0. 개인정보 영향평가란?
공공기관에서 개인정보파일의 신규 도입·변경 시 위험요인 분석 및 개선 사항을 도출하기 위하여 사전에 조사 분석·평가하기 위한 제도
-> 공공기관이면 사전에 예산을 배정해야 함
1. 법적 근거
- 개인정보 보호법 제33조
- 개인정보 보호법 시행령 제35조
- 각 기관별 개인정보 보호 규칙 (선거관리위원회, 법원, 헌법재판소 등)
2. 영향평가 대상
- 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보
- 50만 이상의 정보주체에 관한 개인정보를 연계할 경우
- 100만명 이상의 정보주체에 대한 개인정보
- 개인정보 운용체계를 변경하려는 경우
3. 평가 절차
- 사전준비단계
- 영향평가 수행단계
- 이행단계
-
출처 : 개인정보보호 위원회
상세내용
- 주요활동
① 법 제도 요구사항을 준수 프로세스 구축
② 개인정보 수집ㆍ이용ㆍ저장ㆍ제공ㆍ파기의 라이프사이클 분석
③ 위험평가를 통하여 부정적 영향도 평가
④ 효과적인 대응책 수립
- 고려사항
① 처리하는 개인정보 수
② 개인정보 제3자제공 여부
③ 정보주체의 권리를 해할 가능성 및 위험 정도
④ 민감정보·고유식별정보 처리여부
⑤ 개인정보 보유기간
- 평가대상 : 공공기관
① 5만명 민감고유
② 50만 연계
③ 100만명
④운용체계 변경 시
- 평가기준
① 개인정보의 종류·성질, 정보주체수
② 안전조치의무(민고주고이)
③ 위험요인별 조치여부
④ 그밖
- 제출서류
① 영향평가 대상 및 범위
② 평가분야 및 항목
③ 위험요인 분석·평가
④ 조치내용 및 개선계획
⑤ 영향평가 결과
⑥ 1~5 요약한 내용 ※ 2개월 이내 제출, 처리방침에 공개
- 평가기관 : 보호위원회가 지정
① 최근 5년 2억원 이상 ② 10명이상 ③ 신원확인·출입통제, 기록 및 자료 안전한관리
- 수행인력 자격
①기술사·기사 1년 ② 감리원(ISA) 1년 ③CISA 1년④CISSP 1년⑤ ISMS-P ⑥ CPPG 1년
- 고급인력 자격
① 일반수행인력 5년 ②박사 3년 ③기술사 3년
- 영향평가 전문교육
· 한국인터넷진흥원 / 유효기간 3년 / 2년~3년 때 계속교육
- 평가절차 : 사전 준비, 영행평가 수행, 이행
1) 사전 준비 : 사업계획 수립, 예산 확보, 평가기관 선정
2) 수행 : 85개 침해요인 분석 및 영향평가서 작성 ☆설계완료 전 영향평가 수행
3) 이행 : 개선계획 반영 점검 / 1년 이내 보호위원회 제출
- 평가항목 : 1년 이내 다른 평가있으면 제외
① 대상기관 개인정보보호 관리체계
② 대상시스템 개인정보보호 관리체계
③ 개인정보처리 단계별 보호 조치
④ 대상시스템의 기술적 보호조치(=안전성 확보 조치)
⑤ 특정 IT기술 활용시 개인정보보호
'보안담당자 업무후기 > 개인정보보호' 카테고리의 다른 글
| 개인정보 가이드라인 전면 개편 (0) | 2025.01.01 |
|---|---|
| 개인정보 위험도 분석 (0) | 2024.11.23 |
| 개인정보보호 교육 (0) | 2024.11.19 |
| 개인정보보호법 "공공시스템" 정의 (1) | 2024.11.18 |
| 행정사무감사간 개인정보 제공 가능여부 (1) | 2024.11.18 |
