[신용정보 A to Z] "내 개인정보! 정말 안전한 걸까요?" 알아두면 괜히 안심되는 '개인정보 영향평가'

 

오늘날 세상은 '빅데이터 시대'라 불립니다. 다량의 정보를 보유·운용하는 기술이 점차 발전하고 있죠. 빅데이터 플랫폼, 빅데이터 아키텍처, 빅데이터 마케팅 등 '빅데이터'와 결합한 여러 경영·비즈니스 모델이 등장했습니다. 이런 배경과 함께 보안 이슈도 사회적 화두로 떠올랐고요.

정보화 사업이 고도화되고, 정보를 다루는 기업·기관이 늘어나면서 공공 차원의 개인정보 보안 대책도 강화되는 요즘입니다. 그 한 사례가 이번 시간에 알아볼 '개인정보 영향평가(Privacy Impact Assessment, PIA)'입니다.

 

보안·안전을 뜻하는 영단어 security. 라틴어 se(해방)와 cura(근심, 괴로움)가 합쳐진 말이라고 해요. 개인정보에 대한 걱정에서 벗어날 때, 국민의 진정한 security도 실현되겠죠? 

 

ㅣ고객 사생활에 미칠 영향을 미리 평가하다

 

[개인정보 영향평가의 개념]  개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차

 

행정안전부와 과학기술정보통신부가 운영하는 '개인정보보호 종합포털(바로 가기)'에 적힌 소개문입니다. 밑줄 친 부분을 주목해주세요. 두 문구가 개인정보 영향평가의 핵심이거든요.

"정보화 사업 주체(기업 및 기관)의 고객 개인정보 활용이 
국민 사생활에 미칠 영향을 사전에 조사·분석·평가해드립니다!"

밑줄 친 두 문구를 합치면 위와 같은 말을 도출해낼 수 있습니다. 개인정보 영향평가가 우리 국민들, 고객들에게 하는 말인 셈이죠.

 

'혹시 내 개인정보가 여기저기 유출되는 건 아닐까?', '누군가가 내 거주지와 주민등록번호를 알고 있진 않을까?', ······. 빅데이터 시대에서 한 번쯤 해보게 되는 의심들입니다.

만약 정보화 사업 주체, 즉 고객 개인정보를 활용하는 기업 및 기관이 충실히 개인정보 영향평가를 받고, 그 결과가 민간에 공개된다면 어떨까요? 일반 국민 입장에선 좀 더 안심하고 내 개인정보 활용에 동의할 수 있지 않을까요?

ㅣ개인정보 영향평가, 누가 언제 어떤 심사를 받을까

 

개인정보 영향평가 대상은 두 경우입니다. 첫째, 개인정보를 취급하는 시스템의 신규 구축 사업. 둘째, 개인정보를 취급하는 기존 시스템을 변경하는 사업. 이 둘에 해당하는 기업 및 기관은 시스템 구축 전 단계, 또는 설계 단계에서 평가를 받을 수 있습니다.

심사는 PIA 전문 인력으로 구성된 기관에서 받을 수 있는데요. 특히 공공기관은 반드시 행정안전부 장관 지정 기관에 평가 의뢰를 해야 합니다. 해당 기관의 목록은 개인정보보호 종합포털에서 확인할 수 있습니다. (바로가기)

평가 영역은 ①대상 기관의 개인정보 보호 관리 체계, ②대상 시스템의 개인정보 보호 관리 체계, ③개인정보 처리 단계별 보호, ④특정 IT 기술 활용 시 개인 정보 보호, 이렇게 4개입니다. 각 부문별로 세부적인 평가 항목들이 구성돼 있는데요. ①의 경우만 살짝 살펴보죠. 

평가 영역	평가 분야	세부 분야
대상 기관의 개인정보 보호 관리 체계	1. 대상 기관 개인정보 보호 조직	개인정보 보호 책임자의 지정
		개인정보 취급자의 지정
	2. 개인정보 보호 계획	개인정보 보호 계획 수립
		개인정보 보호 교육 계획 수립
	3. 개인정보 처리 방침	개인정보 처리 방침의 수립
	4. 개인정보 파일 관리	개인정보 파일 관리
		이용·제공 대장 관리
		개인정보 파일 파기 사실 관리
	5. 개인정보 위탁 및 제공 시 안전 조치	개인정보 위탁 시 안전 조치
		개인정보 연계·제공 시 안전 조치
	6. 개인정보 침해 대응	침해 사고 처리 절차
	7. 정보 주체 권익 보호	정보 주체 권익 보호
	8. 개인정보 처리 구역 보호	보호 구역 지정
		개인정보 처리 구역 통제

출처: 행정안전부 개인정보보호과 『개인정보 영향평가에 관한 고시 및 해설서』 (바로가기) 
※ 해당 링크 클릭 후 첨부 파일(*.hwp)을 내려받으시면 개인정보 영향평가 전 항목의 세부 분야를 확인하실 수 있습니다.

 

 

위와 같은 디테일 검증 후에는 '영향평가서'라는 문서로 결과가 기록됩니다. 평가 내용 및 개선 과제가 담긴 기록물이죠. 이를 근거로 PIA 전문 기관은 추후 평가 대상 기업·기관의 개선 과제 이행을 점검할 수 있습니다. 앞서 공공기관은 행정안전부 장관 지정 기관을 통해 PIA를 수행한다고 말씀드렸죠? 공공기관의 장은 PIA 기관에게서 '영향평가서'를 받은 뒤 1년 내로 행정안전부 장관에게 제출해야 합니다.

 

내 동의 없이 그 누구도 잠금 해제하면 안 되는 개인정보. 공공 차원의 철저한 철통 보안이 보장된다면 더욱 안심할 수 있겠죠?

  
이번 시간에는 개인정보 영향평가(PIA)에 대해 살펴보았습니다. 공공 차원의 체계적인 보안 관리를 통해, 국민 모두의 개인정보가 사고 없이 보호되기를 바랍니다. 행정안전부의 『개인정보 영향평가 수행 안내서』(바로가기) PIA 업무에 대한 상세 정보가 담겨 있으니 참고하셔도 좋을 듯합니다.