한시큐리티

제품개요

개인정보를 활용하는 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시 시스템의 구축·운영·변경 등이 프라이버시에 미치는 영향에 대하여 사전에 조사·예측·검토하여 개선 방안을 도출하는 체계적인 절차입니다.

평가대상

공공기관은 일정규모 이상의 개인정보파일을 운영하는 경우 「개인정보보호법」제33조 및 「개인정보 보호법 시행령」제35조에 근거하여 개인정보영향평가를 수행하여야 합니다.

시스템 취약점 절차
법/시행령 조항	개인정보 영향평가 의무수행 대상
개인정보 보호법 제 33조 (개인정보 영향평가)	① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선사항 도출을 위한 평가(이하 "영향평가"라 한다)를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 "평가기관"이라 한다) 중에서 의뢰하여야 한다.
개인정보 보호법 시행령 제35조 (개인정보 영향평가의 대상)	법 제33조제1조항에서 대통령령으로 정하는 기준에 해당하는 "개인정보파일"이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각호의 어느 하나에 해당하는 개인정보파일을 말한다. 구축·운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 법 제23조에 따른 민감정보(이하 "민감정보"라 한다) 또는 고유식별정보의 처리가 수반되는 개인정보파일 구축·운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일 구축·운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일 법 제33조제1항에 따른 개인정보 영향평가(이하 "영향평가"라 한다)를 받은 후에 개인정보 검색 체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일, 이 경우 영향평가 대상은 변경된 부분으로 한정한다.

평가시기

도출된 영향평가 결과를 반영하여 정보시스템을 개발 하였는지에 대해 정보시스템의 평가(감리)단계에서 반영 정도의 적절성을 확인한 후, 자체적으로 개인정보 보호에 관한 사항을 지속적으로 점검 및 감사하는 것이 바람직합니다.

개인정보 취급시스템을 이용한 서비스가 운용 중이더라도 개인정보의 수집·이용 및 관리 상에 중대한 침해위험 발생이 우려되는 경우나 전반적인 개인정보관리체계를 점검하여 개선하기 위한 경우도 개인정보영향평가를 수행할 수 있습니다.

개인정보 영향평가