개요

개인정보를 취급하거나 활용하는 정보시스템을 신규로 구축하거나 기존 시스템을 변경하는 경우, 개인정보에 미치는 영향을 사전에 조사, 예측, 검토하여 개선 방안을 제시하는 컨설팅 서비스입니다.

• 5만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 시스템
• 다른 시스템과 연계하여 50만 명 이상의 개인정보를 처리하는 시스템
• 100만 명 이상의 개인정보를 처리하는 시스템

필요성

• 법 제정 및 시행에 따라 공공기관 개인정보 영향평가 의무화
• 개인정보 처리시스템의 중대한 변경 발생 시 평가 의무

목적

• 법적 의무사항 이행
• 영향평가를 통한 관리체계 점검 및 고도화
• 개인정보 침해요인 파악 및 개선 방안 마련
• 개인정보 보호 역량 강화

법적 기준

개인정보 보호법 제33조 (개인정보 영향평가)

공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일 운영으로 인해 정보주체의 개인정보 침해가 우려되는 경우, 위험요인 분석과 개선 사항 도출을 위한 평가(영향평가)를 실시하고 결과를 행정안전부 장관에게 제출해야 합니다. 이 경우 평가기관은 행정안전부 장관이 지정한 기관에 의뢰하여야 합니다.

개인정보 영향평가 서비스 구성

영향평가 시기

시스템을 신규 구축하거나 기존 시스템을 변경하는 경우:

개인정보처리시스템 신규 구축 또는 변경 시, 사업계획 단계에서 영향평가 대상 여부를 파악하여 예산을 확보하고 설계 완료 전에 평가를 수행해야 합니다. 결과는 설계 및 개발에 반영되어야 합니다.

기 구축 시스템:

유예기간이 종료된 이후에도 평가를 수행하지 않은 경우, 즉시 평가를 수행해야 합니다. 아래의 경우에도 추가 평가가 필요할 수 있습니다:

• 개인정보 침해 위험이 우려되는 경우
• 개인정보 보호체계를 점검하여 개선이 필요한 경우

개인정보 영향평가 절차

평가 수행 주체 및 체계

공공기관은 행정안전부 장관이 지정한 영향평가기관에 평가를 의뢰하여 수행해야 하며, 사업 완료 후 6개월 이내에 행정안전부 장관에게 결과를 제출해야 합니다.

기대효과

• 법적 의무 이행을 통해 개인정보 침해 위험 제거
• 정보 시스템 관리체계 점검 및 개선
• 개인정보 침해 사고 방지 및 예방
• 공공기관 개인정보 보호 역량 강화