개인정보 영향평가: Difference between revisions

From IT Wiki
No edit summary
(오타 수정)
 
(5 intermediate revisions by one other user not shown)
Line 1: Line 1:
[[분류:보안]][[분류:컴플라이언스]][[분류:개인정보보호‏‎]][[분류:정보보안기사]]
[[분류:보안]][[분류:컴플라이언스]][[분류:개인정보보호‏‎]][[분류:정보보안기사]]
;PIA; Privacy Impact Analysis
;PIA; Privacy Impact Assessment
;개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차
;개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차
* 관련 국제 표준: 한국 주도로 만든 [[ISO/IEC 29134]] 채택


== 개요 ==
==개요==
=== 평가 대상 ===
===기대효과===
* (신규) 개인정보를 취급하는 시스템의 신규 구축사업
설계단계에서부터 개인정보 침해위험성을 검토하고 개선함으로써 시스템 구축.운영시 발생할 수 있는 침해위협 최소화 및 효과적인 대응책 마련
* (변경) 개인정보를 취급하는 기존 시스템을 변경하는 사업
* (연계) 개인정보파일을 타 기관과 연계하는 경우
* [https://www.privacy.go.kr/per/iass/duty/effectsEvalutionDuty.do 평가 대상여부 확인]


=== 의무 대상 ===
===평가 대상===
* '''(5만명 민감 조건)''' 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 구축·운용·변경
*(신규) 개인정보를 취급하는 시스템의 신규 구축사업
* '''(50만명 연계 조건)''' 다른 개인정보파일과 연계하려고 할때, 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
*(변경) 개인정보를 취급하는 기존 시스템을 변경하는 사업
* '''(100만명 조건)''' 100만명 이상의 정보주체에 관한 개인정보파일 구축·운용·변경
*(연계) 개인정보파일을 타 기관과 연계하는 경우
* 영향평가를 받은 후에 개인정보파일 운용체계를 변경하려는 경우 변경된 부분에 대해서 영향평가를 실시
*[https://www.privacy.go.kr/per/iass/duty/effectsEvalutionDuty.do 평가 대상여부 확인]
* 근거법령 : 개인정보보호법 시행령 제35조(개인정보 영향평가의 대상)


== 절차 ==
===의무 대상===
;개인정보 보호법 시행령 제35조(영향평가의 대상)
*'''(5만명 민감 조건)''' 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 구축·운용·변경
*'''(50만명 연계 조건)''' 다른 개인정보파일과 연계하려고 할때, 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
*'''(100만명 조건)''' 100만명 이상의 정보주체에 관한 개인정보파일 구축·운용·변경
*영향평가를 받은 후에 개인정보파일 운용체계를 변경하려는 경우 변경된 부분에 대해서 영향평가를 실시
*근거법령 : 개인정보보호법 시행령 제35조(개인정보 영향평가의 대상)
 
=== 평가 시 고려사항 ===
;개인정보 보호법 시행령 제36조(영향평가 시 고려사항)
* 처리하는 개인정보의 수
* 개인정보의 제3자 제공 여부
* 정보주체의 권리를 해할 가능성 및 그 위험 정도
* 민감정보 또는 고유식별정보의 처리 여부
* 개인정보 보유기간
 
=== 법률 근거 ===
* 개인정보 보호법 제33조(영향평가)
* 개인정보 보호법 시행령 제35조(영향평가의 대상)
* 개인정보 보호법 시행령 제36조(영향평가 시 고려사항)
* 개인정보 보호법 시행령 제37조(평가기관의 지정 및 지정취소)
* 개인정보 보호법 시행령 제38조(영향평가의 평가기준 등)
* 개인정보 보호법 시행규칙 제3조(개인정보 보호업무 관련 장부 및 문서 서식)
* 개인정보 영향평가에 관한 고시(행정안전부 고시 제2017-9호 시행)
 
==절차==
[[파일:개인정보 영향평가 수행 절차.png|800px]]
{| class="wikitable"
{| class="wikitable"
|-
|-
! 절차 !! 세부 절차
!절차!!세부 절차
|-
|-
| 사전 준비  
|사전 준비
||
||
* 사업계획 작성(전년도)
*사업계획 작성(전년도)
* 사업자 선정
*사업자 선정
|-
|-
| 영향평가 수행  
|영향평가 수행
||
||
* 평가수행 계획수립
*평가수행 계획수립
* 평가자료 수집
*평가자료 수집
* 개인정보 흐름분석
*개인정보 흐름분석
* 개인정보 침해요인 분석
*개인정보 침해요인 분석
* 개선계획 수립
*개선계획 수립
|-
|-
| 이행  
|이행
||  
||
* 개선계획 반영 및 점검
*개선계획 반영 및 점검
* 개선계획 이행 확인(차년도)
*개선계획 이행 확인(차년도)
|}
|}
=== 영향평가 시기 ===
* 개인정보처리 시스템 구축 전단계인 분석 또는 설계 단계에서 실시


== 평가 구성 ==
==평가 구성==
=== 관계 주체 ===
===관계 주체===
* 개인정보보호위원회: 영향평가 결과 심의 및 의결
[[파일:개인정보 영향평가 수행체계.png|500px]]
* 행정안전부: 영향평가 정책 수립, 기관 지점
*개인정보보호위원회: 영향평가 결과 심의 및 의결
* 한국인터넷진흥원: 영향평가 정책 지원, 사업수행 자문
*행정안전부: 영향평가 정책 수립, 기관 지점
* 영향평가 대상기관: 영향평가 발주, 영향평가 프로젝트 수행
*한국인터넷진흥원: 영향평가 정책 지원, 사업수행 자문
* 영향평가 기관: 영향평가 수주, 영향평가 프로젝트 수행
*영향평가 대상기관: 영향평가 발주, 영향평가 프로젝트 수행
* 수행 주체: 영향평가 주관부서 담당자, 개인정보 보호책임자, 담당자 등으로 영향평가팀 구성
*영향평가 기관: 영향평가 수주, 영향평가 프로젝트 수행
** 공공기관은 행정안전부 장관이 지정한 평가기관에 의뢰하여야 함
*수행 주체: 영향평가 주관부서 담당자, 개인정보 보호책임자, 담당자 등으로 영향평가팀 구성
**공공기관은 행정안전부 장관이 지정한 평가기관에 의뢰하여야 함


=== 평가기관목록 ===
===[[개인정보 영향평가기관|평가기관목록]]===
* '''지정 기간 ‘16. 3. 9 ~‘19. 3. 8'''
 
# ㈜소만사 이태희 02-2655-4186 [email protected]
* '''지정기간 ‘17. 8. 7 ~‘20. 8. 6'''
# ㈜싸이버원 이승준 02-3475-4955 [email protected]
 
# ㈜에이쓰리시큐리티 김미래 02-6292-3002 [email protected]
# 대진정보통신㈜ 오익주 02-883-3432 ij.oh@daejindc.com
# ㈜엘지씨엔에스 김기준 02-2099-2356 [email protected]
# ㈜씨드젠 전원석 02-786-9601 [email protected]  
# ㈜케이씨에이 최경숙 070-8858-4260 [email protected]
# ㈜에스에스알 양미향 02-6959-0129 [email protected]  
# ㈜키삭 이정훈 02-2026-2658 [email protected]
# ㈜한국IT컨설팅 채규혁 02-582-2400 [email protected]
# 대진정보통신㈜ 홍대화 02-883-3432 daehwa.hong@daejindc.com
* '''지정 기간 ‘17. 8. 7 ~‘20. 8. 6'''
# ㈜씨드젠 전원석 02-786-9601 [email protected]
# ㈜에스에스알 양미향 02-6959-0129 [email protected]
# ㈜에이스솔루션 신병인 02-534-3702 [email protected]
# ㈜에이스솔루션 신병인 02-534-3702 [email protected]
# 한국전산감리원 김승환 02-3448-0118 [email protected]
# 한국전산감리원 김승환 02-3448-0118 [email protected]
# 에스케이인포섹㈜ 이은주 02-6361-9621 [email protected]
 
* '''지정 기간 ‘15. 12. 23 ~‘18. 12. 22'''
* '''지정기간 ‘18. 12. 23 ~‘21. 12. 2'''
 
# 에스케이인포섹㈜ 이은주 02-6361-9621 [email protected]
# ㈜씨에이에스 정우송 02-6748-4906 [email protected]
# ㈜씨에이에스 정우송 02-6748-4906 [email protected]
# ㈜안랩 조주영 031-722-7905 juyoung.cho@ahnlab.com
# ㈜안랩 구형모/배진우 031-722-7816/ 031-722-7829 hyoungmo.[email protected] / jinwoo.bae@ahnlab.com
# ㈜이글루시큐리티 김봉재 02-3404-8672 bongjae.kim@igloosec.com
# ㈜이글루시큐리티 김동현 02-3404-8619 eureka@igloosec.com
# ㈜한국정보기술단 김영범 02-3471-7771 july16@audit.co.kr
# ㈜한국정보기술단 이재형 02-3471-7771 hyung8181@audit.co.kr
* 2018.1.26 기준이며, [https://privacy.go.kr 개인정보보호 종합포털]에서 공시


== 평가시점 ==
* '''지정기간 ‘19. 3. 9 ~‘22. 3. 8'''
* 개인정보처리 시스템 구축 전단계인 분석 또는 설계 단계에서 실시
 
# ㈜소만사 이태희 02-2655-4186 [email protected]
# ㈜싸이버원 이승준 02-3475-4955 [email protected]
# ㈜에이쓰리시큐리티 김미래 02-6292-3002 [email protected]
# ㈜케이씨에이 최경숙 070-8858-4260 [email protected]
# ㈜키삭 이정훈 02-2026-2658 [email protected]
# ㈜한국IT컨설팅 채규혁 02-582-2400 [email protected]


== 기대효과 ==
*2019.9.11 기준이며, [https://privacy.go.kr 개인정보보호 종합포털]에서 공시
설계단계에서부터 개인정보 침해위험성을 검토하고 개선함으로써 시스템 구축.운영시 발생할 수 있는 침해위협 최소화 및 효과적인 대응책 마련


== 국제 표준 ==
== 같이 보기 ==
* 한국 주도로 만든 [[ISO/IEC 29134]] 채택
* [https://www.privacy.go.kr/per/iass/rfr/selectBoardArticle.do?nttId=8513&bbsId=BBSMSTR_000000000044&bbsTyCode=BBST01&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=1&searchCnd=&searchWrd=&replyLc=0 개인정보 영향평가 안내서(2018년 4월 개정판)]

Latest revision as of 20:15, 25 March 2023

PIA; Privacy Impact Assessment
개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차
  • 관련 국제 표준: 한국 주도로 만든 ISO/IEC 29134 채택

개요[edit | edit source]

기대효과[edit | edit source]

설계단계에서부터 개인정보 침해위험성을 검토하고 개선함으로써 시스템 구축.운영시 발생할 수 있는 침해위협 최소화 및 효과적인 대응책 마련

평가 대상[edit | edit source]

  • (신규) 개인정보를 취급하는 시스템의 신규 구축사업
  • (변경) 개인정보를 취급하는 기존 시스템을 변경하는 사업
  • (연계) 개인정보파일을 타 기관과 연계하는 경우
  • 평가 대상여부 확인

의무 대상[edit | edit source]

개인정보 보호법 시행령 제35조(영향평가의 대상)
  • (5만명 민감 조건) 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 구축·운용·변경
  • (50만명 연계 조건) 다른 개인정보파일과 연계하려고 할때, 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
  • (100만명 조건) 100만명 이상의 정보주체에 관한 개인정보파일 구축·운용·변경
  • 영향평가를 받은 후에 개인정보파일 운용체계를 변경하려는 경우 변경된 부분에 대해서 영향평가를 실시
  • 근거법령 : 개인정보보호법 시행령 제35조(개인정보 영향평가의 대상)

평가 시 고려사항[edit | edit source]

개인정보 보호법 시행령 제36조(영향평가 시 고려사항)
  • 처리하는 개인정보의 수
  • 개인정보의 제3자 제공 여부
  • 정보주체의 권리를 해할 가능성 및 그 위험 정도
  • 민감정보 또는 고유식별정보의 처리 여부
  • 개인정보 보유기간

법률 근거[edit | edit source]

  • 개인정보 보호법 제33조(영향평가)
  • 개인정보 보호법 시행령 제35조(영향평가의 대상)
  • 개인정보 보호법 시행령 제36조(영향평가 시 고려사항)
  • 개인정보 보호법 시행령 제37조(평가기관의 지정 및 지정취소)
  • 개인정보 보호법 시행령 제38조(영향평가의 평가기준 등)
  • 개인정보 보호법 시행규칙 제3조(개인정보 보호업무 관련 장부 및 문서 서식)
  • 개인정보 영향평가에 관한 고시(행정안전부 고시 제2017-9호 시행)

절차[edit | edit source]

개인정보 영향평가 수행 절차.png

절차 세부 절차
사전 준비
  • 사업계획 작성(전년도)
  • 사업자 선정
영향평가 수행
  • 평가수행 계획수립
  • 평가자료 수집
  • 개인정보 흐름분석
  • 개인정보 침해요인 분석
  • 개선계획 수립
이행
  • 개선계획 반영 및 점검
  • 개선계획 이행 확인(차년도)

영향평가 시기[edit | edit source]

  • 개인정보처리 시스템 구축 전단계인 분석 또는 설계 단계에서 실시

평가 구성[edit | edit source]

관계 주체[edit | edit source]

개인정보 영향평가 수행체계.png

  • 개인정보보호위원회: 영향평가 결과 심의 및 의결
  • 행정안전부: 영향평가 정책 수립, 기관 지점
  • 한국인터넷진흥원: 영향평가 정책 지원, 사업수행 자문
  • 영향평가 대상기관: 영향평가 발주, 영향평가 프로젝트 수행
  • 영향평가 기관: 영향평가 수주, 영향평가 프로젝트 수행
  • 수행 주체: 영향평가 주관부서 담당자, 개인정보 보호책임자, 담당자 등으로 영향평가팀 구성
    • 공공기관은 행정안전부 장관이 지정한 평가기관에 의뢰하여야 함

평가기관목록[edit | edit source]

  • 지정기간 ‘17. 8. 7 ~‘20. 8. 6
  1. 대진정보통신㈜ 오익주 02-883-3432 [email protected]
  2. ㈜씨드젠 전원석 02-786-9601 [email protected]
  3. ㈜에스에스알 양미향 02-6959-0129 [email protected]
  4. ㈜에이스솔루션 신병인 02-534-3702 [email protected]
  5. 한국전산감리원 김승환 02-3448-0118 [email protected]
  • 지정기간 ‘18. 12. 23 ~‘21. 12. 2
  1. 에스케이인포섹㈜ 이은주 02-6361-9621 [email protected]
  2. ㈜씨에이에스 정우송 02-6748-4906 [email protected]
  3. ㈜안랩 구형모/배진우 031-722-7816/ 031-722-7829 [email protected] / [email protected]
  4. ㈜이글루시큐리티 김동현 02-3404-8619 [email protected]
  5. ㈜한국정보기술단 이재형 02-3471-7771 [email protected]
  • 지정기간 ‘19. 3. 9 ~‘22. 3. 8
  1. ㈜소만사 이태희 02-2655-4186 [email protected]
  2. ㈜싸이버원 이승준 02-3475-4955 [email protected]
  3. ㈜에이쓰리시큐리티 김미래 02-6292-3002 [email protected]
  4. ㈜케이씨에이 최경숙 070-8858-4260 [email protected]
  5. ㈜키삭 이정훈 02-2026-2658 [email protected]
  6. ㈜한국IT컨설팅 채규혁 02-582-2400 [email protected]

같이 보기[edit | edit source]