개인정보 영향 평가 (Privacy Impact Assessment)

• 개요
  • 정의
    • 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보시스템의 중대한 변경 시 동 시스템의 구축, 운영, 변경이 개인 프라이버시에 미치는 영향에 대하여 사전에 조사, 예측, 검토하여 개선방안을 도출하는 체계적인 절차를 말함.
    • 기존 마케팅 중심의 사고로 볼 때는 우선 사업을 추진해 성과를 극대화하는 데 전력을 다하고, 만약의 경우 개인정보와 관련한 보안사고가 발생할 경우 수익을 손해배상 비용으로 지출한다는 사후 대응 개념이었다면, 개인정보영향평가는 사전 예방으로 사후 비용을 절감한다는 보다 적극적인 예방 중심의 활동이라고 할 수 있음.
  • 배경
    • 정보화사회의 급속한 발전: 행정, 교육, 의료 등 다양한 분야에서 정보의존도 및 활용성 증대
    • 새로운 유형의 개인정보 지속 생성: RFID, 위치 정보 등 특정 정보통신 기술을 활용한 개인정보의 지속적 생성 및 이용
    • 과도한 개인정보의 수집, 오남용: 프라이버시 침해 위험 급증
  • PIA의 목적
    • 개인정보 취급이 수반되는 사업 추진에 있어 프라이버시에 미치는 영향을 사전에 분석하고, 이에 대한 개선방안 수립
    • 실제 사업에 이를 반영하여 개인정보 침해사고를 사전에 예방

• 평가 대상 및 시기, 평가 수행 주체, 체계
  • PIA 평가 대상
    • 공공기관은 일정규모 이상의 개인정보파일을 운영하는 경우 '개인정보보호법' 제33조 및 '개인정보보호법 시행령' 제35조에 근거하여 개인정보 영향평가 수행 의무화
    • 상위 법률상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집, 이용하는 기관은 개인정보 유출 및 오남용으로 인한 사회적 피해를 막기 위해 PIA 수행 가능
  • PIA 시기
    • 개인정보를 수집, 이용하려는 대상 기관이 본격적으로 정보화 사업을 추진하기 이전에 수행 의무
    • 새로운 정보시스템의 구축 변경 시 침해요인 사전 분석 및 개선을 위해 구축 전 분석, 설계 단계에서 실시 (감리단계에서 반영정도의 적절성 확인. 유지보수 단계에서는 자체적으로 지속점검 및 감사 권장)
    • 운영 중인 개인정보 취급 시스템의 개인정보 수집, 이용 및 관리 상의 중대한 침해위험 발생이 우려되는 경우
    • 전반적인 개인정보 관리 체계를 점검하여 개선하기 위한 경우
  • 평가 수행 체계
    • 자체적 필요성에 따라 기관 내부적으로 구성하거나 외부 평가 기관을 활용 구성
    • '개인정보 보호법' 시행령 제 35조에 해당하는 기관의 대상 사업(시스템)에 대해서는 행정안전부 장관이 지정한 개인정보 영향평가 기관에 의뢰하여 영향평가를 수행한 수 결과를 행안부 장관에게 제출 (행안부는 개인정보 보호위원회의 심의, 의결을 거쳐 해당 사업에 대한 의견을 제시)
  • 영향평가 절차
    • 평가계획의 수립 → 영향평가의 실시 → 평가결과의 정리