개인정보 영향평가 수행안내서 part2(영향평가 수행절차)

출처: https://www.kisa.or.kr/2060301/form?postSeq=63&lang_type=KO#fnPostAttachDownload

해당 포스트는 상기 개인정보 영향평가 수행안내서를 기준으로 작성됩니다.

---

개인정보 영향평가 수행절차

1) 단계

1) 영향평가 사전준비 단계: 영향평가 사업계획을 수립하여 신규 또는 변경 사업 추진 시 타당성 검토 후 조직 내 영향평가 협력 조직 구성 및 영향평가 수행 방향을 수립하여야 한다. 이후 필요한 예산 및 지원 인력 등의 자원을 확보하고 평가기관을 선정, 선정된 평가기관이 포함된 영향평가팀을 구성

2) 영향평가 수행단계: 선정된 평가기관이 개인정보 침해요인을 분석하고 개선계획을 수립하여 영향평가서 및 요약본 작성

3) 이행 단계: 영향평가서의 침해요인에 대한 개선계획을 반영하고 이를 점검

 

2) 영향평가 사전준비 단계

1) 사업계획 작성

가) 영향평가 필요성 검토

• 영 제 35조에 근거하여 특정 정보주체 수 이상의 개인정보를 전자적으로 처리하는 공공기관은 영향평가를 의무적으로 수행
  • 영향평가를 실시하는 3가지 유형
    • 개인정보파일을 신규 구축 및 운용하려는 경우
    • 기 운용 중인 개인정보파일의 수집, 보유 이용 등의 처리절차를 변경하거나 개인정보 검색 체계 등 개인정보파일 운용체계를 변경하려는 경우
    • 개인정보파일을 타 시스템과 연계·제공하려는 경우
• 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력

나) 영향평가 사업 대가산정

• 대상기관은 객관적인 개인정보 영향평가 대가산정을 위해 ‘개인정보 영향평가 대가산정 가이드(개인정보보호위원회)’를 준용하여 사업비 산정

다) 사전 간이평가(선택사항)

• 대상기관은 영향평가기관을 통해 영향평가를 수행하기 전에 개인정보 포털(privacy.go.kr)을 통해 영향평가 맛보기 기능 활용 가능
  • 영향평가 맛보기 기능은 대상시스템 및 영향평가 절차 등에 대한 이해도를 높일 수 있고, 사업발주 시 평가기관에 대한 사업관리 등에 활용 가능

라) 사업계획서 작성

• 영향평가 사전준비 단계로 영향평가 사업계획서를 작성하고, 영향평가 예산 확보를 위해 사업계획에 포함

2) 영향평가 기관 선정

1) 제안요청서 작성 및 사업발주

• 사업계획서에 기반하여 영향평가 사업발주를 위한 제안요청서를 작성
• 제안요청서 작성 시 영향평가 대상 시스템의 설계 완료 전에 영향평가를 수행하도록 일정 계획을 제시하여야하며, 영향평가 개선계획의 반영여부를 감리 또는 테스트 단계에서 확인할 수 있도록 사업 발주 필요
• 대상기관은 영향평가서 작성 외에 요약본 작성에 관한 요구 사항을 제안요청서에 포함
• 정보시스템 구축사업을 감리한 업체가 동일한 사업에 대한 영향평가 수행하지 않는 것을 권고
• 정보시스템 구축사업을 수행한 사업자가 동일한 사업에 대해서 영향평가 사업을 수행하는 것은 불가

2) 영향평가 기관 선정

• 영향평가기관 중 제안요청사항을 충족할 수 있는 적정 기관을 선정하되, 다음과 같은 문제점이 있으면 평가 수행 업체로 부적절하므로 선정 시 유의
  • 「개인정보 보호법 시행령」 제36조(평가기관의 지정 및 지정취소)제5항 및 「개인정보 영향평가에 관한 고시」 제8조(사후관리)에 따라 개인정 보보호위원회로부터 개선권고, 경고, 지정취소 등을 받은 경우

3) 영향평가 수행 단계

1) 영향평가 수행계획 수립

가) 영향평가 수행계획 수립

• 영향평가팀은 평가과정에 필요한 사항들을 정리하고 영향평가팀 내에서 공유할 수 있는 세부적인영향평가 수행계획을 수립하여 “영향평가 수행계획서”를 작성
• 영향평가 수행계획서에는 (영향평가 수행계획서 내 반영 사항 : 평가목적, 평가대상 및 범위, 평가주체(영향평가팀), 평가기간, 평가절차(방법), 주요 평가사항, 평가기준 및 항목, 자료수집 및 분석계획 등), (영향평가 대상시스템이 신규 구축, 변경, 운영, 공공시스템 유무 등을 명확히 확인할 수 있도록 수행계획서내 반영)와 같은 사항을 반영
• 개인정보 보호책임자 등에 영향평가 수행계획서를 보고하고, 영향평가 대상사업 최종 책임자의영향평가 수행 지시 후 평가를 실시

나) 영향평가팀 구성방안 협의

• 평가기관의 PM(Project Manager : 프로젝트 책임자)은 대상기관 사업관리 담당자의 협조 하에 개인정보보호 담당자, 유관부서 담당자, 외부전문가 등의 참여를 요청
• 위탁 개발᛫관리되고 있는 정보시스템의 경우에는 실제 업무담당자와 사업담당자가 다르므로 현업 업무담당자는 반드시 참여
• 공공기관이 사업을 추진하나 실제 정보화사업 운영᛫관리를 산하기관 등 외부기관이 주관한다면 해당 산하기관 담당자 참여
• 외부 정보시스템 구축업체에 용역을 의뢰하여 구축사업을 추진 시, 프로젝트관리자(PM) 또는 파트리더(PL) 등이 참여

다) 영향평가팀 역할 정의

• 영향평가팀의 평가기관 PM은 각 구성원의 역할 및 책임 사항을 배분
• 영향평가기관의 평가수행 인력은 반드시 상주, 품질관리 담당자는 비상주 가능(영향평가 업무의 연속성 확보 및 품질 제고를 위해 투입인력 중 최소 1명 이상은 업무분석 단계부터 위험분석, 개선계획 도출 등 사업 전기간 동안 상주)

라) 영향평가팀 운영계획 수립

• 영향평가팀 구성과 각 구성원의 역할 및 책임 사항의 정의가 완료되면 이를 문서화한 영향평가팀 구성᛫운영계획서를 작성

 

2) 평가자료 수집

• 효율적인 영향평가 수행을 위해 평가 대상 및 개인정보 정책 환경을 분석하기 위한 관련 자료 수집 필요
• 분석 대상자료는 기관 내·외부 개인정보보호관련 규정, 정책환경을 분석하기 위한 ①내부 정책자료, ②외부 정책자료 ③대상시스템 관련자료 등으로 구분

가) 내부 정책자료 분석

• 대상기관의 개인정보보호 관리체계 및 규정 수립‧이행 여부는 중요
• 내부 정책자료는 개인정보보호 관리체계 분석을 위한 개인정보처리방침, 개인정보 보호 정책 관련 자료, 정보보안환경 분석을 위한 시스템 구조도 등이 해당
• 예시
  • (조직᛫체계 자료) 기관별 개인정보 보호지침, 개인정보보호 내부관리계획, 개인정보 처리방침, 개인정보보호업무 관련 직제표, 개인정보보호규정, 정보보안규정 등
  • (인적 통제᛫교육 자료) 개인정보 관련 조직 내 업무분장표 및 직급별 업무 권한 현황, 정보 시스템의 접근권한에 대한 내부규정, 시스템 관리자 및 개인정보취급자에 대한 교육계획, 위탁업체 관리규정 등
  • (정보보안 자료) 방화벽 등 침입차단시스템 및 백신프로그램 도입현황, 네트워크 구성도 등

나) 외부 정책자료 분석

• 외부 정책자료는 공통적으로 해당되는 일반 정책자료와 대상사업에 제한적으로 적용되는 특수 정책자료가 있으며 유형은 법령, 지침, 가이드라인, 훈령 등으로 다양
• 영향평가는 규정 준수 여부와 더불어 개인정보보호 관점에서 정보시스템을 평가·분석하므로 지침이나 가이드라인 등의 권고사항을 반영하여 평가 필요
• 개인정보보호 관련 법규 준수 여부(Compliance)를 판단할 근거자료의 확보

• 기본적인 개인정보보호 규정 외에 특정 분야에만 적용되는 규정 검토가 필요하며 각 기관의 해당 업무에 관한 개인정보보호지침, 가이드라인 등도 검토 필요

다) 대상시스템 관련 자료 분석

• 대상사업의 추진배경, 추진목표, 사업개요 및 사업에 영향을 미치는 제반 사항에 대한 검토᛫ 분석을 실시하고, 사업 내용을 이해할 수 있도록 ‘사업개요서’를 작성

 

3) 개인정보 흐름 분석

• 개인정보 흐름분석은 4단계로 진행
  • 1. 개인정보 처리 업무 분석: 영향평가 대상 업무 중에서 개인정보 처리업무를 도출하여 평가범위를 선정
    • 개인정보를 처리(수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 등)하는 모든 업무를 파악
  • 2. 개인정보 흐름표 작성: 개인정보의 수집, 보유, 이용·제공, 파기에 이르는 Life-Cycle별 현황을 식별하여 개인정보 처리현황을 명확히 알 수 있도록 흐름표 작성
  • 3. 개인정보 흐름도 작성: 개인정보흐름표를 바탕으로 개인정보의 수집, 보유, 이용·제공, 파기에 이르는 Life-Cycle별 현황을 식별하여 개인정보 처리현황을 명확히 알 수 있도록 흐름도 작성
  • 4. 정보시스템 구조도 작성
    • 개인정보 처리시스템, 개인정보 내·외부 연계시스템 및 관련 인프라의 구성 파악
    • 다른 단계와 병렬 진행 가능하며, 분석 초기에 작성하여 타 단계 진행 시 참고 가능

가) 개인정보 처리업무 현황 분석

• 개인정보 처리업무 현황 분석을 위해서는 평가자료 수집 단계에서 수집한 산출물 분석을 수행하고업무 담당자 인터뷰 및 현장 실사 등을 통해 업무 이해
• 자료분석, 인터뷰 및 현장실사를 병행하여 분석한 결과를 기반으로 개인정보 처리 업무를 식별
• 식별된 개인정보 처리업무 별로 개인정보 항목에 대한 중요도 평가를 위해 개인정보 영향도 등급표를 작성하고 등급표에 따라 영향도를 평가

• 개인정보 처리업무를 구분하여 개인정보 처리 업무표를 작성

나) 개인정보 처리 업무흐름도 작성

• 평가대상 업무현황 분석을 통해 개인정보를 처리하는 업무 별로 ‘업무 흐름도’를 작성

다) 개인정보 흐름표 작성

• 분석된 업무흐름을 기반으로 개인정보 처리업무별로 개인정보의 수집, 보유, 이용·제공, 파기로 구분하여 개인정보 흐름을 분류
• 개인정보 처리 단계별로 처리되는 개인정보 현황 및 처리 내역 등을 용이하게 식별할 수 있도록 개인정보 흐름표를 작성

라) 개인정보 흐름도 작성

• 작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용·제공, 파기되는 개인정보 처리단계 별로 흐름을 한 눈에 파악할 수 있도록 ‘개인정보 흐름도’를 작성
• 영향평가 대상사업 또는 시스템 전체의 개인정보 흐름을 총괄적으로 표현한 ‘총괄 개인정보 흐름도’를 작성하고 개별업무별로 ‘업무별 개인정보 흐름도’를 함께 작성

마) 정보시스템 구조도 및 정보보호 시스템 목록 작성

• 개인정보 처리시스템과 내᛫외부 연계시스템 등 인프라의 구성을 파악
  • 시스템 구조, 외부 연계 및 방화벽, 침입탐지시스템 및 전송데이터 암호화, DB 암호화 등 기술적᛫물리적 보안시스템 현황을 분석 가능하도록 상세히 작성
  • 인터넷 구간, DMZ 구간, 외부 연계 구간, 내부망 영역 등 네트워크 성격에 따른 구분이 표시(네트워크 접근제어의 미흡, 서비스 거부 공격에 대한 방어, 네트워크 가용성 확보 미흡 등과 같이 시스템 설계상 내재된 개인정보 침해요인을 분석, 위험도 산정 등에 활용)
  • 시스템의 물리적 위치(자체 전산실, 통합전산센터 등), 관리 범위 등 영향평가 대상 시스템의 물리적‧구조적 범위가 명확히 구분되도록 표시하고, 특히 서버, 데이터베이스 등 인프라 영역이 영향평가 대상 범위인지 분석하여 기록 필요
  • 정보시스템 구조도 및 정보보호 시스템 목록은 보안이 중요하여 공개가 어렵다고 판단할 경우에는 비공개로 처리 가능

• 개인정보 처리시스템에 대한 보호 대책의 적정성을 검토하고 효과적인 침해 요인 분석 및 위험도 산정이 가능하도록 ‘정보보호 시스템 목록’을 작성

4) 개인정보 침해요인 분석

가) 평가항목 구성

• 개인정보 침해요인 분석을 위한 평가항목은 5개 평가영역 28개 평가분야에 대하여 총 121개의 지표를 기반으로 활용

• 평가항목은 침해사고 사례, 법제도의 변화, 대상기관 및 대상사업의 특성 등에 따라 추가᛫삭제᛫ 변경 등 탄력적으로 구성하여 사용할 필요가 있으며, 특히 개인정보보호 관련 법령‧고시가 개정된 경우 해당 사항에 대해서는 반드시 평가항목에 반영하여 점검하여야 함
• 개인정보의 안전성 확보조치 기준과 관련된 평가항목은 대상기관의 개인정보 보유량 및 공공시스템 해당 유무에 따라 필수·선택 여부가 결정되므로 사전에 분석하여 평가 수행 필요
  • 10만명 이상의 정보주체에 관한 개인정보를 보유한 공공기관은 「개인정보의 안전성 확보조치 기준」 제7조제6항(암호키 관리), 제11조(재해·재난 대비 안전조치) 적용이 필요함
  • 개인정보 보유량은 영향평가의 대상이 되는 개인정보파일만이 아니라, 대상기관이 보유한 전체 개인정보 보유량을 기준으로 산정해야 함

나) 개인정보 보호조치 현황파악

• 대상 사업의 특성에 맞게 작성된 평가항목을 바탕으로 자료검토, 시스템 점검, 현장실사, 인터뷰 등을 통해 개인정보보호 조치사항을 파악하여 분석
• 평가 사유 및 증적은 단순히 담당자 인터뷰 결과만을 근거로 제시하는 것은 지양하며 정확한 사실에 기반하여 관련 문서명, 증거사진, 화면캡처 등을 제시

다) 개인정보 침해요인 도출

• 개인정보 흐름 분석 및 개인정보보호 조치 현황에 대한 평가결과를 기반으로 개인정보 침해요인 분석
• 침해요인은 유사 침해사고 사례, 대상시스템 및 업무특성 등을 반영하여 작성하고, 법령 위반 사항에 대해서는 별도로 표기 필요

라) 개인정보 위험도 산정

• 도출된 침해요인은 모두 개선하는 것이 원칙이나, 기관 내 예산이 부족한 경우 등 불가피한 사유가 있는 경우에는 위험분석 결과에 따라 개선사항의 우선 순위를 정하여 선택적 조치 가능(※ 단, 법적 의무사항은 필수적으로 조치 필요)
• 위험도 산정방법은 아래에서 제시된 예시 외에도 위험에 대한 관점에 따라 다양하므로, 평가기관의 자체 위험분석 방법론을 활용하여 위험도를 산정
• 다만 위험도를 산정할 때에는 아래 사항을 고려
  • 위험도 산정 과정 및 결과는 합리적이고 납득 가능한 수준이어야 함
  • 위험도 산정값은 실질적인 위험의 크기를 대변할 수 있어야 함
  • 법적 준거성 등 개인정보보호 영역의 특성이 반영되어야 함

5. 개선계획 수립

가) 개선방안 도출

• 식별된 침해요인별 위험도를 측정하고 검토한 후, 위험요소를 제거하거나 최소화하기 위한 개선방안 도출

나) 개선계획 수립

• 도출된 개선방안을 기반으로 대상기관 내 보안조치 현황, 예산, 인력, 사업 일정 등을 고려하여 개선계획 수립
• 도출된 개선계획은 위험평가 결과를 참고하여 위험도가 높은 순서의 개선방안을 먼저 실행하도록 개선계획표 작성

6. 영향평가서 및 요약본 작성

가) 영향평가서 작성

• 영향평가서는 사전 준비단계에서부터 위험관리 단계까지 모든 절차, 내용, 결과 등을 취합‧정리한 문서
• 잔존 위험이나 이해관계자 간의 의견충돌이 있는 경우에는 의사결정권자(CEO, CPO 등)를 토론에 참여시켜 개인정보보호 목표수준에 대한 합의 도출
• 영향평가팀은 영향평가서를 최종적으로 검토 또는 승인할 수 있는 조직 내 최고 의사결정권자(기관장)에게 보고
• 대상기관내 다수의 개인정보처리시스템에 대하여 동시에 영향평가를 수행한 경우에는 개인정보처리시스템 단위로 영향평가서를 분리하여 작성
• 영향평가서는「개인정보 영향평가에 관한 고시」 별지 제12호 서식에 따라 ‘개인정보 영향평가서 개요’를 작성하여 영향평가서에 포함

나) 요약본 작성

• 요약본은 사전 준비단계에서부터 위험관리 단계까지 모든 절차, 내용, 결과 등을 공개할 목적으로취합‧정리하여 요약 정리한 문서
• 대상기관은 영향평가를 수행한 경우 원칙적으로 그 요약본을 공개, 특히 개인정보파일 등록 등을통해 파일 개요 등이 공개되는 경우 요약본도 공개함을 원칙으로 함(예외 O)

다) 영향평가 품질평가

• 대상기관은 영향평가가 충실히 수행되었는지 여부에 대해 품질평가 체크리스트를 바탕으로 점검 후 미흡한 사항이 있는 경우 보완 요청

4) 이행단계

1) 이행점검

가) 개선사항 반영여부 점검

• 분석‧설계 단계에서 수행한 영향평가 개선계획의 반영여부를 개인정보파일 및 개인정보처리시스템 구축‧운영 전에 확인

나) 개선사항 이행 확인

• 영향평가 결과 개선사항으로 지적받은 사항이 있는 경우에는 지적된 부분에 대한 이행결과 및 계획 등을 영향평가서 및 그 요약본을 제출받은 날로부터 2개월 이내에 개인정보보호위원회에 제출. 단, 2개월 경과 후 조치한 사항에 대해서는 이행결과를 부득이한 사유가 없는 한 영향평가서를 제출받은 날로부터 1년 이내에 개인정보보호위원회에 제출(「개인정보 영향평가에 관한 고시」 제12조)
• 개선사항에 대한 이행현황을 개인정보보호위원회에 제출할 때는 아래 양식을 활용