개인정보 영향평가: Difference between revisions
From IT Wiki
No edit summary |
(→평가기관목록) |
||
| Line 1: | Line 1: | ||
[[분류:보안]][[분류:컴플라이언스]][[분류:개인정보보호]][[분류:정보보안기사]] | [[분류:보안]] | ||
[[분류:컴플라이언스]] | |||
[[분류:개인정보보호]] | |||
[[분류:정보보안기사]] | |||
;PIA; Privacy Impact Analysis | ;PIA; Privacy Impact Analysis | ||
;개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차 | ;개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차 | ||
== 개요 == | ==개요== | ||
=== 평가 대상 === | ===평가 대상=== | ||
*(신규) 개인정보를 취급하는 시스템의 신규 구축사업 | |||
* | *(변경) 개인정보를 취급하는 기존 시스템을 변경하는 사업 | ||
* | *(연계) 개인정보파일을 타 기관과 연계하는 경우 | ||
* | *[https://www.privacy.go.kr/per/iass/duty/effectsEvalutionDuty.do 평가 대상여부 확인] | ||
* | |||
== 절차 == | ===의무 대상=== | ||
*'''(5만명 민감 조건)''' 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 구축·운용·변경 | |||
*'''(50만명 연계 조건)''' 다른 개인정보파일과 연계하려고 할때, 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일 | |||
*'''(100만명 조건)''' 100만명 이상의 정보주체에 관한 개인정보파일 구축·운용·변경 | |||
*영향평가를 받은 후에 개인정보파일 운용체계를 변경하려는 경우 변경된 부분에 대해서 영향평가를 실시 | |||
*근거법령 : 개인정보보호법 시행령 제35조(개인정보 영향평가의 대상) | |||
==절차== | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! 절차 !! 세부 절차 | !절차!!세부 절차 | ||
|- | |- | ||
| 사전 준비 | |사전 준비 | ||
|| | || | ||
* 사업계획 작성(전년도) | *사업계획 작성(전년도) | ||
* 사업자 선정 | *사업자 선정 | ||
|- | |- | ||
| 영향평가 수행 | |영향평가 수행 | ||
|| | || | ||
* 평가수행 계획수립 | *평가수행 계획수립 | ||
* 평가자료 수집 | *평가자료 수집 | ||
* 개인정보 흐름분석 | *개인정보 흐름분석 | ||
* 개인정보 침해요인 분석 | *개인정보 침해요인 분석 | ||
* 개선계획 수립 | *개선계획 수립 | ||
|- | |- | ||
| 이행 | |이행 | ||
|| | || | ||
* 개선계획 반영 및 점검 | *개선계획 반영 및 점검 | ||
* 개선계획 이행 확인(차년도) | *개선계획 이행 확인(차년도) | ||
|} | |} | ||
== 평가 구성 == | ==평가 구성== | ||
=== 관계 주체 === | ===관계 주체=== | ||
* 개인정보보호위원회: 영향평가 결과 심의 및 의결 | |||
* 행정안전부: 영향평가 정책 수립, 기관 지점 | *개인정보보호위원회: 영향평가 결과 심의 및 의결 | ||
* 한국인터넷진흥원: 영향평가 정책 지원, 사업수행 자문 | *행정안전부: 영향평가 정책 수립, 기관 지점 | ||
* 영향평가 대상기관: 영향평가 발주, 영향평가 프로젝트 수행 | *한국인터넷진흥원: 영향평가 정책 지원, 사업수행 자문 | ||
* 영향평가 기관: 영향평가 수주, 영향평가 프로젝트 수행 | *영향평가 대상기관: 영향평가 발주, 영향평가 프로젝트 수행 | ||
* 수행 주체: 영향평가 주관부서 담당자, 개인정보 보호책임자, 담당자 등으로 영향평가팀 구성 | *영향평가 기관: 영향평가 수주, 영향평가 프로젝트 수행 | ||
** 공공기관은 행정안전부 장관이 지정한 평가기관에 의뢰하여야 함 | *수행 주체: 영향평가 주관부서 담당자, 개인정보 보호책임자, 담당자 등으로 영향평가팀 구성 | ||
**공공기관은 행정안전부 장관이 지정한 평가기관에 의뢰하여야 함 | |||
===[[개인정보 영향평가기관|평가기관목록]]=== | |||
* '''지정기간 ‘17. 8. 7 ~‘20. 8. 6''' | |||
# 대진정보통신㈜ 오익주 02-883-3432 [email protected] | |||
# ㈜씨드젠 전원석 02-786-9601 [email protected] | |||
# ㈜에스에스알 양미향 02-6959-0129 [email protected] | |||
# ㈜에이스솔루션 신병인 02-534-3702 [email protected] | |||
# 한국전산감리원 김승환 02-3448-0118 [email protected] | |||
* '''지정기간 ‘18. 12. 23 ~‘21. 12. 2''' | |||
# 에스케이인포섹㈜ 이은주 02-6361-9621 [email protected] | |||
# ㈜씨에이에스 정우송 02-6748-4906 [email protected] | |||
# ㈜안랩 구형모/배진우 031-722-7816/ 031-722-7829 [email protected] / [email protected] | |||
# ㈜이글루시큐리티 김동현 02-3404-8619 [email protected] | |||
# ㈜한국정보기술단 이재형 02-3471-7771 [email protected] | |||
* '''지정기간 ‘19. 3. 9 ~‘22. 3. 8''' | |||
# ㈜소만사 이태희 02-2655-4186 [email protected] | # ㈜소만사 이태희 02-2655-4186 [email protected] | ||
# ㈜싸이버원 이승준 02-3475-4955 [email protected] | # ㈜싸이버원 이승준 02-3475-4955 [email protected] | ||
# ㈜에이쓰리시큐리티 김미래 02-6292-3002 [email protected] | # ㈜에이쓰리시큐리티 김미래 02-6292-3002 [email protected] | ||
# ㈜케이씨에이 최경숙 070-8858-4260 [email protected] | |||
# ㈜케이씨에이 최경숙 070-8858-4260 [email protected] | # ㈜키삭 이정훈 02-2026-2658 [email protected] | ||
# ㈜키삭 이정훈 02-2026-2658 [email protected] | |||
# ㈜한국IT컨설팅 채규혁 02-582-2400 [email protected] | # ㈜한국IT컨설팅 채규혁 02-582-2400 [email protected] | ||
== 평가시점 == | *2019.9.11 기준이며, [https://privacy.go.kr 개인정보보호 종합포털]에서 공시 | ||
* 개인정보처리 시스템 구축 전단계인 분석 또는 설계 단계에서 실시 | |||
==평가시점== | |||
*개인정보처리 시스템 구축 전단계인 분석 또는 설계 단계에서 실시 | |||
== 기대효과 == | ==기대효과== | ||
설계단계에서부터 개인정보 침해위험성을 검토하고 개선함으로써 시스템 구축.운영시 발생할 수 있는 침해위협 최소화 및 효과적인 대응책 마련 | 설계단계에서부터 개인정보 침해위험성을 검토하고 개선함으로써 시스템 구축.운영시 발생할 수 있는 침해위협 최소화 및 효과적인 대응책 마련 | ||
== 국제 표준 == | ==국제 표준== | ||
* 한국 주도로 만든 [[ISO/IEC 29134]] 채택 | |||
*한국 주도로 만든 [[ISO/IEC 29134]] 채택 | |||
Revision as of 21:20, 24 February 2020
- PIA; Privacy Impact Analysis
- 개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차
개요
평가 대상
- (신규) 개인정보를 취급하는 시스템의 신규 구축사업
- (변경) 개인정보를 취급하는 기존 시스템을 변경하는 사업
- (연계) 개인정보파일을 타 기관과 연계하는 경우
- 평가 대상여부 확인
의무 대상
- (5만명 민감 조건) 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 구축·운용·변경
- (50만명 연계 조건) 다른 개인정보파일과 연계하려고 할때, 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
- (100만명 조건) 100만명 이상의 정보주체에 관한 개인정보파일 구축·운용·변경
- 영향평가를 받은 후에 개인정보파일 운용체계를 변경하려는 경우 변경된 부분에 대해서 영향평가를 실시
- 근거법령 : 개인정보보호법 시행령 제35조(개인정보 영향평가의 대상)
절차
| 절차 | 세부 절차 |
|---|---|
| 사전 준비 |
|
| 영향평가 수행 |
|
| 이행 |
|
평가 구성
관계 주체
- 개인정보보호위원회: 영향평가 결과 심의 및 의결
- 행정안전부: 영향평가 정책 수립, 기관 지점
- 한국인터넷진흥원: 영향평가 정책 지원, 사업수행 자문
- 영향평가 대상기관: 영향평가 발주, 영향평가 프로젝트 수행
- 영향평가 기관: 영향평가 수주, 영향평가 프로젝트 수행
- 수행 주체: 영향평가 주관부서 담당자, 개인정보 보호책임자, 담당자 등으로 영향평가팀 구성
- 공공기관은 행정안전부 장관이 지정한 평가기관에 의뢰하여야 함
평가기관목록
- 지정기간 ‘17. 8. 7 ~‘20. 8. 6
- 대진정보통신㈜ 오익주 02-883-3432 [email protected]
- ㈜씨드젠 전원석 02-786-9601 [email protected]
- ㈜에스에스알 양미향 02-6959-0129 [email protected]
- ㈜에이스솔루션 신병인 02-534-3702 [email protected]
- 한국전산감리원 김승환 02-3448-0118 [email protected]
- 지정기간 ‘18. 12. 23 ~‘21. 12. 2
- 에스케이인포섹㈜ 이은주 02-6361-9621 [email protected]
- ㈜씨에이에스 정우송 02-6748-4906 [email protected]
- ㈜안랩 구형모/배진우 031-722-7816/ 031-722-7829 [email protected] / [email protected]
- ㈜이글루시큐리티 김동현 02-3404-8619 [email protected]
- ㈜한국정보기술단 이재형 02-3471-7771 [email protected]
- 지정기간 ‘19. 3. 9 ~‘22. 3. 8
- ㈜소만사 이태희 02-2655-4186 [email protected]
- ㈜싸이버원 이승준 02-3475-4955 [email protected]
- ㈜에이쓰리시큐리티 김미래 02-6292-3002 [email protected]
- ㈜케이씨에이 최경숙 070-8858-4260 [email protected]
- ㈜키삭 이정훈 02-2026-2658 [email protected]
- ㈜한국IT컨설팅 채규혁 02-582-2400 [email protected]
- 2019.9.11 기준이며, 개인정보보호 종합포털에서 공시
평가시점
- 개인정보처리 시스템 구축 전단계인 분석 또는 설계 단계에서 실시
기대효과
설계단계에서부터 개인정보 침해위험성을 검토하고 개선함으로써 시스템 구축.운영시 발생할 수 있는 침해위협 최소화 및 효과적인 대응책 마련
국제 표준
- 한국 주도로 만든 ISO/IEC 29134 채택
