Part03. 개인정보 영향평가 이론 ①

1. 개인정보 영향평가 제도

• 01. 개인정보 영향평가 개요
  • 개인정보 영향평가의 개념
    • 개인정보 영향평가(PIA : Privacy Impact Assessment)란 개인정보파일을 운용 하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시동 시스템의 구축·운영·변경 등이 개인정보에 미치는 영향 (impact)에 대하여 사전에 조사·예측·검토하여 개선방안을 도출하는 체계적인 절차를 말한다. 결국 이를 통해 정보시스템의 구축·변경 등이 완료되기 전에 평가 및 개선을 통해 정보주체의 개인정보에 미치는 중대한 영향을 사전에 파악하여 그 위험요인을 제거하거나 최소화할 수 있는 방안을 모색하는 것
      • 가급적 개발 초기 단계, 즉 개발에 대한 설계 조정이 가능한 시점에 수행하는 것이 필요
  • 영향평가의 기대효과
    • 개인정보 보호 조치의 내재화(Privacy by Design 적용)
    • 개인정보 침해의 사전 예방
    • 개인정보 보호조치 비용 절감
  • 관련 법령 및 지침
    • https://itsecurity119.tistory.com/125
    • https://itsecurity119.tistory.com/126
  • 평가항목 (5개 평가영역 /  25개 평가분야 / 55개 세부분야 / 85개 평가항목)
    • 1) 대상기관 개인정보보호 관리체계
    • 2) 대상시스템 개인정보보호 관리체계
    • 3) 개인정보처리단계별 보호조치
    • 4) 대상시스템의 기술적 보호조치
    • 5) 특정 IT기술 활용 시 개인정보보호

---

• 사수이(사업 계자흐침개영 점이)

• 02. 개인정보 영향평가 절차
  • 개인정보 영향평가 사업 수행 절차는 크게 ①사전준비 단계, ②영향평가 수행 단계, ③이행단계 등 3단계로 구성

• 2.1 사전준비 단계
  • 가. 사업계획 작성
    • 1) 영향평가 필요성 검토 
      • 영향평가 대상 (5민고 50연 100개 변)
        • 1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
        • 2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
        • 3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
        • 4. 법 제33조제1항에 따른 개인정보 영향평가(이하 “영향평가”라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.
      • 기 수집된 개인정보파일의 처리절차가 변경되는 경우는 개인정보 처리시스템의 추가·변경 또는 개인정보 수집경로, 처리절차의 확대· 변경하는 경우로 구분  
      • 기존 업무처리 절차나 개인정보보호 체계의 변경이 없는 단순 노후장비 교체, 운영·유지보수 사업의 경우 영향평가 대상에서 제외할 수 있음
    • 2) 사전평가 수행 (선택사항)
      • 개인정보보호 포털의 자율수행프로그램(www.privacy.go.kr)을 통해 맛보기 기능을 활용
    • 3) 사업계획서 작성
      • 영향평가 필요성 검토 결과 영향평가 수행대상으로 결정된 경우, 영향평가 사업계획서를 작성하고 관련 예산을 확보
  • 나. 영향평가 기관 선정
    • 1) 제안요청서 작성 및 사업 발주
      • 사업계획에 기반하여 제안요청서를 작성하고 사업발주를 통해 평가기관을 선정
        • 설계 완료 전에 영향평가를 수행하도록 일정 계획을 제시
        • 구축사업과 분리하여 별도의 사업으로 발주 필요
          • 다만 불가피하게 시스템 구축 사업의 일부로 발주하거나 개인정보 보호컨설팅 사업의 일부로 발주하는 경우, 영향평가 사업비용은 별도 분리해야 하며 독립성이 훼손되지 않도록 사업 추진
        • 투입인력의 인증서 보유 여부 확인 필요
          • 전체 인력의 50% 미만에 한해 인증서를 보유한 프리랜서나 타사 인력 활용 가능
    • 2) 영향평가 기관 선정
      • 평가기관은 보호위원회에서 지정한 평가기관 중에서 선정
      • 제안요청사항을 충족할 수 있는 적정 기관을 선정하되, 시행 령 제37조(평가기관의 지정 및 지정취소) 제5항 및 영향평가 고시 제7조(사후 관리)에 따라 개인정보보호위원회로부터 개선권고, 경고, 지정취소 등을 받은 경우 평가 수행 업체로 부적절하므로 선정시 유의
• 2.2 영향평가 수행 단계
  • 가. 영향평가 수행계획 수립
    • 1) 영향평가 수행계획 수립
      • 영향평가팀은 평가 과정에 필요한 사항들을 정리하고 영향평가팀 내부적으로 공유하기 위해 세부적인 평가 계획을 수립하여 “영향평가 수행계획서”를 작성한다
    • 2) 영향평가팀 구성
      • 영향평가팀 구성 시 평가기관의 PM(Project Manager: 프로젝트 책임자)은 대상 기관 사업관리 담당자의 협조 하에 개인정보 보호담당자, 유관부서 담당자, 외부전문가 등의 참여를 요청할 수 있다.
      • 평가기관 수행인력은 영향평가 업무의 연속성 확보 및 품질제고를 위해 업무 분석 단계부터 위험분석, 개선계획 도출 등 사업 전기간 동안 투입인력 상주를 원칙으로 하는 것이 바람직하다.
      • 단, 품질관리 담당자는 비상주도 가능하다.
    • 3) 영향평가팀 역할 정의
      • 영향평가팀 R&R 예시 참고 (p.45)
      • [표 20] 참여자별 주요 역할 예시 (p.46)
    • 4) 영향평가팀 운영계획 수립
      • 영향평가를 효율적으로 수행하기 위해서는 영향평가팀 구성과 구성원의 역할 및 책임 사항의 정의가 완료되면 이를 문서화한 “영향평가팀 구성·운영 계획서”를 작성한다.
      • 평가기관 수행인력에 대한 영향평가 수행 전문인력 인증번호(영향평가 전문교육 이수 및 시험을 통과한 인력에게 부여되는 인증번호로서 유효한 인증번호를 발급받은 인력만이 영향평가를 수행할 수 있음)를 반드시 작성
  • 나. 평가자료 수집
    • 내부정책 자료
      • (조직·체계 자료) 기관별 개인정보 보호지침, 개인정보보호 내부관리계획, 개인정보 처리방침, 개인정보보호업무 관련 직제표, 개인정보보호규정, 정보보안규정 등
      • (인적 통제·교육 자료) 개인정보 관련 조직 내 업무분장표 및 직급별 권한에 대한 내부규정, 시스템 관리자 및 개인정보취급자에 대한 교육계획, 위탁업체 관리규정 등
      • (정보보안 자료) 방화벽 등 침입차단시스템 및 백신프로그램 도입현황, 네트워크 구성도 등
    • 외부정책 자료 : 분야 별 법령 및 지침·고시, 가이드라인 등
      • 일반정책자료 : 공공기관 공통적용
      • 특수정책자료 : 대상사업에 한해 특수하게 적용
    • 대상시스템 관련 자료
      • (사업수행자료) 사업추진계획서, 제안요청서, 과제수행계획서, 요구사항 정의서, (기 구축 시) 업무매뉴얼·운영매뉴얼 등
      • (외부연계 관련 자료) 위탁계획서, 연계계획서,인터페이스 정의서, 아키텍처 설계서 등
      • (개발산출물) 시스템 설계서, 요건 정의서, 업무 흐름도, 기능 정의서, ERD(Entity Relationship Diagram), DFD(Data Flow Diagram), 유스케이스 다이어그램(Use Case Diagram), 시퀀스 다이어그램(Sequence Diagram), 테이블 정의서, 화면 설계서, 메뉴 구조도, 아키텍처 설계서, 시스템 구조도 등
  • 다. 개인정보 흐름분석 (4단계)
    • 1) 개인정보 처리업무 현황분석
      • 산출물 분석
        • 정보시스템 분석·설계 단계에서는 설계서 등 산출물의 구체성이 높지 않을 수 있으며 특히 개발단계에서 변경될 가능성도 존재하므로 이러한 사항을 충분히 고려하여 산출물 분석이 이루어져야 함
      • 담당자 인터뷰
        • 인터뷰 대상자는 시스템 개발, 운영 담당자 및 현장 업무담당자를 포함하여야 하며, 개인정보 처리 업무 분석을 위해 필요하다고 판단되는 대상자도 포함
      • 개인정보 처리업무 식별
        • 평가대상 사업 중 개인정보 처리 관련 업무 현황을 식별
        • 개인정보 처리가 수반되는 업무만을 분리하는 것이 효율적인 평가수행에 도움이 됨
      • 개인정보 영향도 등급표 작성
        • 1등급 (고민인신의위기) : 고유, 민감, 인증, 신용/금융, 의료, 위치, 기타중요 → 5점
        • 2등급 (식관기) : 개인식별, 개인관련, 기타개인정보 → 3점
        • 3등급 (자가제간) : 자동생성, 가공정보, 제한적본인식별정보, 기타간접개인정보 → 1점
      • 개인정보 처리업무표 작성 (표준포맷)
        • 평가업무명 : 회원관리
        • 처리목적 : 홈페이지 회원가입 
        • 처리 개인정보 : 필수항목-성명,생년월일 / 선택항목-전화번호
        • 주관부서 : 민원팀
        • 개인정보 건수 : 10만건(0건) 
        • 개인정보 영향도 : 5
      • 업무흐름도 작성 (정형화된 서식이 없고 평가기관 서식에 맞춰 작성)
        • 사업분석 시 활용한 참고자료에 업무흐름도가 있으면 기존에 작성된 것을 활용 가능
    • 2) 개인정보 흐름표 작성 (수집, 보유·이용, 제공·파기)
      • 개인정보 취급업무표 및 업무흐름도 분석
      • 처리 단계 별 업무 흐름 분류
      • 개인정보 흐름표 작성
        • 개인정보 처리 업무 분석 과정을 거쳐 산출된 개인정보 처리 업무표를 바탕으로 개인정보의 수집, 보유, 이용, 제공, 파기로 구분하여 개인정보 흐름을 분류한다
    • 3) 개인정보 흐름도 작성
      • 개인정보 흐름표 분석
        • 개인정보의 수집, 보유, 이용, 제공, 파기로 구분하여 개인정보 흐름을 분류
          • 수집 : 평가업무명, 수집 항목, 수집 경로, 수집 대상, 수집 주기, 수집 담당자, 수집 근거
          • 보유·이용 : 평가업무명 , 보유형태, 암호화 항목, 이용 목적, 개인정보취급자, 이용 방법
          • 제공 :  평가업무명, 제공목적, 제공자, 수신자, 제공정보, 제공방법, 제공주기, 암호화여부, 제공근거
          • 파기 : 평가업무명, 보유기간, 파기담당자, 파기절차, 분리보관여부
      • 개인정보흐름도 작성 (총괄 및 취급업무별)
        • 작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용, 제공, 파기되는 개인 정보 처리단계별로 흐름을 한 눈에 파악할 수 있도록 ‘개인정보 흐름도’를 작성
        • 영향평가 대상사업 또는 개인정보 처리시스템 전체의 개인정보 흐름을 총괄적으로 표현한 ‘총괄 개인정보 흐름도’를 작성하고 ‘평가업무 별 개인정보 흐름도’를 함께 작성
        • 개인정보흐름도는 본 교재에서 제시한 범례 및 형태를 반드시 따를 필요는 없으며, 각 영향평가기관의 방법론에 따라 다르게 표현될 수 있다.
    • 4) 정보시스템 구조도 작성
      • 네트워크 및 시스템 구성 분석
      • 보안시스템 현황 분석
      • 정보시스템 구조도 및 정보보호 현황표 작성
        • 정보시스템 구조도 및 정보보호 시스템 목록은 보안이 중요하여 공개가 어렵다고 판단할 경우에는 비공개로 처리가 가능하다.
        • 단, 비공개로 처리하더라도 시스템 구조 및 정보보호 현황 분석은 충실히 수행되어야 하며, 시스템 구조도 전체를 비공개로 처리하기 보다는 보안상 민감 한 영역을 제외하거나 단순화하여 작성하는 게 바람직하다.
  • 라. 개인정보 침해요인 분석
    • 평가항목 작성
      • 5개 평가영역 25개 평가 분야 55개 세부분야에 대하여, ‘개인정보 영향평가 수행안내서'에서 제시된 총 85개 평가항목을 바탕으로 평가를 수행
        • (5개 평가영역)
        • 1. 대상기관 개인정보보호 관리체계
        • 2. 대상시스템 개인정보보호 관리체계
        • 3. 개인정보처리 단계 별 보호조치
        • 4. 대상시스템 기술적 보호조치
        • 5. 특정 IT기술 활용 시 개인정보 보호
      • 평가항목은 침해사고 사례, 법제도의 변화, 대상기관 및 대상사업의 특성 등에 따라 추가·삭제·변경 등 탄력적으로 구성하여 사용할 필요가 있으며, 특히 개인정보 보호법 관련 법령 및 고시가 개정된 경우 해당 사항에 대해서는 반드시 평가항목에 반영하여 점검
      • ‘1. 대상기관 개인정보보호 관리체계’ 평가영역의 경우, 1년 이내에 수행된 이전 영향평가를 통해 이미 평가를 수행한 경우 대상기관과의 협의를 거쳐 평가에서 제외
    • 개인정보 보호조치 현황파악
      • 개인정보 영향평가 수행안내서 부록3 "개인정보 영향평가 항목(평가표)" 를 참고하여 평가를 수행하되, 대상 기관 및 대상 시스템의 특성과 평가 시점에서의 최신 IT기술 및 보안위협 동향, 법 규정 변경 사항 등을 반영하여 평가 수행
      • 개인정보 보호법 등 관련 법 규정은 수시로 개정되는 경우가 많으므로 반드시 최신 법규를 기반으로 평가 수행
      • 평가자는 평가항목에 대하여 평가의견 및 증적을 사실(fact)에 근거하여 구체적으로 작성하도록 하고 단순 인터뷰 내용만을 바탕으로 작성하지 않도록 주의
      • 앞 단계에 수행된 개인정보 흐름분석 결과와 연계하여 모든 개인정보 흐름에 대하여 빠짐없이 점검(개인정보흐름도의 흐름, 우려사항 등 참고)
      • 부분이행(P), 미이행(N) 뿐 아니라 이행(Y), 해당없음(N/A)으로 평가된 항목에 대해서도 평가 결과와 근거를 상세한 사유 및 증적과 함께 제시
    • 개인정보 침해요인 도출
      • 평가항목에 따른 평가를 수행한 후, 개인정보 흐름 분석 및 개인정보보호 조치 현황에 대한 평가 결과를 기반으로 개인정보 침해요인을 분석
        • ‘이행(Y)’ 및 ‘해당없음(N/A)'로 평가된 항목은 침해요인이 없는 것으로 판단
        • ‘미이행(N)’ 및 ‘부분이행(P)'로 평가된 항목은 평가결과를 근거로 구체적인 침해요인 분석 및 도출
        • 침해요인과 개선사항은 1:1 매칭이 되어야 함
          • 침해요인 유사항목은 취합하여 여러 개의 개선사항에 대하여 한 개의 개선계획으로 제시가능
    • 개인정보 위험도 산정
      • 도출된 침해요인은 모두 개선하는 것이 원칙이나, 기관 내 예산이 부족한 경우 등 불가피한 사유가 있는 경우에는 위험도 분석 결과에 따라 개선사항의 우선 순위를 정하여 선택적으로 조치할 수도 있다. 단, 법적 의무사항은 필수적으로 조치를 수행
        • 위험도 산정 과정 및 결과는 합리적이고 납득 가능한 수준이어야 함
        • 위험도 산정값은 실질적인 위험의 크기를 대변할 수 있어야 함
        • 법적 준거성 등 개인정보보호 영역의 특성이 반영되어야 함
      • 위험도 = 개인정보 영향도 + (침해요인 발생가능성 X 법적 준거성) X 2
        • 최대값 : 위험도 = 5 + (3 * 1.5) * 2 = 14
        • 최소값 : 위험도 = 1 + (1 * 1) * 2 = 3
        • 개인정보 영향도 : 1등급(5점) / 2등급(3점) / 3등급(1점)
        • 침해요인 발생 가능성 : 높음(3점) / 중간(2점) / 낮음(1점)
        • 법적 준거성 : 의무사항(1.5점) / 권고사항(1점)
  • 마. 개선계획 수립
    • 개선사항 도출
      • 식별된 침해요인별 위험도를 측정하고 검토한 후, 위험요소를 제거하거나 최소화하기 위한 개선방안을 도출
        • 위험도에 대한 수용 가능한 수준(DoA)을 정의하여 도출된 개선방안에 대한 우선순위 결정
        • 개선방안에 대한 수행시기 단기, 중기, 장기로 구분하여 구체적(예를 들 어, 20**년 **월)으로 제시 
        • 개선방안의 실질적인 이행을 위하여 담당부서 및 담당자를 명확히 지정
        • 영향평가 항목 중 법적 필수 사항 중 침해요인이 발생하여 개선방안이 도출되었다면 반드시 조치될 수 있도록 다른 조치사항보다 우선적으로 개선계획을 수립
    • 개선계획 수립
      • 도출된 개선방안을 기반으로 대상기관 내 보안 조치 현황, 예산, 인력, 사업일정 등을 고려하여 개선계획을 수립한다. 도출된 개선계획은 위험평가 결과를 참고하여 위험도가 높은 순서의 개선방안을 먼저 실행하도록 개선 계획표를 작성
        • 담당자가 취약사항을 시정하기 위해 취해야 할 조치사항과 책임사항 제시
        • 위험도(시급성), 개선용이성, 예산, 인력 등을 고려하여 현실적인 일정 수립
        • 법적 의무 사항은 빠른 시일 내에 모두 개선될 수 있도록 계획 수립
        • 예산 확보 등 특별한 사유가 없는 한 개선계획은 시스템 설계·개발 시 반영하여 해당 정보화 사업 기간 내에 조치될 수 있도록 계획을 수립 (개인 정보 영향평가에 관한 고시 제9조의2 및 제9조의3)
        • 대상기관에서 개선계획 이행 시 즉시 활용할 수 있도록 구체적이고 효과적인 방안 제시
        • 침해요인 별 유사 항목(개선사항)은 취합하여 한 개의 개선 과제(개선계획)로 제시 가능
        • 침해요인 도출 단계와의 연계성 및 추적성을 확보할 수 있도록 개선과제와 관련된 평가항목 번호(질의문 코드) 표기
  • 바. 영향평가서 작성
    • 영향평가서 작성 → 요약본 추가 작성 필요
      • 영향평가서는 사전준비 단계에서부터 위험관리 단계까지 모든 절차, 내용, 결 과 등을 취합·정리한 문서
      • 대상기관 내 다수의 개인정보처리시스템에 대하여 동시에 영향평가를 수행한 경우에는 개인정보처리시스템 단위로 영향평가서를 분리하여 작성하도록 한다. 다만 “대상기관 개인정보보호 관리체계" 평가영역은 한번만 작성 가능
    • 영향평가서 제출 (개인정보위원회) → 요약본 제출
      • 완료된 영향평가서는 해당 개인정보파일을 구축·운용하기 전에 보호위원회에 제출하여야 한다
        • 영향평가서를 제출받은 대상기관의 장은 2개월 이내에 보호위원회에 제출
        • 영향평가서 제출은 개인정보보호 포털(https://intra.privacy.go.kr)에 등록하여 제출
        •  개인정보 영향평가를 한 개인정보파일을 개인정보 보호법 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부(개인정보 보호법 제33조 제4항)
        • 영향평가서를 제출할 때에는 평가표(첨부)를 포함하여 보고서 전체를 제출 하여야 함
• 2.3 이행 단계
  • 가. 개선계획 반영여부 점검
    • 정보시스템 분석·설계 단계에서 수행한 영향평가 개선계획의 반영여부를 개인 정보파일 및 개인정보처리시스템 구축·운영 전에 확인
    • 대상기관은 정보시스템 분석·설계 단계에서 수행한 영향평가 결과 및 개선계획 에 따라 필요한 사항을 반영하여야 한다.
    • 감리 대상 정보화사업의 경우에는 영향평가 개선계획의 반영여부를 정보시스템 감리 시 확인하여야 한다.
    • 만약 감리를 수행하지 않는 경우에는 정보시스템 테스트 단계에서 자체적으로 영향평가 개선계획의 반영 여부를 확인하여야 한다.(개인정보 영향평가에 관한 고시 제9조의3(영향평가 개선계획 반영여부의 확인))
      • 대상기관은 분석·설계 단계에서 수행한 영향평가 결과 및 개선계획에 따라 필요한 사항을 반영
      • 감리 대상 정보화사업의 경우에는 영향평가 개선계획의 반영여부를 정보시스템 감리 시 확인
      • 감리를 수행하지 않는 경우에는 테스트 단계에서 자체적으로 영향평가 개선계획의 반영 여부 확인
  • 나. 개선사항 이행 확인
    • 영향평가서를 제출받은 공공기관의 장은 개선사항으로 지적된 부분에 대한 이행 현황을 영향평가서를 제출받은 날로부터 1년 이내에 개인정보보호위원회 에 제출하여야 한다.
      • 영향평가 시 도출된 개선계획이 예정대로 수행이 되고 있는지 여부에 대해 점검 후 “개인정보 영향평가 개선사항 이행확인서”를 작성하여 개인정보 보호위원회에 제출
      • 개선계획 이행점검 결과는 내부 보고 절차를 거쳐 개인정보보호위원회에 제출하도록 하며, 이행점검 결과 미흡한 부분은 원인 등을 분석하여 계획 대로 이행될 수 있도록 조치방안 마련
      • 단, 기존 영향평가 수행기간 내에 모든 개선사항이 조치 완료되어 개인정보 보호위원회에 제출한 영향평가서에 개선과제가 없는 경우에는 ‘개인정보 영향평가 개선사항 이행확인서’를 제출할 필요 없음