당사는 행정안전부에서 지정고시(행정안전부공고 제2011-416호 2011.12.23)하여 관보에 게시한 “개인정보 영향평가 수행기관”으로 선정되어 아래와 같이 대비하고 있습니다.
관련법규
- 개인정보 보호법[법률 제13423호, 공포일 2015.07.24, 시행일 2015. 7.24 일부개정]
- 개인정보 보호법 개인정보 보호법 시행령[대통령령 제26140호, 공포일 2015.03.11, 시행일 2015.3.11 타법개정)
- 개인정보 보호법 시행규칙[행정자치부령 제1호, 공포일 2014.11.19, 시행일 2014.11.19 타법개정]
- 개인정보 영향평가에 관한 고시[행정안전부장관 고시 제2012-59호 2011.9.30 제정 2012.12.26 개정)
개인정보
어떤 개인의 정체성을 특징짓는 사항으로 그 개인의 신원을 파악 할 수 있는 정보.
즉, 생존하는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보
※ 개인에 관한 정보, 개인을 나타낼 수 있는 정보, 개인을 특정할 수 있는 정보
개인정보 영향평가
정의
“개인정보 영향평가”란 영 제35조에 해당하는 개인정보파일의 운용에 따라 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 말한다.
고시 제정 근거
- 개인정보 보호법 제33조(개인정보 영향평가)
- 개인정보 보호법 시행령 제37조(평가기관의 지정 및 지정취소)
- 개인정보 보호법 시행령 제38조제3항(평가기관의 지정 및 영향평가의 절차 등 세부 기준)
제정 목적
공공기관이 일정 규모이상의 개인정보 파일을 운영하는 경우 개인정보 영향평가를 의무적으로 수행하도록 하고, 이를 수행하기 위한 평가기관의 지정 및 영향평가의 절차 등에 관한 사항을 규정하기 위함이다.
영향평가 관련 주체
| 영향평가 관련 주체 | 고시의 주요내용 |
|---|---|
| 행정안전부 | 영향평가기관의 지정 및 지정 취소 |
| 대상기관 (공공기관) |
개인정보 영향평가 수행의 제반사항 (영향평가 기준, 절차, 방법) |
| 개인정보 보호 관련 업체 |
평가기관 자격획득을 위한 제반 신청 사항 (영향평가기관 수행실적, 수행인력, 설비 등 증빙 및 확보, 평가기관 지정 신청) |
| 평가기관 | 개인정보 영향평가 수행의 준수사항 (영향평가 기준, 절차, 방법, 보호대책 등 준수) |
| 전문기관 (한국정보화진흥원) |
평가기관 지정신청 접수 및 신고사항의 접수 사항 |
개인정보 영향평가의 절차
대상기관이 영향평가 업무를 수행함에 있어서 체계적인 단계로 수행하여 업무의 효율성을 높이고, 평가절차의 일관성을 확보하여 평가품질의 향상을 유도하기 위한 평가절차입니다.
분석 대상 자료
| 항목 | 수집목적 | 수집대상자료 |
|---|---|---|
| 내부 정책 자료 | 기관 내부의 개인정보 보호 체계, 규정, 조직 현황 등을 분석 |
기관 내 개인정보 보호 규정 기관 내 정보보안 관련 규정 기관 내 직제표 등 |
| 개인정보취급자(정보시스템 운영자, 처리자자 등), 위탁 업체 등에 대한 내부 규정 및 관리, 교육체계 확인 |
개인정보 관련 조직 내 업무 분장표 및 직급별 권한 정보시스템의 접근권한에 대한 내부 규정 위탁업체 관리 규정 등 시스템 운영자 및 정보취급자에 대한 교육계획 |
|
| 시스템 구조와 연계된 개인정보 보호 기술 현황 파악 |
침입차단시스템 등 보안 시스템 구조도 등 | |
| 외부 정책 자료 | 일반적인 개인정보 보호 정책 환경 분석 |
개인정보 보호 관련 법률, 지침 등 개인정보 보호 기본계획 및 시행계획 등 |
| 대상시스템의 특수성을 반영한 정책 환경 분석 |
대상시스템의 추진 근거 법률 및 개인정보 보호 관련 법률 |
|
| 대상시스템 설명 자료 | 정보시스템에 의하여 수집되는 개인 정보의 양과 범위가 사업 수행을 위해 적절한지 파악 |
프로젝트 수행 계획서 제안서 |
| 정보시스템의 외부연계 여부 검토 | 위탁 계획서 연계 계획서 |
평가 영역 및 분야
대상시스템의 영향평가를 수행함에 있어 평가범위, 평가영역 및 분야에 반드시 포함해야 할 평가기준을 제시하여 필수 평가항목에서 누락되지 않도록 하고, 평가의 완성도를 높이고자 한다.
| 평가영역 | 평가분야 | 세부분야 |
|---|---|---|
| Ⅰ. 대상기관의 개인정보 보호관리 체계 |
1. 대상기관 개인정보 보호조직 | 개인정보 보호책임자의 지정 |
| 개인정보 취급자의 지정 | ||
| 2. 개인정보 보호 계획 | 개인정보 보호 계획 수립 | |
| 개인정보 보호 교육 계획 수립 | ||
| 3. 개인정보처리 방침 | 개인정보처리 방침의 수립 | |
| 4. 개인정보파일 관리 | 개인정보파일 관리 | |
| 이용ㆍ제공대장 관리 | ||
| 개인정보파일 파기 사실 관리 | ||
| 5. 개인정보 위탁 및 제공시 안전조치 | 개인정보 위탁 시 안전조치 | |
| 개인정보 연계․제공 시 안전조치 | ||
| 6. 개인정보 침해 대응 | 침해사고 처리절차 | |
| 7. 정보주체 권익 보호 | 정보주체 권익보호 | |
| 8. 개인정보 처리구역 보호 | 보호구역 지정 | |
| 개인정보처리 구역 통제 | ||
| II. 대상시스템의 개인정보 보호관리 체계 |
9. 대상시스템의 개인정보관리 | 대상시스템의 개인정보 취급자 지정 |
| 대상시스템의 개인정보 취급자 의무 | ||
| 10. 개인정보 취급내용 공개 | 개인정보 파일의 안내 | |
| 개인정보 위탁관리 안내 | ||
| 개인정보 제공 및 목적 외 이용 사실의 안내 | ||
| 개인정보 파기사실의 안내 | ||
| III. 개인정보 처리단계별 보호 |
11. 수집단계 | 개인정보 수집의 적합성 |
| 개인정보 수집 동의의 적합성 | ||
| 개인정보 수집 사실의 안내 | ||
| 개인정보 수집 시 보호조치 | ||
| 12. 저장 및 보유단계 | 개인정보파일 보유의 적합성 평가 | |
| 개인정보 파일대장의 작성 | ||
| 개인정보 저장 및 보유 시 암호화* | ||
| 13. 이용 및 연계ㆍ제공 단계 | 이용 및 제공의 기본 원칙 | |
| 타 기관 연계ㆍ제공 시 절차 | ||
| 개인정보 처리시스템 접근통제 | ||
| 웹 및 애플리케이션 통제 | ||
| 개인정보 처리단말기 보호조치 | ||
| 개인정보 이용, 제공 승인 | ||
| 네트워크 접속 통제 | ||
| 웹사이트 개인정보노출 차단 | ||
| 개인정보 처리내역 기록 관리 | ||
| 14. 파기단계 | 보유기간 산정 및 안내 |
※ 개인정보 처리단계별 보호(저장 및 보유단계)의 개인정보 저장 및 보유 시 암호화는 개인정보 보호법 제29조에 따른 개인정보 안전조치 의무기준을 반영하여 암호화 수행
