• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[개인정보영향평가-2] 대상기관의 최우선 고려사항은? 2012.04.16

200여개 대상 공공기관의 영향평가 수행전 준비절차·고려사항

현실적인 수준의 예산확보 및 독립적인 프로젝트 발주여부 중요

[연재순서]  

1. 공공기관이 선호하는 평가기관은?  

2. 대상기관이 수행전 고려해야할 사항

3. 올해 영향평가제도 추진현황 살펴보니...

4. 영향평가기관 선정시, ‘○○○’에 주목하라~

5. 개인정보영향평가 분야 올해 시장규모는?

6. 제도 정착을 위한 최우선 선결과제 

7. 결산좌담회

 

[보안뉴스 김정완] 개인정보보호법이 본격 시행되고, 개인정보 영향평가기관이 선정되면서 공공기관을 주 대상으로 하는 개인정보 영향평가제도가 탄력을 받을 것으로 보인다. 


의무 실시대상이 되는 공공기관은 올해 9월 30일까지 영향평가를 완료해야 하는데, 행정안전부에 따르면 대상 공공기관이 대략 200~300여 개가 되는 것으로 알려졌다.


본지가 조사한 바에 따르면 공공기관에서는 한국환경공단이 최초로 개인정보영향평가기관 중 하나인 씨에이에스를 선정해 영향평가를 완료했으며, 그 외 경찰청, 광명시, 서울시, 국방부, 한국장학재단 등의 공공기관들이 현재 개인정보 영향평가를 진행 중인 것으로 파악됐다.


이렇듯 현재 개인정보 영향평가를 완료했거나 진행 중인 기관도 일부 있지만, 아직 대부분의 대상기관들은 개인정보 영향평가를 받기 위해 어떤 준비가 필요한지조차 제대로 알지 못하는 상황이다.


그럼 대상기관이 영향평가를 수행하기 전에 무엇을 고려해야 하고, 어떤 준비가 이루어져야 할까? 첫 번째는 개인정보 영향평가를 의무적으로 수행해야 하는 대상기관인지를 먼저 파악하는 일이다.


법적으로 정해진 영향평가 대상요건은 △5만명 이상의 개인정보파일 신규 구축 △50만명 이상의 개인정보파일을 내외부와 연계 혹은 연동 △연평균 100만명 이상의 개인정보가 포함되는 개인정보파일의 경우 등으로 규정하고 있다.


특히, 개인정보보호법 시행 시점인 지난해 9월 30일 이후에 5만명 이상의 개인정보파일을 신규 구축한 공공기관의 경우 올해 9월 30일까지 우선적으로 영향평가를 완료해야 한다. 올해 9월 30일까지 영향평가를 받지 않는 공공기관들 역시 5년 이내, 즉 오는 2016년 9월 29일까지 영향평가를 수행해 그 결과를 행정안전부 장관에게 제출해야 한다.


대상 공공기관들이 영향평가를 받기 전 준비사항과 관련해서 평가기관들은 △개인정보보호정책·지침 수립 △시스템 규모에 따른 적정한 영향평가 예산 확보 △대상 시스템에 대한 명확한 범위 설정 △영향평가 전담 지원 인력 배정△개인정보 현황분석 등을 제시했다.


이와 관련 영향평가기관으로 선정된 한 보안업체의 관계자는 “여러 가지 준비사항 가운데서도 영향평가가 꼼꼼하게 진행될 수 있는 현실적인 수준의 예산확보가 돼 있는지가 가장 중요하다”며, “공공기관들이 비용절감만을 고려해 평가기관을 선정한다면 평가기관들 간의 출혈경쟁이 촉발될 수 있고, 이럴 경우 시행 초기부터 실효성 논란이 제기될 수 있다”고 우려했다. 


그러나 영향평가를 받아야 하고 평가기관을 선정해야 하는 대상기관의 담당자들은 더욱 고민스러울 수밖에 없다. 무엇보다 제도 시행 초기인 만큼 준비절차와 시행과정 등이 매우 복잡하다고 느낀다는 점이다. 더욱이 평가기관 선정에 있어서도 평기기관들 간의 차별성이 아직 명확히 드러나지 않았고, 예산조차 충분히 확보되지 않았기 때문에 비용 문제가 최우선 순위일 수밖에 없다는 얘기다. 


이와 관련 한 공공기관 담당자는 “담당자 입장에서는 개인정보 영향평가의 처리절차와 수행방법이 좀더 간소화되고, 예산을 절감할 수 있는 방안이 필요하다”면서 “개인정보 영향평가 합동발주나 정부투자기관을 활용한 예산지원 방안 등이 마련됐으면 한다”는 개선사항을 제시했다.


또 다른 공공기관 담당자는 “개인정보 영향평가제도가 처벌 위주의 형식적인 보안감사가 되는 규제일변도의 정책이 되서는 안된다”며, “영향평가를 수행하는 과정을 통해 해당 기관의 개인정보보호관련 업무가 개선되는 방향으로 평가지표의 목적성이 보다 분명했으면 좋겠다”고 말했다.


개인정보 영향평가를 앞둔 공공기관 담당자들의 여러 가지 고민과 관련해 평가기관의 한 관계자는 “비용이나 업체의 단순 네임밸류보다는 실제로 투입되는 인력이 얼마나 경험 많고 전문성이 있는지 세밀히 검토할 필요가 있다”며, “결과물의 품질이 투입인력의 역량에 크게 좌우될 수 있다”고 평가인력의 중요성을 강조했다.


또 다른 평가기관 관계자는 “평가기관의 동종 업무에 대한 이해도를 기반으로 업체를 선정하고 적절한 예산확보를 통해 프로젝트의 질을 높여야 한다”며, “영향평가 사업 발주시 SI 사업 등의 항목에 포함시키지 말고 독립적인 프로젝트로 발주해야 평가결과에 대한 객관성이 담보될 수 있다”고 조언했다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>