• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보 영향평가, 받으면 여러모로 득! 2006.01.23

정통부 “올해 영향평가 활성화 방침...평가기업 인센티브 부여”

KISA “제도 정착되면 전체적 개인정보보호 수준 업그레이드 기대”

기업의 신용도 향상과 개인정보 유출 피해 현저히 줄어들 전망


올해부터 기업의 자율적인 개인정보영향평가 제도가 본격적으로 시행될 전망이다. 지난해 정통부와 한국정보보호진흥원은 개인정보 영향평가제도의 본격 도입과 시행을 위해 개인정보영향평가 수행 지침을 마련, 설명회를 개최하고 구체적인 방법을 홈페이지에 게재한 바 있다.


개인정보 영향평가제도는 기업이 신규 시스템을 구축하는 계획단계 뿐만 아니라, 현재 운용 중인 개인정보 관리 체계에 대해서도 고객의 개인정보 침해 위험이 있는 지를 자체적으로 평가, 분석해 이에 대한 개선 방안을 도출하는 제도로 미국과 유럽 등 선진국을 중심으로 도입 실시하고 있는 제도다.


정통부 관계자는 "개인정보 영향평가제도가 기업 스스로 문제점을 인식하고 개선방안을 도출하는 것으로 정부에 의한 강제적 규제보다 효과적인 수단인 동시에 기업 규제 완화 측면에서도 기여할 수 있을 것이라고 판단한다"며 "개인정보 영향평가제도를 보다 활성화해 사업자 자율규제 수단으로 정착될 수 있는 방안을 적극 검토 중"이라고 밝혔다.


또한 "이 평가를 자율적으로 실시하고자 하는 사업자가 지원을 요청할 경우 관련 전문가를 구성해 영향평가 기준, 절차, 방법 등에 대한 적극 지원을 해줄 방침이며, 평가를 실시한 기업에 한해 개인정보 관리 실태 점검을 유예하거나 대체할 수 있도록 인센티브를 부여 하는 등 활성화 방안도 모색 중"이라고 덧붙였다.   


한국정보보호진흥원(KISA) 관계자들은 "개인정보 영향평가 수행 지침이 마련된 만큼 사업자 자율제도로 정착될 것으로 예상하고 있으며 전체적인 국민의 개인정보보호가 한층 업그레이드 될 수 있는 계기가 될 것"이라고 전망했다.


KISA 관계자는 "기업의 개인정보 영향평가 자율시행은 개인 정보 침해 위험성을 사전에 발견해 정보시스템의 구축 및 운영에 있어 시행착오를 예방하고 효과적인 대응책 수립이 가능하도록 하기 위한 것"이라며 "개인정보보호에 관해 고객의 불만 등 외부 개입 이전에 내부적으로 문제를 파악, 처리해 기업에 대한 대 고객 신뢰도를 증진시켜 궁극적인 기업 이윤에 영향을 미칠 것"이라고 강조했다.


평가대상 기관은 개인정보를 취급하는 모든 민간기업이 될 수 있으며 특히 대량의 개인정보를 수집, 이용하는 기업에 적합하다. 평가 대상이 되는 구체적인 사업범위로는 개인정보를 다량 보유, 관리하는 정보시스템의 신규 구축 사업, 신기술 또는 기존 기술의 통합으로 프라이버시 침해 가능성이 있는 기술을 사용하는 사업, 개인정보를 보유, 관리하는 기존 정보시스템을 변경하는 사업, 개인정보의 수집, 이용, 보관, 파기 등 일련의 단계에서 중대한 개인정보 침해 위험이 발생할 가능성이 있는 사업 등이다.


평가시기에 대해 KISA 관계자는 "개인정보 영향평가는 새로운 시스템을 구축하는 경우에 발생할 수 있는 개인정보 침해 요인을 사전에 분석하는 것으로, 일반적으로 시스템 구축 전단계인 사업 방향 설정 및 업무 정의 단계, 시스템 제안 단계, 시스템의 예비 설계 및 모형 설정 단계 등에서 수행된다"고 설명했다.


또한 "기존 서비스 운영 중에라도 개인정보의 수집, 이용 및 관리상에 중대한 침해 위험이 발생할 가능성이 있다면 개인정보 영향평가를 수행하는 것이 바람직하다"고 덧붙였다.


평가수행 주체는 해당 기업내 개인정보보호 전담 조직 혹은 별도의 평가팀을 구성해 수행하는 것이 일반적이다. 다만 요한 경우 관련 분야에 대한 외부 전문가의 도움을 받을 수도 있다.


영향평가를 수행하는 자의 조건은 개인정보보호 관련 법령, 지침, 시스템 개발, 분석 등에 대한 전문지식을 갖춰야 하며 개인정보관리책임자는 개인정보 영향평가 수행에 대한 총괄적인 책을 지게 된다.


평가의 절차를 살펴보면 ①사전분석 ②영향평가수행 주체의 선정 ③개인정보 관련 정책, 법규 및 사업내용 검토-정보흐름 분석 ④개인정보 침해요인 분석 및 위험평가 ⑤개선계획 수립 및 위험관리 ⑥보고서 작성 및 제출 등의 순으로 이루어진다.


개인정보 영향평가를 시행할 기업은 한국정보보호진흥원 개인정보침해신고센터에서 마련한 ┖기업의 개인정보 영향평가 수행을 위한 가이드┖를 받아보고 평가를 받기 위해서는 어떤 절차와 준비가 필요한지 문의하면 된다. (문의: 한국정보보호진흥원 개인정보보호침해센터 정상호/02-405-4711)

[길민권 기자(is21@infothe.com)]

         

 <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>