[개인정보보호위원회] 개인정보 영향평가 수행안내서 (2024.04)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보 영향평가 수행안내서 (2024.04) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 개인정보 영향평가 수행안내서

○ 발행일 : 2024년 04월

○ 주관부처 : 개인정보보호위원회

---

[개요]

□ 추진 배경

• 본 안내서는 「개인정보 보호법」에 따라 개인정보 영향평가 개요, 추진근거, 수행절차 등 개인정보 영향평가를 수행 하는 경우 준수할 사항을 안내합니다.

---

★개인정보 영향평가 수행안내서(2024.4).pdf

16.52MB

개인정보 영향평가 수행안내서 (2024.04) : 개인정보보호위원회

---

□ 제·개정 이력

• 개인정보보호 관련 법･제도 및 환경 변화를 반영하여 다음과 같이 개정하였습니다.

일자	주요 내용
'11.12 발간	「개인정보 영향평가 수행안내서」 발간(행정안전부)
'17.12 개정	최신 개인정보보호 법령 및 고시 개정사항을 반영한 세부 평가항목 및 해설 수정, 자체 품질검토 체크리스트 및 참고사례 추가 등
'18.04 개정	일부 개정
'20.12 개정	개인정보 수집이용 및 동의방법 등 수정, 안전성 확보조치 기준 개정사항 반영 등
'24.04 개정	개인정보 영향평가 요약본·과태료 규정 신설 안내 및 평가분야·항목 신설

---

□ 관계 법령

• 「개인정보 보호법」 제33조 및 동법 시행령 제35조~제38조

---

□ 개인정보 영향평가 개념

• 개인정보파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시
• 시스템의 구축·운영·변경 등이 개인정보에 미치는 영향(impact)을 사전에 조사·예측·검토하여 개선방안을 도출하고 이행여부를 점검하는 체계적인 절차

---

□ 목적 및 필요성

• 개인정보 처리가 수반되는 사업 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방

---

□ 평가 대상

일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축·운영 또는 변경하려는 공공기관은 「개인정보 보호법」 (이하 “법”이라 한다) 제33조 및 「개인정보 보호법 시행령」(이하 “영”이라 한다) 제35조 에 근거하여 영향평가를 수행

• (5만명 조건) 5만명 이상의 정보주체의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
• (50만명 조건) 해당 공공기관의 내부 또는 외부의 다른 개인정보파일과 연계하려는 경우로서, 연계 결과 정보주체의 수가 50만 명 이상인 개인정보파일
• (100만명 조건) 100만 명 이상의 정보주체 수를 포함하고 있는 개인정보파일
• ※ 현시점 기준으로 영향평가 대상은 아니나 가까운 시점(1년 이내)에 정보주체의 수가 법령이 정한 기준 이상이 될 가능성이 있는 경우, 영향평가를 수행할 것을 권고
• (변경 시) 영 제35조에 근거하여 영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보파일의 운용체계 를 변경하려는 경우, 변경된 부분에 대해서는 영향평가를 실시
• ※ 법령상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집·이용하는 기관은 개인정보 유출 및 오·남용으로 인한 사회적 피해를 막기 위해 영향평가 수행 가능

개인정보 영향평가를 하지 아니하거나 그 결과를 보호위원회에 제출하지 아니한 자에게는 개인정보 보호법 시행령 제75조제2항16호에 근거하여 3천만원 이하의 과태료를 부과함(’24.3.15.시행)

---

[목차]

01. 총론

제1절 개인정보 영향평가 개요

1. 개념

2. 목적 및 필요성

3. 평가 대상

4. 평가 시기

5. 평가 수행 주체

6. 평가 수행 체계

제2절 용어정의 및 추진근거

1. 용어정의

2. 추진근거

제3절 개인정보 영향평가 수행절차 요약

02. 영향평가 수행절차

제1절 영향평가 사전준비 단계

1. 사업계획의 작성

• 1.1.  영향평가 필요성 검토
• 1.2. 사전평가 수행
• 1.3. 사업계획서 작성

2. 영향평가 기관 선정

• 2.1. 제안요청서 작성 및 사업발주
• 2.2. 영향평가 기관 선정

제2절 영향평가 수행단계

1. 영향평가 수행계획 수립

• 1.1. 영향평가 수행계획 수립
• 1.2. 영향평가팀 구성방안 협의
• 1.3. 영향평가팀 역할 정의
• 1.4. 영향평가팀 운영계획 수립

2. 평가자료 수집

• 2.1. 내부 정책자료 분석
• 2.2. 외부 정책자료 분석
• 2.3. 대상시스템 관련 자료 분석

3. 개인정보 흐름 분석

• 3.1. 개인정보 처리 업무 현황 분석
• 3.2. 개인정보 처리 업무 흐름도 작성
• 3.3. 개인정보 흐름표 작성
• 3.4. 개인정보 흐름도 작성
• 3.5. 정보시스템 구조도 및 정보보호 시스템 목록 작성

4. 개인정보 침해요인 분석

• 4.1. 평가항목 구성
• 4.2. 개인정보 보호조치 현황파악
• 4.3. 개인정보 침해요인 도출
• 4.4. 개인정보 위험도 산정

5. 개선계획 수립

• 5.1. 개선사항 도출
• 5.2. 개선계획 수립

6. 영향평가서 작성

제3절 이행단계

1. 이행점검

• 1.1. 개선사항 반영점검
• 1.2. 개선계획 이행점검

부록

• 부록1. 개인정보 영향평가 양식
• 부록2. 개인정보 영향평가 항목(요약)
• 부록3. 개인정보 영향평가 항목(평가표)
• 부록4. 개인정보 영향평가 FAQ

---

※ 해당 가이드라인은 개인정보보호위원회 홈페이지 법령/법령정보/안내서 메뉴에서 확인할 수 있습니다.

※ 바로 이동하시려면 여기를 클릭해주세요.

개인정보보호위원회

※ 더 많은 자료 찾아보기

황컴플라이언스의 공간