개인정보영향평가


개인정보를 활용하는 정보시스템의 도입 또는 변경 시, 동 시스템의 구축·운영·변경 등이 프라이버시에 미치는 영향에 대해

사전 조사 및 검토를 통해 개선방안을 도출하는 체계적인 절차를 가진 컨설팅 서비스입니다.

개인정보영향평가(PIA) 서비스 개요

개인정보영향평가(PIA Privacy Impact Assessment)는 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시, 동 시스템의 구축ㆍ운영ㆍ변경 등이 프라이버시에 미치는 영향에 대하여 사전에 조사 및 예측, 검토하여 개선 방안을 도출하는 체계적인 절차로서 개인정보영향평가를 통해 동 사업의 시행이 국민의 프라이버시에 미치는 중대한 영향을 사전에 파악하고 그 영향을 줄이거나 없앨 수 있는 방안을 모색하여 정보통신망 및 정보통신서비스에 대한 안정성 및 신뢰성을 확보하기 위한 서비스

공공기관의 개인정보 영향평가개인정보 침해 사전예방개인정보 보호체계 필요
  • 개인정보보호법 2011년 9월 30일 시행으로 공공기관의 개인정보 영향평가 의무화
  • 정보사회의 도래로 정보화 역기능의 하나인 개인정보 침해 발생
  • 개인정보 보호를 위한 제도 및 법률의 정비 필요
  • 개인정보 처리시스템 구축 시 위험요소를 도출하여 개인정보 침해 발생을 사전예방
  • 개인정보 유출로 인한 개인의 피해 예방
  • 개인정보 유출로 인한 기업의 이미지 실추 및 고객 이탈 예방
  • 개인정보 보호를 위한 개인정보관리체계 수립 필요
  • 구축 시스템에 대한 개인정보 보호수준 점검 및 미흡 시 반영 필요
  • 안정적인 개인정보 관리 체계 운영 필요
  • 개인정보보호에 대한 교육 필요
법적 기준개인정보 보호법 제33조(개인정보영향평가)
  • 시행령 제35조(개인정보영향평가의 대상), 제36조(영향평가시 고려사항)
  • 시행령 제37조(평가기관의 지정 및 취소), 제38조(영향평가의 평가기준 등)
  • 시행령 부칙 제6조(개인정보영향평가에 관한 경과조치)
  • 개인정보영향평가에 관한 고시 - 행정안전부 고시 제2011-39호(2011.09.30.)
개인정보영향평가(PIA) 서비스 구성
▣ 개인정보영향평가 대상
  • 대상기관
  1. 개인정보보호법 시행령 제35조에 해당하는 개인정보파일을 구축ㆍ운용, 변경 또는 연계하려는 공공기관
  • 대상시스템
  1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
  2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계한 결과 50만명 이상의 정보주체에 관한 개인정보가 포함된 개인정보파일
  3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
  4. 법 제33조 제1항에 따른 개인정보영향평가를 받은 후에 개인정보 검색 체계 등 개인정보파일의 운용 체계를 변경하려는 경우의 해당 개인정보파일
  • 개인정보영향평가의 대상은 공공기관 외의 개인정보를 수집ㆍ이용하는 민간기업이 될 수 있으며, 개인정보파일 운용으로 인해 개인정보 침해 우려 되는 경우 개인정보영향평가를 실시하여 개인정보영향 침해를 사전예방 할 수 있도록 해야 함.
▣ 개인정보영향평가 시기
  • 시스템 개발 단계


『개인정보영향평가에 관한 고시』의 주요 내용에 따라 정보시스템을 구축ㆍ운용, 변경 또는 변경하거나 연계하려는 공공기관은 정보시스템 설계단계에서 개인정보영향평가 수행함. 단, 개인정보보호법 고시 시행 전ㆍ후 시기에 따라 아래와 같은 예외사항 있음

1. 개인정보보호법 고시 시행 후(2011.09.30 ~ 2011.12.31) 해당되는 대상 시스템

- 근 거 : 『개인정보 영향평가에 관한 고시 부칙 제2조』에 따라 고시 시행일로부터 3개월 이내 영향평가계획을 수립하고, 2012년 9월 30일까지 영향평가 완료해야 함

2. 개인정보보호법 고시 시행 전( ~ 2011.09.30) 해당되는 대상 시스템

- 근 거 : 『개인정보보호법 시행령 부칙 6조』에 따라 개인정보파일을 구축하고 있는 공공기관의 장은 이 영 시행일부터 5년 이내(2016.09.30까지)에 해당 개인정보파일에 대한 영향평가를 실시하고 그 결과를 행정안전부장관에게 제출

▣ 개인정보영향평가 평가 절차


▣ 개인정보영향평가 평가 항목

대상기관의

개인정보보호 관리체계

대상시스템의

개인정보보호 관리체계

개인정보

처리단계별 보호

특정 IT기술 활용 시

개인정보보호

  • 대상기관 개인정보 보호조직
  • 개인정보보호 계획
  • 개인정보처리 방침
  • 개인정보 위탁 및 제공시 안전조치
  • 개인정보 침해 대응
  • 정보주체 권익 보호
  • 개인정보 처리구역 보호
  • 대상시스템의 개인정보 관리
  • 개인정보 취급내용 공개
  • 수집단계
  • 저장 및 보유단계
  • 이용 및 연계ㆍ제공 단계
  • 파기단계
  • CCTV활용
  • RFID활용
  • 바이오정보 활용
  • 위치정보 활용
8 분야 30 평가 항목2 분야 9 평가 항목4 분야 60 평가 항목4 분야 14 평가 항목
▣ C.PIAM(CAS Privacy Impact Assessment Method)방법론

대상사업에 적용되는 C.PIAM방법론은 개인정보영향평가 수행업체의 표준 방법론으로 업무 특성을 감안한 테일러링과 기준의 명확화가 필요합니다. ㈜씨에이에스는 해당 방법론과 수행안내서 상의 방법론을 참고하고 다수 컨설팅 경험을 바탕으로 성공적인 개인정보영향평가 컨설팅을 수행합니다.




개인정보영향평가(PIA) 서비스 특징
  • 개인정보영향평가를 통해 개인정보 침해 위험성 사전 발견
  • 정보시스템 구축, 운영에 있어 시행착오 예방 및 효과적인 대응책 수립
  • 예방적 측면에서 대응이 이뤄질 시, 비용을 획기적으로 절감
  • 개인정보영향평가의 개인 정보 흐름 분석 및 위험 대책 수립을 통해 프라이버시 보호



(주)씨에이에스(C.A.S)

Computer Assurance Service

서울시 금천구 가산디지털1로 168 C동 1106, 1206호(우림라이온스벨리1차)

TEL 02-786-3815 FAX 02-2026-3818  E-MAIL webmaster@casit.co.kr

Copyright CAS Corp. All rights reserved.