PIA (Privacy Impact Assessment : 개인정보영향평가)

■ PIA (개인정보영향평가)

 - 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보시스템의 중대한 변경 시 동 시스템의 구축ㆍ운영ㆍ변경이 개인 프라이버시에 미치는 영향에 대하여 사전에 조사ㆍ예측ㆍ검토하여 개선방안을 도출하는 체계적인 절차를 말한다

 - 기존 마케팅 중심의 사고로 볼 때는 우선 사업을 추진해 성과를 극대화하는 데 전력을 다하고, 만약의 경우 개인정보와 관련한 보안사고가 발생할 경우 수익을 손해배상 비용으로 지출한다는 사후 대응 개념이었다면, 개인정보영향평가는 사전 예방으로 사후 비용을 절감한다는 보다 적극적인 예방중심의 활동이라고 볼 수 있다

 

 ★ PIA의 배경

   - 정보화사회의 급속한 바전 : 행정, 교육, 의료 등 다양한 분야에서 정보의존도 및 활용성이 증가하였다

   - 새로운 유형의 개인정보 지속 생성 : RFID, 위치정보 등 특정 정보통신기술을 활용한 개인정보 지속 생성 및 이용이 증가하였다

   - 과도한 개인정보의 수집, 오남용 : 프라이버시 침해 위험 급증이 증대되었다

 

 ★ PIA의 목적

   - 개인정보 취급이 수반 사업추진에 있어 프라이버시에 미치는 영향을 사전에 분석하고, 이에 대한 개선방안을 수립한다

   - 실제 사업에 이를 반영하여 개인정보 침해사고를 사전에 예방하는 것이 목표이다

 

■ PIA의 평가 대상 및 시기, 평가 수행 주체, 체계

 

1) PIA 평가 대상

  - 공공기관은 일정규모 이상의 개인정보 파일을 운영하는 경우 '개인정보 보호법' 제33조 및 '개인정보 보호법 시행령' 제35조에 근거하여 개인정보 영향 평가 수행을 의무화하고 있다

  - 상위 법률상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집, 이용하는 기관은 개인정보 유출 및 오ㆍ남용으로 인한 사회적 피해를 막기 위해 PIA를 수행한다

 

2) PIA 시기

  - 개인정보를 수집, 이용하려는 대상기관이 본격적으로 정보화 사업을 추진하기 이전에 PIA를 수행해야 하는 의무가 있다

  - 새로운 정보시스템의 구축변경 시 침해요인 사전분석 및 개선을 위해 구축 전 분석, 설계 단계에서 실시한다(감리 단계에서 반영 정도의 적절성 확인, 유지보수 단계에서는 자체적으로 지속점검 및 감사 권장)

  - 운영 중인 개인정보 취급 시스템의 개인정보 수집, 이용 및 관리상의 중대한 침해위험 발생이 우려되는 경우 PIA를 수행해야 한다

  - 전반적인 개인정보 관리체계를 점검하여 개선하기 위한 경우에도 PIA를 수행해야 한다

 

3) 평가 수행 체계

  - 자체적 필요성에 따라 기관 내부적으로 구성하거나 외부 평가 기관을 활용한다

  - '개인정보 보호법' 시행령 제35조에 해당하는 기관의 대상사업(대상 시스템)에 대해서는 행정안전부장관이 지정한 개인정보 영향평가 기관에 의뢰하여 영향평가를 수행한 후 결과를 행정안전부장관에세 제출한다(행정안부는 개인정보보호위원회의 심의, 의결을 거쳐 해당 사업에 대한 의견을 제시)

 

4) 영향평가 절차

  - 평가계획의 수립 → 영향평가의 실시 → 평가결과의 정리