PIA

개인정보 영향평가(이하 "영향평가"라 한다)란 법 제33조제1항에 따라 공공기관의 장이 영 제35조에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 말한다.

 

대상기관이란 영 제35조에 해당하는 개인정보파일을 구축 운용, 변경 또는 연계하려는 공공기관을 말한다.

 

개인정보 영향평가기관(이하 "평가기관"이라 한다) 이란 영 제37조제1항 각 호의 요건을 모두 갖춘 법인으로서 공공기관의 영향평가를 수행하기 위하여 행정안전부장관이 지정한 기관을 말한다.

 

대상시스템이란 영 제35조에 해당하는 개인정보파일을 구축 운용, 변경 또는 연계하려는 정보시스템을 말한다.

 

개인정보 영향평가 관련 분야 수행실적(이하 "영향평가 관련 분야 수행실적"이라 한다) 이란 영 제37조제1항제1호에 따른 영향평가 업무 또는 이와 유사한 업무, 정보보호 컨설팅 업무 등을 수행한 실적을 말한다.

 

행정안전부장관은 평가기관으로 지정받으려는 자가 지정 신청을 할 수 있도록 관보 등을 통해 15일 이상 지정 신청공고를 하여야 한다.

 

행정안전부장관은 제3항에 따른 평가기관 지정신청을 받은 경우 지정기준의 적합여부를 심사하기 위하여 평가기관 지정심사위원회(이하 "지정심사위원회"라 한다)를 구성 운영한다.

 

행정안전부장관은 지정심사위원회의 심사결과를 검증한 후 평가기관 지정을 확정한다.

 

평가기관의 유효기간은 행정안전부장관이 평가기관으로 지정한 날로부터 3년으로 한다.

 

평가기관의 유효기간을 연장하고자 하는 자는 유효기간 만료일 3개월 전까지 제3조제3항에 따른 서류를 행정안전부장관에게 제출해야 한다. 

※ ISMS는 만료 6개월 전부터 만료되는 날까지 재지정 신청

 

 

지정심사위원회의 구성 및 운영

제3조에 따른 지정심사위원회는 다음 각 호의 자격을 가진 자 중에서 행정안전부장관이 위촉하는 5인 이상 15인 이내의 위원으로 구성한다.

 

지정심사위원회의 위원 임기는 3년, 연임가능

 

 

영향평가 수행인력 자격

영향평가 수행인력은 다음 각 호와 같이 일반수행인력과 고급수행인력으로 구분할 수 있다.

일반수행인력의 자격은 다음 각 목과 같다

가. 영 제37조제1항제2호의 전문인력 자격을 갖춘 사람

나. 한국CPO포럼이 시행하는 개인정보관리사 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야 수행실적이 있는 사람

 

※ 전문인력 자격 기준

1. 정보보안 기사 취득 후 1년 이상 개인정보 영향평가 관련 분야 수행 실적이 있는 사람.

2. 감리원(ISA) 자격 취득 후 1년 이상 개인정보 영향평가 관련 분야 수행 실적이 있는 사람.

3. CISA 자격 취득 후 1년 이상 개인정보 영향평가 관련 분야 수행 실적이 있는 사람.

4. CISSP 자격 취득 후 1년 이상 개인정보 영향평가 관련 분야 수행 실적이 있는 사람.

5. 정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사 자격 취득 후 1년 이상 개인정보 영향평가 관련 분야 수행 실적이 있는 사람.  

 

6. 그 밖에 행정안전부장관이 정하는 자격을 취득 후 1년 이상 개인정보 영향평가 관련 분야 수행 실적이 있는 사람.   (CPPG)

 

 

고급수행인력의 자격은 다음 각 목과 같다

가. 제1호의 일반수행인력의 자격을 갖춘 후 5년 이상의 영향평가 관련 분야 수행실적이 있는 사람

나. 관련 분야 박사학위를 취득한 후 3년 이상의 영향평가 관련 분야 수행실적이 있는 사람

다. 국가기술자격법 시행규칙 제3조에 따른 정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사 자격을 취득한 후 3년 이상의 영향평가 관련 분야 수행실적이 있는 사람 (기술사 취득후 실적 3년)

 

제1항에 따른 영향평가수행인력은 제6조제2항에 따른 전문교육을 이수하고 제6조제3항에 따른 전문인력 인증서를 받은 경우에 영향평가를 수행할 수 있다.

 

 

영향평가 전문교육의 운영 및 실시

행정안전부장관은 영향평가 전문인력 양성을 위한 세부 교육계획 수립 및 교육 운영 등의 업무를 효율적으로 추진하기 위하여 한국인터넷진흥원을 전문교육기관으로 지정한다.

 

전문교육기관의 장은 전문교육 이수자에 대한 평가를 실시하고 그 결과에 따라 개인정보 영향평가 전문인력 인증서를 교부한다.

 

전문교육기관의 장은 다음 각 호의 1에 해당되는 경우에는 제3항에 따른 전문인력 인증서를 교부받은 자에 대한 계속교육을 실시하여야 하며, 이수 여부에 따라 전문인력 인증서를 갱신하여 교부한다.

1. 인증서를 교부받은 후 매 2년이 경과한 경우 ※ ISMS 는 자격을 부여받은 날로부터 3년

2. 법령 또는 평가기준 등의 개정에 따른 변경사항이 발생하여 교육의 실시가 필요하다고 판단되는 경우

 

전문인력 인증서를 교부받은 자가 전문교육기관의 장이 정하는 기간내에 제4항의 계속교육을 이수하지 아니하여 인증서를 갱신하지 못한 경우 기존 인증서의 효력은 정지된다. 

※ 상실이 아닌 정지

 

 

평가절차

대상기관은 다음 각 호와 같이 사전 준비, 영향평가 수행, 이행 단계로 영향평가를 수행한다.

1. 사전 준비 단계에서는 (대상기관이) 영향평가 사업계획을 수립하여 예산을 확보하고 평가기관을 선정한다.

2. 영향평가 수행 단계에서는 평가기관이 개인정보 침해요인을 분석하고 개선계획을 수립하여 영향평가서를 작성한다.

3. 이행 단계에서는 영향평가서의 침해요인에 대한 개선계획이 반영되는 가를 점검한다.

                 (대상기관은 개선, 평가기관은 점검)

 

개인정보파일 구축 운용 또는 변경하고자 하는 공공기관의 장이 별표4의 필요한 사항이 반영될 수 있도록 설계완료 전에 영향평가를 수행하여야 한다.

 

 

평가기관은 별표 4에 따라 적합한 평가항목을 선정하여 영향평가를 수행하여야 한다. 다만, 대상기관이 1년 이내에 이미 평가받은 항목은 그 변경이 없는 때에는 평가항목에서 제외된다.

 

영향평가서의 제출

제38조제2항에 따라 영향평가서를 제출받은 대상기관의 장은 2개월 이내에 평가결과에 대한 내부승인 절차를 거쳐 영향평가서를 (이행계획서를) 행정안전부장관에게 제출하여야 한다.

 

영향평가 개선사항 이행

제 38조제2항에 따라 영향평가서를 제출받은 공공기관의 장은 개선사항으로 지적된 부분에 대한 이행계획 등을 별지 제8호서식에 따라 영향평가서를 제출받은 날로부터 1년 이내에 행정안전부장관에게 제출하여야 한다.

 

 

개인정보영향평가 시기

 

 

 

개인정보 영향평가 수행절차

 

 

 

개인정보영향평가 평가 대상