제１항 개인정보 영향평가

제１항 개인정보 영향평가

개인정보 영향평가(PIA)는 개인정보파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보처리시스템의 중대한 변경이 있는 경우 시스템의 구축, 운영, 변경 등이 개인정보에 미치는 영향을 사전에 조사, 예측, 검토하여 개선방안을 도출하는 기법 또는 제도이다.

영향평가는 개인정보 처리가 수반되는 사업 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방하기 위한 목적의 제도이며 평가 대상은 일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축, 운영 또는 변경하려는 공공기관이 개인정보보호법 제33조 및 개인정보보호법 시행령 제35조에 근거하여 영향평가를 수행해야 한다.

 

[표] 개인정보 영향평가 대상

조건	대상 개인정보파일
구축, 운영 시	5만명 이상 정보주체의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
	해당 공공기관의 내부 또는 외부의 다른 개인정보파일과 연계하려는 경우로써 연계 결과 정보주체의 수가 50만명 이상인 개인정보파일
	100만명 이상의 정보주체 수를 포함하고 있는 개인정보파일
변경 시	영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 변경된 부분에 대해서 영향평가 실시

 

법령상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집 이용하는 기관은 개인정보 유출 및 오남용으로 인한 사회적 피해를 막기 위해 영향평가를 수행 가능하다.

 

[그림] 영향평가 시기

 

개인정보처리시스템을 신규로 구축하거나 기존 시스템을 변경하려는 경우, 사업계획 단계에서 영향평가 의무대상 여부를 파악하여 예산을 확보한 후 대상 시스템의 설계완료 전에 개인정보보호위원회가 지정한 영향평가기관을 이용해 영향평가를 수행해야 한다. 그리고 영향평가 결과에 대한 개선사항 이행 확인은 시스템이 개발, 구축되어 운영되기 전에 수행해야 한다. 공공기관은 수행결과를 사업 완료 후 2개월 이내에 개인정보보호위원회에 제출하여야 한다.

영향평가 사업은 사전준비 단계, 수행 단계, 이행 단계 등 3단계로 구성되어 있으며 사전준비 단계에서는 영향평가 사업계획을 수립하고, 예산 확보 및 평가 기관 선정을 하며, 수행 단계에서는 선정된 평가기관이 개인정보 침해요인을 분석하고 개선계획을 수립하여 영향평가서를 작성합니다. 마지막 이행 단계에서는 영향평가서의 침해요인에 대한 개선계획을 반영하고 있는지 점검합니다.

 

[그림] 개인정보영향평가 수행 절차도