개인정보 영향평가 수행안내서 part1(총론)

출처: https://www.kisa.or.kr/2060301/form?postSeq=63&lang_type=KO#fnPostAttachDownload

 

해당 포스트는 상기 개인정보 영향평가 수행안내서를 기준으로 작성됩니다.

---

개인정보 영향평가 개요

1. 개념

1) 개인정보 영향평가란?

: 개인정보 파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시, 시스템의 구축·운영·변경 등이 개인정보에 미치는 영향을 사전에 조사·예측 ·검토하여 개선방안을 도출하고 이행여부를 점검하는 체계적인 절차

 

*개인정보파일: 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)

 -> 데이터베이스 등 전자적인 형태뿐만 아니라 수기 문서 자료도 포함(단, 영향평가의 대상이 되는 개인정보파일은 전자적으로 처리할 수 있는 것에 한정되어 있으므로 일반적으로 종이 등의 문서에 수기로 기록된 개인정보 문서는 대상에서 제외)

 

*개인정보처리시스템: 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템

-> 개인정보처리시스템은 일반적으로 데이터베이스 내의 데이터에 접근할 수 있도록 해주는 응용시스템을 의미하며 데이터베이스를 구축하거나 운영하는데 필요한 시스템을 말함

-> 다만, 개인정보처리시스템은 개인정보처리자의 개인정보 처리방법, 시스템 구성 및 운영환경 등에 따라 달라질 수 있으며 작게는 한 대의 서버에서부터 크게는 수백 대의 서버 및 DBMS를 운영하는 것까지 다양한 규모를 가지고 있음

 2. 목적 및 필요성

: 개인정보 처리가 수반되는 사업 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방

 3. 평가 대상

: 일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축·운영 또는 변경하려는 공공기관은 개인정보 보호법 제33조 및 개인정보 보호법 시행령 제35조에 근거하여 영향평가를 수행

개인정보 보호법 제33조

개인정보 보호법 시행령 제35조

• 5만명 조건) 5만명 이상의 정보주체의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
• 50만명 조건) 해당 공공기관의 내부 또는 외부의 다른 개인정보파일과 연계하려는 경우로서, 연계 결과 정보주체의 수가 50만 명 이상인 개인정보파일
• 100만명 조건) 100만 명 이상의 정보주체 수를 포함하고 있는 개인정보파일

※ 현시점 기준으로 영향평가 대상은 아니나 가까운 시점(1년 이내)에 정보주체의 수가 법령이 정한 기준 이상이 될 가능성이 있는 경우, 영향평가를 수행할 것을 권고

 

• 변경 시) 영 제35조(개인정보 보호법 시행령)에 근거하여 영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 변경된 부분에 대해서는 영향평가를 실시

※ 법령상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집·이용하는 기관은 개인정보 유출 및 오·남용으로 인한 사회적 피해를 막기 위해 영향평가 수행 가능

 

: 개인정보 영향평가를 하지 아니하거나 그 결과를 보호위원회에 제출하지 아니한 자에게는 개인정보 보호법 제75조제2항16호에 근거하여 3천만원 이하의 과태료를 부과함(24.3.15 시행)

( -> 16. 제33조제1항을 위반하여 영향평가를 하지 아니하거나 그 결과를 보호위원회에 제출하지 아니한 자)

 4. 평가 시기

1) 시스템을 신규 구축 또는 기존 시스템을 변경하는 경우

: 개인정보처리시스템을 신규로 구축하거나 기존 시스템을 변경하려는 기관은 사업계획 단계에서 영향평가 의무대상 여부를 파악하여 예산을 확보한 후, 대상 시스템의 설계 완료 전에 영향평가를 수행해야 함. 또한 영향평가 결과는 시스템 설계 ·개발 시 반영해야 함(개인정보 영향평가에 관한 고시 제9조의 2)

 

2) 기 구축되어 운영 중인 시스템의 경우

: 개인정보처리시스템을 기 구축 ·운영 중, 아래의 경우 추가적으로 영향평가 수행 가능

• 수집 ·이용 및 관리상에 중대한 침해위험의 발생이 우려되는 경우
• 전반적인 개인정보 보호체계를 점검하여 개선하기 위한 경우

 5. 평가 수행 주체

: 공공기관은 개인정보보호위원회가 지정한 영향평가기관에 평가를 의뢰하여 수행

※ 영향평가기관에 대한 정보는 개인정보 포털(privacy.go.kr)에서 확인 가능

 6. 평가 수행 체계

: 영향평가는 개인정보보호위원회가 지정한 영향평가기관에 의뢰하여 영향평가를 수행하고 그 결과 및 요약본을 최종 제출받은 날로부터 2개월 이내에 개인정보보호위원회에 제출(*개인정보보호 종합지원시스템(https://intra.privacy.go.kr)에 등록)

---

용어정의 및 추진근거

1. 용어정의

1) 개인정보

: 개인정보란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말하며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보도 포함됨

이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는데 사용되는 시간, 비용, 기술 등을 합리적으로 고려해야 함. 또한, 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보 즉, 가명정보도 개인정보에 포함됨

 

2) 처리

: 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위

 

3) 정보주체

: 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람

 

4) 개인정보파일

: 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)

 

5) 개인정보처리자

: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등

 

6) 고정형 영상정보처리기기

: 일정한 공간에 설치되어 지속적 또는 주기적으로 사람 또는 사물의 영상 등을 촬영하거나 이를 유무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치

 

7) 이동형 영상정보처리기기

: 사람이 신체에 착용 또는 휴대하거나 이동 가능한 물체에 부착 또는 거치하여 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치

 

8) 민감정보

: 사상·신념, 노동조합 ·정당의 가입 ·탈퇴, 정치적 견해, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저하게 침해할 우려가 있는 개인정보로서, 유전자검사 등의 결과로 얻어진 유전정보, 형의 실효 등에 관한 법률 제2조제5호에 따른 범죄경력자료에 해당하는 정보, 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보, 인종이나 민족에 관한 정보

 

9) 고유식별정보

: 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 외국인등록번호, 운전면허번호를 의미

 

10) 개인정보취급자

: 개인정보처리자의 지휘 ·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말함

※ 개인정보취급자는 개인정보 처리 업무를 담당하고 있는 자라면, 정규직, 비정규직, 하도급, 시간제 등 모든 근로 형태를 불문하며, 고용관계가 없더라도 실질적으로 개인정보처리자의 지휘᛫감독을 받아 개인정보를 처리하는 자는 개인정보취급자에 포함(개인정보 보호법령 및 지침᛫고시 해설 제28조)

 

11) 개인정보처리시스템

: 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템

 

12) 위험도 분석

: 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위

 

13) 개인정보 영향평가

: 법 제33조제1항(개인정보 보호법)에 따라 공공기관의 장이 영 제35조(개인정보 보호법 시행령)에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항 도출을 위한 평가

 

14) 대상기관

: 영 제35조(개인정보 보호법 시행령)에 해당하는 개인정보파일을 구축·운용, 변경 또는 연계하려는 공공기관

 

15) 개인정보 영향평가기관

: 영 제36조제1항 각 호(개인정보 보호법 시행령)의 요건을 모두 갖춘 법인으로서 공공기관의 영향평가를 수행하기 위하여 개인정보보호위원회가 지정한 기관

 

16) 대상시스템

: 영 제35조(개인정보 보호법 시행령)에 해당하는 개인정보파일을 구축·운용, 변경 또는 연계하려는 정보시스템

 

2. 추진근거

• 개인정보 보호법 제33조(개인정보 영향평가)

• 개인정보 보호법 시행령 제35조(개인정보 영향평가의 대상)

• 개인정보 보호법 시행령 제36조(평가기관의 지정 및 지정취소)

• 개인정보 보호법 시행령 제37조(영향평가 시 고려사항)

• 개인정보 보호법 시행령 제38조(영향평가의 평가기준 등)

• 개인정보 영향평가에 관한 고시(개인정보보호위원회고시 제2024-10호) [시행 2024.10.31.]

3. 영향평가 수행 절차 요약

: 영향평가 사업은 직전 연도에 예산을 확보하고, 당해 연도에 평가기관을 선정하여 대상기관과 평가기관이 협업을 통해 영향평가서 및 요약본을 완성

• 영향평가서 및 요약본은 최종 제출받은 날로부터 2개월 이내에 개인정보보호위원회에 제출
• 영향평가 결과 개선사항으로 지적받은 사항이 있는 경우에는 지적된 부분에 대한 이행결과 및 계획 등을 영향평가서 및 그 요약본을 제출받은 날로부터 2개월 이내에 개인정보보호위원회에 제출. 단, 2개월 경과 후 조치한 사항에 대해서는 이행결과를 부득이한 사유가 없는 한 영향평가서를 제출받은 날로부터 1년 이내에 개인정보보호위원회에 제출

※ 제출방법 : 개인정보보호 종합지원시스템(https://intra.privacy.go.kr)에 등록

• 공공기관은 요약본 내용에서 비공개 대상 정보* 여부 확인 후 공개 필요

* ｢ 공공기관의 정보공개에 관한 법률｣ 제9조제1항 각 호의 비공개 대상 정보, 시스템 구조도 상세, 접근통제 방식의 구체적 내용, 암호화 기술의 세부사항 등 개인정보보호 및 정보보호에 영향을 미칠 수 있는 상세정보

※ 공개방법 : 공공기관 홈페이지 내에 공지사항, 정보공개 창구 등

• 공공기관이 공개용 요약본을 개인정보보호 종합지원시스템에 등록한 경우 개인정보보호위원회는 개인정보 포털(www.privacy.go.kr)의 영향평가 요약본 통합 공개 메뉴*에서 공개하고 있음

※ 공공기관은 공개용 요약본 제출 시 비공개 대상 정보 여부 확인 후 등록 필요

* 개인정보 포털(www.privacy.go.kr) > 기업‧공공서비스 > 개인정보 영향평가 > 영향평가 요약본 공개