개인정보 영향평가

개인정보 영향평가(Privacy Impact Assessment)란?

개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차

 

 

평가 대상

□  개인정보보호법 제2조 제6호에 따른 공공기관에서 운영하는 개인정보파일과 해당 처리시스템으로서, 개인정보파일이 개인정보보호법 시행령 제35조에 해당하는 경우, 개인정보 영향평가를 의무적으로 수행하여야 함

개인정보 보호법 시행령 제35조(개인정보 영향평가의 대상)

 "개인정보 파일"이란, 개인정보를 전자적으로 처리할 수 있는 개인정보파일로,

 ① 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보 파일

 ② 구축·운영하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부의 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일

 ③ 100만명 이상의 정보주체에 관한 개인정보파일

 ④ 영향평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하는 경우 그 개인정보파일

□  영향평가의 수행은 개인정보처리시스템 구축 전단계인 분석 또는 설계 단계에서 실시

 

 

개인정보 영향평가 처리 절차

 

 

 

개인정보 영향평가 수행 절차

 

※ 공공기관은 개인정보보호위원회에서 지정한 평가기관에 영향평가 의뢰하여 수행

※ 일반 기업/기관의 경우 영향평가 주관부서 담당자, 개인정보보호 책임자, 개인정보보호 담당자 등으로 영향평가팀을 구성하여 영향평가 수행

 

 

개인정보 영향평가 전문인력

□  영향평가 전문인력 인증서를 교부받은 자만 수행 가능

• 전문인력 인증서 교부 절차

• 전문교육 및 인증시험 응시 조건

  일반 수행인력	고급 수행인력
  ◌ 개인정보 영향평가에 관한 고시 [별표1]의 전문인력 자격을 갖춘 사람 ◌ 한국CPO포럼이 시행하는 개인정보관리사 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 수행실적이 있는 사람	◌ 일반 수행인력 자격을 갖춘 후 5년 이상의 영향평가 관련 분야 수행실적이 있는 사람 ◌ 관련 분야 박사학위를 취득한 후 3년 이상의 영향평가 관련 분야 수행실적이 있는 사람 ◌ 「국가기술자격법 시행규칙」제3조에 따른 정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사 자격으 취득한 후 3년 이상의 영향평가 관련분야 수행실적이 있는 사람

  ㅁ
• 전문인력의 자격기준
    -  개인정보 영향평가에 관한 고시 [별표 1]
  <전문인력의 자격기준>
  1. 「국가기술자격법」에 따른 정보통신 직무분야의 국가기술자격 중 정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사, 전자계산기조직응용기사, 정보처리기사, 정보보안기사 또는 정보통신기사 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람
  
   2. 「전자정부법」 제60조에 따른 감리원(ISA) 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람
  
  3. 국제정보시스템감사통제협회(Information Systems Audit and Control Association)의 공인정보시스템감사사(CISA) 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 
  
  4. 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 공인정보시스템보호전문가(CISSP) 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 
  
  5.「개인정보 보호법」 제32조의2제7항에 따른 심사원 자격을 취득한 사람
  
   "개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람"이란,
  1) 공공기관, 법인 및 단체 등의 임직원으로
  2) 개인정보 보호를 위한 공통기반기술(암호기술, 인증기술 등), 시스템ᆞ네트워크 보호(시스템 보호, 해킹ᆞ바이러스 대응, 네트워크 보호 등) 또는 응용서비스 보호(전자거래 보호, 응용서비스 보호, 정보보호 표준화 등)에 해당하는 분야에서 3) 계획, 분석, 설계, 개발, 운영, 유지ᆞ보수, 감리, 컨설팅 또는 연구ᆞ개발 업무 등을 수행한 경력이 있는 사람
  

 

개인정보영향평가 관련 사이트

• 개인정보보호위원회 > 정책·제도 > 개인정보 영향평가제도
• 개인정보포털 > 기업·공공 서비스> 개인정보 영향평가 
  https://www.privacy.go.kr/front/contents/cntntsView.do?contsNo=5

 

개인정보 영향평가 교육

□  교육비:440,000원(VAT 포함)

□  교육방식: 온라인 Zoom(이론 3일) + 오프라인(실습 2일)
□  수료기준: 총 교육시간의 90% 이상 수강(수료증 발급)

□  교육신청: 개인정보포털 > 기업·공공 서비스> 개인정보 영향평가 > 전문인력 > 교육신청
       - 교육수강은 회차별 70명  까지만 수강 가능하고 교육 신청자 대상으로 입과 예정자 선별