■ 개인정보영향평가의 개요
○ 목적: 평가 대상 시스템 활용에 따른 잠재적 위험을 평가하여 개인정보 침해에 따른 피해를 줄일 수 있는지를 미리 검토·반영하여 개인정보보호
○ 대상: 공공기관: 의무, 민간기구: 자율 (권고)
○ 시기: 대상기관이 대상시스템을 구축, 운영 또는 변경하거나 연계하려는 경우
○ 근거:: 개인정보보호법 제33조
① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 “평가기관”이라 한다) 중에서 의뢰하여야 한다.
② 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
③ 행정안전부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 보호위원회의 심의ㆍ의결을 거쳐 의견을 제시할 수 있다.
④ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
⑤ 행정안전부장관은 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다.
⑥ 제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑦ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
⑧ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.
※ 개인정보영향평가를 반드시 받아야 하는 대상은 공공기관이다. 공공기관의 범위는 법에서 아래와 같이 정의되어있다.
■ 공공기관의 범위(법 제2조제6호)
• 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령
소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
• 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
1. 「국가인권위원회법」 제3조에 따른 국가인권위원회
2. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
3. 「지방공기업법」에 따른 지방공사 및 지방공단
4. 특별법에 의하여 설립된 특수법인
5. 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학교
■ 개인정보 영향평가 대상
공공부문의 경우, 전자정부 추진으로 개인정보를 대량으로 시스템화하여 상호연동하는 등, 개인정보 침해우려가 높으므로 행정정보 공유 및 전자정부 추진사업의 신뢰성을 제고하기 위하여 영향평가를 의무화하고 있으며 개인정보보호법 시행령에서 다음 각 호에 해당하는 개인정보파일에 대하여 영향평가를 하도록 의무화하고 있다.
법 제33조제1항에서 “대통령령으로 정하는 기준에 해당하는 개인정보파일”이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각 호의 어느 하나에 해당하는 개인정보파일을 말한다.
1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
4. 법 제33조제1항에 따른 개인정보 영향평가(이하 “영향평가”라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.
■ 개인정보 영향평가 시 고려사항
법 제33조제2항제4호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다.
1. 민감정보 또는 고유식별정보의 처리 여부
2. 개인정보 보유기간
■ 개인정보 영향평가 시 평가기준
개인정보보호법 시행령 제38조(영향평가의 평가기준 등)
① 법 제33조제6항에 따른 영향평가의 평가기준은 다음 각 호와 같다.
1. 해당 개인정보파일에 포함되는 개인정보의 종류ㆍ성질, 정보주체의 수 및 그에 따른 개인정보 침해의 가능성
2. 법 제24조제3항, 제25조제6항 및 제29조에 따른 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성
3. 개인정보 침해의 위험요인별 조치 여부
4. 그 밖에 법 및 이 영에 따라 필요한 조치 또는 의무 위반 요소에 관한 사항