이 누리집은 대한민국 공식 전자정부 누리집입니다.
-
제도 소개
- 개인정보파일의 신규 도입·변경 시 위험요인 분석 및 개선 사항을 도출하기 위하여 사전에 조사 분석·평가하기 위한 제도
법적 근거 및 적용대상
- (법적근거) 「개인정보 보호법」 제33조(개인정보 영향평가)
-
(대상기관) 영 제35조에 해당하는 개인정보파일을 구축․운영하거나 기존 시스템을 변경 또는 연계하려는 공공기관
영향평가 의무수행 대상
- 구축‧운용 시
- 100만명 이상의 개인정보파일을 구축․운용 또는 변경하는 경우
- 내·외부 시스템과 연계결과, 50만명 이상의 정보주체에 관한 개인정보파일을 구축·운용 또는 변경하는 경우
- 의료정보 등 민감정보 또는 주민등록번호 등 고유식별정보 포함 시 5만명 이상의 정보주체에 관한 개인정보파일 구축 운용 또는 변경하는 경우
- 변경 시
- 영향평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하는 경우
처리 절차
- 개인정보보호위원회에서 영향평가 기관을 지정
- 1.평가의뢰 : 공공기관(대상기관)에서 영향평가 수행(평가기관)기관에 평가 의뢰
- 2.수행결과 제출 : 평가기관에서 영향평가 수행결과를 공공기관(대상기관)에 제출
- 3.결과 제출 : 공공기관(대상기관)에서 개인정보보호위원회에 결과 제출
- 4.의견 제시(필요시) : 개인정보보호위원회에서 공공기관(대상기관)으로 필요시 의견 제시
평가 절차
- (평가시점) 영향평가 수행은 개인정보처리 시스템 구축 전단계인 분석 또는 설계단계에서 실시
-
(수행주체) 영향평가 주관부서 담당자, 개인정보보호 책임자, 개인정보보호 담당자 등으로 영향평가팀을 구성하여 영향평가를 수행
- ※ 공공기관은 개인정보보호위원회에서 지정한 평가기관에 영향평가 의뢰
개인정보 영향평가 절차도
-
시스템구축
- 사업계획
- 분석설계
- 개발
- 테스트
- 운영
-
영향평가
- 사전준비단계
- 영향평가 수행단계
- 이행단계
-
평가절차
-
사업계획 작성(예산확보)
- 영향평가 필요성 검토
- 사업계획서 작성(예산확보)
-
사업자 선정
- 제안요청서 작성
- 사업발주
- 영향평가 기관선정
-
평가수행 계획수립
- 평가수행 계획수립
- 평가팀 구성
-
평가자료 수집
- 내부자료 분석
- 외부자료 분석
- 대상시스템 관련자료 분석
-
개인정보 흐름분석
- 개인정보 처리업무 현황분석
- 개인정보 흐름표 작성
- 개인정보 흐름도 작성
- 시스템 구조도 작성
-
개인정보 침해요인 분석
- 평가항목 작성
- 개인정보 보호조치 현황 파악
- 개인정보 침해요인 도출
- 개인정보 위험도 산정
-
개선계획 수립
- 개선사항 도출
- 개선계획 수립
-
영행평가서 작성
- 영행평가서 작성
- 영향평가서 제출
-
개선계획 반영·점검
- 개선계획 반영(개발단계)
- 개선계획 반영점검(테스트단계)
-
개선사항 이행확인
- 개선사항 이행확인(1년이내)
- 이행확인서 제출(개인정보보호위원회)
-
사업계획 작성(예산확보)
-
수행연도
- 평가직전연도
- 평가수행연도
- 평가다음연도
-
수행주체
- 대상기관(공공기관)
- 영향평가 기관(영향평가 수행 및 영향평가서 작성), 대상기관(업무협조, 영향평가서 제출 및 개선계획 이행)
- 대상기관, 감리사업자
- 대상기관
기대 효과
- 설계단계에서부터 개인정보 침해위험성을 검토하고 개선함으로써 시스템 구축․운영시 발생할 수 있는 침해위협 최소화 및 효과적인 대응책 마련