개인정보영향평가(PIA)


개인정보를 활용하는 정보시스템의 도입 또는 변경 시, 동 시스템의 구축·운영·변경 등이 프라이버시에 미치는 영향에 대해

사전 조사 및 검토를 통해 개선방안을 도출하는 체계적인 절차를 가진 컨설팅 서비스입니다.

개인정보영향평가(PIA) 서비스 개요

개인정보영향평가(PIA Privacy Impact Assessment)는 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시, 동 시스템의 구축ㆍ운영ㆍ변경 등이 프라이버시에 미치는 영향에 대하여 사전에 조사 및 예측, 검토하여 개선 방안을 도출하는 체계적인 절차로서 개인정보영향평가를 통해 동 사업의 시행이 국민의 프라이버시에 미치는 중대한 영향을 사전에 파악하고 그 영향을 줄이거나 없앨 수 있는 방안을 모색하여 정보통신망 및 정보통신서비스에 대한 안정성 및 신뢰성을 확보하기 위한 서비스

공공기관의 개인정보 영향평가개인정보 침해 사전예방개인정보 보호체계 필요
  • 개인정보보호법 2011년 9월 30일 시행으로 공공기관의 개인정보 영향평가 의무화
  • 정보사회의 도래로 정보화 역기능의 하나인 개인정보 침해 발생
  • 개인정보 보호를 위한 제도 및 법률의 정비 필요
  • 개인정보 처리시스템 구축 시 위험요소를 도출하여 개인정보 침해 발생을 사전예방
  • 개인정보 유출로 인한 개인의 피해 예방
  • 개인정보 유출로 인한 기업의 이미지 실추 및 고객 이탈 예방
  • 개인정보 보호를 위한 개인정보관리체계 수립 필요
  • 구축 시스템에 대한 개인정보 보호수준 점검 및 미흡 시 반영 필요
  • 안정적인 개인정보 관리 체계 운영 필요
  • 개인정보보호에 대한 교육 필요
법적 기준 개인정보 보호법 제33조(개인정보영향평가)
  • 개인정보보호법 시행령 제35조(개인정보영향평가의 대상), 제36조(영향평가시 고려사항)
  • 제37조(평가기관의 지정 및 취소), 제38조(영향평가의 평가기준 등)
  • 개인정보 보호법 시행규칙, 제3조 (개인정보 보호업무 관련 장부 및 문서서식)
  • 개인정보영향평가에 관한 고시 - 개인정보보호위원회 고시 제2020-4호(시행 2020.08.11.)
개인정보영향평가(PIA) 서비스 구성
▣ 개인정보영향평가 대상
  • 대상기관
  1. 개인정보보호법 시행령 제35조에 해당하는 개인정보파일을 구축ㆍ운용, 변경 또는 연계하려는 공공기관
  • 대상시스템
  1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
  2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계한 결과 50만명 이상의 정보주체에 관한 개인정보가 포함된 개인정보파일
  3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
  4. 법 제33조 제1항에 따른 개인정보영향평가를 받은 후에 개인정보 검색 체계 등 개인정보파일의 운용 체계를 변경하려는 경우의 해당 개인정보파일
  • 개인정보영향평가의 대상은 공공기관 외의 개인정보를 수집ㆍ이용하는 민간기업이 될 수 있으며, 개인정보파일 운용으로 인해 개인정보 침해 우려 되는 경우 개인정보영향평가를 실시하여 개인정보영향 침해를 사전예방 할 수 있도록 해야 함.
▣ 개인정보영향평가 시기
  • 분석/설계 단계


『개인정보영향평가에 관한 고시』의 주요 내용에 따라 정보시스템을 구축ㆍ운용, 변경 또는 변경하거나 연계하려는 공공기관은 정보시스템 설계단계에서 개인정보영향평가 수행함. 단, 개인정보보호법 고시 시행 전ㆍ후 시기에 따라 아래와 같은 예외사항 있음

1. 개인정보보호법 고시 시행 후(2011.09.30 ~ 2011.12.31) 해당되는 대상 시스템

- 근 거 : 『개인정보 영향평가에 관한 고시 부칙 제2조』에 따라 고시 시행일로부터 3개월 이내 영향평가계획을 수립하고, 2012년 9월 30일까지 영향평가 완료해야 함

2. 개인정보보호법 고시 시행 전( ~ 2011.09.30) 해당되는 대상 시스템

- 근 거 : 『개인정보보호법 시행령 부칙 6조』에 따라 개인정보파일을 구축하고 있는 공공기관의 장은 이 영 시행일부터 5년 이내(2016.09.30까지)에 해당 개인정보파일에 대한 영향평가를 실시하고 그 결과를 행정안전부장관에게 제출

▣ 개인정보영향평가 평가 절차


▣ 개인정보영향평가 평가 항목

▣ C.PIAM(CAS Privacy Impact Assessment Method)방법론

대상사업에 적용되는 C.PIAM방법론은 개인정보영향평가 수행업체의 표준 방법론으로 업무 특성을 감안한 테일러링과 기준의 명확화가 필요합니다. ㈜씨에이에스는 해당 방법론과 수행안내서 상의 방법론을 참고하고 다수 컨설팅 경험을 바탕으로 성공적인 개인정보영향평가 컨설팅을 수행합니다.




개인정보영향평가(PIA) 서비스 특징
  • 개인정보영향평가를 통해 개인정보 침해 위험성 사전 발견
  • 정보시스템 구축, 운영에 있어 시행착오 예방 및 효과적인 대응책 수립
  • 예방적 측면에서 대응이 이뤄질 시, 비용을 획기적으로 절감
  • 개인정보영향평가의 개인 정보 흐름 분석 및 위험 대책 수립을 통해 프라이버시 보호
컨설팅 문의
담당부서담당자연락처
영업팀
허태영 차장
연락처 : tyheo@casit.co.kr



(주)씨에이에스(C.A.S)

Computer Assurance Service

서울시 금천구 가산디지털1로 168 C동 1106, 1206호(우림라이온스벨리1차)

TEL 02-786-3815 FAX 02-2026-3818  E-MAIL webmaster@casit.co.kr

Copyright CAS Corp. All rights reserved.