• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보영향평가, “공공은 의무화...민간은 도입의지 필요” 2011.06.21

개인정보보호연구회, 법시행 앞두고 ‘개인정보영향평가제도’ 설명


[보안뉴스 권 준] 오는 9월 30일 개인정보보호법 시행을 앞둔 상황에서 공공기관에 의무화될 것으로 관심이 집중되고 있는 ‘개인정보 영향평가제도’에 대한 윤곽이 드러나 주목된다.


행정안전부가 주최하고 한국정보화진흥원·한국인터넷진흥원·보안뉴스 공동주관으로 20일, 서울 삼성동 코엑스에서 개최된 ‘2011 개인정보보호 LOCK & 樂 페어’에서 개인정보보호연구회 위원으로 참여하고 있는 심미나 고려대학교 교수가 9월 30일부터 본격 시행예정인 개인정보보호법의 핵심이슈라 할 수 있는 개인정보 영향평가 제도에 대한 설명과 향후 도입방향에 대해 설명한 것.


개인정보보호연구회(회장 홍준형)는 지난 3월 29일 개인정보보호법 제정·공포에 따른 법 시행 후속조치를 지원하고 정책이슈 발굴 및 지침·고시제정을 위해 전문가 싱크탱크로 지난 5월 12일에 발족해 △시행령 △기본계획 △표준지침 △안전지침 △처리지침 △홍보 이상 6개 분과로 구성·운영되고 있다. 심미나 교수는 개인정보보호연구회 기본계획 분과의 위원 중 1인이다.


이날 심미나 교수는 “최근 구글의 와이파이(Wi-Fi)를 통한 불법 개인정보수집이 큰 이슈가 됐고, 이로 인해 호주와 캐나다 정부에서는 구글로 하여금 개인정보 영향평가를 강제적으로 시행하도록 조치했다”며 “이러한 개인정보 침해사례로 인해 개인정보 영향평가의 중요성이 더욱 커지고 있다”고 개인정보 영향평가의 필요성을 언급하며 강연을 시작했다.


그렇다고 국내에서 개인정보 영향평가가 개인정보보호법으로 처음으로 제기된 것은 아니다. 심미나 교수에 따르면 국내의 경우 개인정보 영향평가 제도가 점차적으로 추진돼 왔다. 지난 2005년 당시 정보통신부가 기업의 지율적인 개인정보 영향평가 가이드를 발간한 것을 시작으로, 2009년에는 공공기관의 영향평가가 수행됐다. 또한 올해는 행안부에서 개인정보 영향평가 자율수행을 위한 지원 프로그램을 개발하고 관련 사이트를 오픈하면서, 오는 9월 법안 시행으로 인해 의무화될 영향평가 작업에 대비했다고 심 교수는 설명했다.


개인정보 영향평가 제도란 개인정보의 수집·활용이 수반되는 기존 또는 신규 사업 추진 시 개인정보 오남용으로 인한 프라이버시 침해여부를 조사·예측·검토해 개선하는 제도를 의미한다. 이 제도가 의무화된 이유는 최근 개인정보의 수집 및 이용의 급격한 증가로 인해 개인정보 관련 정보 시스템 도입이 확대함에 따라 개인정보 오남용 우려가 제기된 데 따른 것이다.


현재 해외의 경우, 미국이 지난 2002년 전자정부법에 의거해 전자정부 구현시 프라이버시 영향평가를 명문화했다. 캐나다 역시 지난 2002년 5월 프라이버시 영향평가 정책을 발표해 시행하고 있는 상황이다.


우리나라는 9월부터 시행될 개인정보보호법 제33조에 따라 공공기관은 개인정보 영향평가를 의무적으로 수행하도록 했다. 준비 중인 시행령에 따르면 공공기관의 경우 5만명 이상의 개인정보 파일을 신규 구축하거나 50만명 이상의 개인정보 파일을 내외부와 연동할 때, 그리고 개인정보파일에 연평균 100만명 이상의 개인정보가 포함되는 경우 영향평가를 의무적으로 실시하도록 하는 안이 논의 중에 있다. 또한, 공공기관 외의 민간업체 등의 개인정보처리자는 영향평가를 하기 위해 적극 노력해야 한다는 안이 포함돼 있다.


이날 심미나 교수는 “개인정보 영향평가를 수행할 기관의 경우, 현재 세부적인 시행령이 확정되지 않아 단언하기는 어렵다”면서도 “국내외 관련자격을 갖춘 인원을 다수 보유하고, 관련 컨설팅경험을 다수 보유한 업체를 대상으로 평가기관의 자격기준을 부여하는 것을 검토하고 있다”고 말했다.


덧붙여 심미나 교수는 “영향평가 기준과 관련해서는 개인정보 처리기준의 적합성과 개인정보의 안전성 확보조치의 적절성을 고려해 시행령을 고시하는 것으로 알고 있다”며, “평가기준에는 대상기관의 개인정보보호 관리체계와 대상사업의 개인정보보호 관리체계, 개인정보 처리단계별 보호, 그리고 신규 IT 기술 활용시 개인정보보호 등의 영역이 포함될 것”으로 예측했다.


한편 심미나 교수는 이날 강연을 통해 “민간 기업은 비록 영향평가가 의무화되지는 않았더라도 자율적으로 개인정보 영향평가 제도를 도입하려는 적극적인 의지가 필요하다”고 강조하기도 했다.

[권 준 기자(sw@infothe.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>