4. 개인정보 영향평가

◎ 개인정보 영향평가란?

개인정보 영향평가(PIA, Privacy Impact Assessment)는 새로운 정보시스템의 도입과 개인정보의 수집에 앞서 계획하고 있는 시스템이 구축, 운영될 경우 프라이버시에 미칠 영향에 대하여 미리 조사, 예측, 검토하는 체계적인 절차를 의미

 

1) 사전분석

시행 또는 변경하고자 하는 사업에 대한 개인정보 영향평가의 필요성 여부를 스스로 결정.

이때 영향평가의 대상이 되는 정보는 이용자(고객)의 개인정보.
필요성 검토 시, 개인정보처리자가 가용할 수 있는 자원(예산, 인력, 기간, 사업수행부서, 이해관계자, 평가 자료의 확보)*를 고려한다.

 * 기존의 성공 모델을 가져와 각 단계를 벤치마킹하여 조직에 알맞게 변형하여 사용하는 것을 추천

- 사전분석은 중요한 단계!

 

2) 영향평가팀 구성

개인정보 영향평가를 수행하는 자는 정책, 전략수립 지식, 기술 및 시스템 분석 지시, 위험평가 및 프라이버시 관련 지식, 운영 프로그램 및 사업계획에 대한 지식 등을 갖춘 자로서 회사 내외에서 선택할 수 있다.

 

3) 개인정보 관련 정책, 법규 및 사업내용 검토

조직 내의 개인정보 관리절차 및 방법, 개인정보 보호정책과 관련 조직체계 등을 조사하고, 시행하고자 하는 사업에 적용되는 관련 법령 및 지침, 가이드라인 등에 대한 조사를 실시한다. 이때 사업의 추진배경, 목표, 사업개요 등이 포함된 사업 진도표와 사업절차표를 작성한다.

 

4) 정보흐름분석(Data Flow Analysis)을 실시

시행 혹은 변경하고자 하는 사업에서 취급하는 개인정보 및 이를 포함하고 있는 자산을 확인한 후, 개인정보 자산의 종류 및 처리단계, 개인정보에 대한 통제 및 접근 권한, 제 3자 제공 여부 등을 도표화한다. 또한 각종 보안장치를 포함한 정보시스템 구조도를 분석한다.

 

5) 개인정보 침해요인 분석

평가 대상이 되는 사업에 대해 영향평가 기준을 바탕으로 침해 요소를 파악한다. 정보자산에 대한 분류기준을 확립, 자산 목록을 수령한 후, 각 자산의 중요도 등을 고려하여 자산을 그룹핑한다. 자산 그룹핑 후 개인정보 자산의 민감도를 평가하게 되는데, 이 때 정보의 기밀성, 무결성, 가용성을 기준으로 민감도를 정의한다.

민감도 정의 후 개인정보 자산을 위태롭게 할 수 있는 위협요소를 도출, 각 개인정보와 연결. 또한 취약성과 위협요소를 연결하여 침해 상황이 발생할 수 있는 시나리오를 작성 후 개인정보 자산의 위험도를 산출한다. 산출된 위험도를 바탕으로 위험평가도를 작성한다.

 

6) 개선 계획을 수립하고 위험을 관리

사업수행 부서의 요구사항을 고려하여 개인정보 소유자, 사용자 및 기타 관련 주체 간의 합의로 보장수준을 결정. 보장수준은 수용할 수 있는 위험 정도를 의미하며, 개인정보 보호를 강화하고자 하는 경우에는 보장수준을 낮게 정의*한다.

 * 최소한으로 정보를 수집하고, 최소한의 이용목적에 대해, 최단 시간 이용

 

7) 영향평가 보고서 작성 및 보고

영향평가 보고서에는 사전 준비 단계부터 위험관리까지 모든 절차의 내용과 결과를 정리하여 문서화한 후, 조직 내 최고의사결정권자에게 보고한다.

- 다음 개인정보 영향평가 시 활용정보가 될 수 있음

 

8) 이행단계

개인정보 침해 요인별 조치가 필요한 사안에 대하여 그에 대한 조치결과를 확인 및 점검하는 과정으로써, 시스템 구축이나 변경 사업의 경우에는 테스트 단계에서 침해 요인 별 조치가 적절히 수행되었는지를 점검한다.

위험도 산출(Risk Value)  =  개인정보 자산의 민감도(Asset Value) +                                     위협의 정도(Threats Value) +                                     취약성의 정도(Vulnerability Value)

 

 

◎ 국내외 개인정보 영향 평가 제도

• 국내의 개인정보 영향평가 제도는 2005년 한국인터넷진흥원(KISA)에서 ‘기업의 개인정보 영향평가 수행을 위한 가이드‘를 발표하고, ‘2006년 이동통신사 개인정보 보호지침‘이 시행되면서 시작
• 2007년 공공부분에서의 개인정보 영향평가 의무 도입이 결정되고, 2008년 대량 고객정보 유출에 따른 기업의 이미지 실추와 기업의 존폐 영향, 집단소송제기 등이 이슈화 되면서 개인정보 영향평가의 도입을 민간 기업에서도 적극적으로 고려하기 시작
• 2011년 일반법인 개인정보 보호법이 제정되면서 개인정보 영향평가의 제도가 공공부문에 의무도입이 되었고, 더불어 개인정보 영향평가의 확대 시행에 실질적 도움이 될 수 있도록 2009년 이후 한국인터넷진흥원(KISA)에서 개설하여 운영하고 있다.
• 미국은 2002년에 국민에 대한 정부의 서비스와 행정기관 내부의 행정작용을 개선하고, 정부에 대한 시민들의 참여 기회를 확대하기 위하여 인터넷이나 그 밖의 정보기술(IT)의 효율적인 사용을 증진시킬 목적으로 전자정부법(E-Government Act)을 제정하였다. 전자정부법은 이러한 목적 수행을 위하여 관리예산처(OMB) 내에 전자정부법의 수행상황을 감독하고 다양한 특별 조치를 위임할 수 있는 전자정부기구를 설치할 것을 요구하고 있다.
• 프라이버시 영향평가를 시행함으로써 연방정부의 각 기관들이 그러한 조치를 고려할 것을 명문으로 규정하고 2003년 9월26일 OMB는 프라이버시 관련규정 수행을 위한 가이드라인을 발표함.