개인정보 영향평가

IT위키
PE가즈아 (토론 | 기여)님의 2019년 11월 12일 (화) 01:00 판
PIA; Privacy Impact Analysis

개념

개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차

평가 대상

  • (신규) 개인정보를 취급하는 시스템의 신규 구축사업
  • (변경) 개인정보를 취급하는 기존 시스템을 변경하는 사업
  • (연계) 개인정보파일을 타 기관과 연계하는 경우
  • 평가 대상여부 확인

의무 대상

  • (5만명 민감 조건) 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 구축·운용·변경
  • (50만명 연계 조건) 다른 개인정보파일과 연계하려고 할때, 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
  • (100만명 조건) 100만명 이상의 정보주체에 관한 개인정보파일 구축·운용·변경
  • 영향평가를 받은 후에 개인정보파일 운용체계를 변경하려는 경우 변경된 부분에 대해서 영향평가를 실시
  • 근거법령 : 개인정보보호법 시행령 제35조(개인정보 영향평가의 대상)

절차

절차 세부 절차
사전 준비
  • 사업계획 작성(전년도)
  • 사업자 선정
영향평가 수행
  • 평가수행 계획수립
  • 평가자료 수집
  • 개인정보 흐름분석
  • 개인정보 침해요인 분석
  • 개선계획 수립
이행
  • 개선계획 반영 및 점검
  • 개선계획 이행 확인(차년도)

관계 주체

  • 개인정보보호위원회: 영향평가 결과 심의 및 의결
  • 행정안전부: 영향평가 정책 수립, 기관 지점
  • 한국인터넷진흥원: 영향평가 정책 지원, 사업수행 자문
  • 영향평가 대상기관: 영향평가 발주, 영향평가 프로젝트 수행
  • 영향평가 기관: 영향평가 수주, 영향평가 프로젝트 수행

수행주체

  • 영향평가 주관부서 담당자, 개인정보보호 책임자, 개인정보보호 담당자 등으로 영향평가팀을 구성하여 수행
  • 공공기관은 행정안전부 장관이 지정한 평가기관에 의뢰하여야 함

평가기관목록

  • 지정 기간 ‘16. 3. 9 ~‘19. 3. 8
  1. ㈜소만사 이태희 02-2655-4186 poolside@somansa.com
  2. ㈜싸이버원 이승준 02-3475-4955 wonpoet@cyberone.kr
  3. ㈜에이쓰리시큐리티 김미래 02-6292-3002 miraekk@a3sc.co.kr
  4. ㈜엘지씨엔에스 김기준 02-2099-2356 amangte@lgcns.com
  5. ㈜케이씨에이 최경숙 070-8858-4260 kschoi@kca21.com
  6. ㈜키삭 이정훈 02-2026-2658 jhlee@kisac.co.kr
  7. ㈜한국IT컨설팅 채규혁 02-582-2400 khchae@itall.net
  8. 대진정보통신㈜ 홍대화 02-883-3432 daehwa.hong@daejindc.com
  • 지정 기간 ‘17. 8. 7 ~‘20. 8. 6
  1. ㈜씨드젠 전원석 02-786-9601 zorba@seedgen.kr
  2. ㈜에스에스알 양미향 02-6959-0129 mihyang@ssrinc.co.kr
  3. ㈜에이스솔루션 신병인 02-534-3702 shinbi@acesolution.co.kr
  4. 한국전산감리원 김승환 02-3448-0118 kswmr@kism.co.kr
  5. 에스케이인포섹㈜ 이은주 02-6361-9621 eunju_02@sk.com
  • 지정 기간 ‘15. 12. 23 ~‘18. 12. 22
  1. ㈜씨에이에스 정우송 02-6748-4906 jungws@casit.co.kr
  2. ㈜안랩 조주영 031-722-7905 juyoung.cho@ahnlab.com
  3. ㈜이글루시큐리티 김봉재 02-3404-8672 bongjae.kim@igloosec.com
  4. ㈜한국정보기술단 김영범 02-3471-7771 july16@audit.co.kr

평가시점

  • 개인정보처리 시스템 구축 전단계인 분석 또는 설계 단계에서 실시

기대효과

설계단계에서부터 개인정보 침해위험성을 검토하고 개선함으로써 시스템 구축.운영시 발생할 수 있는 침해위협 최소화 및 효과적인 대응책 마련