를 부실하게 수행하여 그 업무를 적정하게 수행할 수 없다고 인정되는 경우
3. 지정 시 신고한 사항의 변경 발생 시 등 신고의무를 이행하지 아니한 경우
4. 평가기관으로 지정된 후 정당한 사유 없이 영향평가 실적이 없는 경우
5. 개인정보 영향평가서 등 영향평가 대상 정보를 유출한 경우 
6. 그 밖에 법 또는 이 영에 따른 의무를 위반한 경우

 

전문인력

- 일반 수행 인력 : ISA, CISA, CISSP, CPPG,정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사, 전자계산기조직응용기사, 정보처리기사, 정보보안기사, 정보통신기사 자격 취득 후 1년 이상 관련 분야에서 업무 수행 or ISMS-P 인증심사원 자격 취득자

- 고급 수행 인력

- 일반 자격을 갖춘 후 5년 이상의 수행실적, 박사학위 취득 후 3년 이상 수행실적 등

 

영향평가를 한 개인정보파일을 등록할 때에는 영향평가 결과를 함께 첨부해야 한다.

영향평가의 대상

1. 구축·운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 구축·운용하고있는개인정보파일을 해당 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축·운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
4. 법 제33조 제1항에 따른 개인정보영향평가를 받은 후에 개인정보 검색 체계 등 개인정보파일의 운용 체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.

일정요건에 해당하는 공공기관은 개인정보 영향평가를 받아야 함.

 

영향평가 시 고려사항

처리하는 개인정보의 수

개인정보의 제3자 제공  여부

정보주체의 권리를 해할 가능성 및 그 위험 정도

그 밖에 대통령령으로 정한 사항