개인정보위, 개인정보 영향평가 고시 개정안 시행

개인정보보호위원회는 지난 23일 전체회의에서 의결한 '개인정보 영향평가에 관한 고시 개정안'을 31일부터 시행한다고 밝혔다.

개인정보 영향평가는 일정 규모 이상의 개인정보 파일을 구축·운용·변경하려는 공공기관이 사전에 잠재적인 개인정보 침해 위험 요인을 분석하고 개선방안을 도출해 안전한 개인정보처리 과정 설계를 유도하는 제도다.

여기에는 △5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보 처리가 수반되는 개인정보 파일 △공공기관 내부 또는 외부에서 구축△운용하는 다른 개인정보파일과 연계해 50만명 이상의 정보주체에 관한 개인정보 파일 △100만명 이상의 정보주체에 관한 개인정보 파일 등이 해당된다.

이번 고시 개정안은 개인정보 영향평가 제도의 실효성을 높이기 위해 마련됐다. 먼저, '평가기관 지정심사위원회'를 '개인정보 영향평가위원회'로 명칭을 변경하고 역할을 확대한다. 영향평가위원회에서는 종전의 평가기관의 지정 및 지정 취소뿐 아니라 영향평가의 품질관리 및 제도개선에 관한 사항 등도 심의할 수 있게 된다.

영향평가의 품질관리 및 수행역량 평가의 전문성을 높이기 위해 평가기관 지정기준에 개인정보보호법 시행령상 평가기관의 업무수행 필수요건을 명시하고, 종전 평가지표였던 '전문교육 인증시험 합격자 수'를 '영향평가 전담조직 유무'로 변경했다. 갱신(유효기간 3년) 심사 시에는 최초 심사 이후 기관 노력도 등을 평가하기 위해 수행실적의 질적평가 배점을 상향(20점 → 25점)하며, 최신기술 반영여부 등을 심사하는 수행방법의 개선도를 평가기준에 반영한다.

아울러, 영향평가 수행 후 개선사항 이행 절차를 체계화한다. 종전 규정에 따르면 영향평가 대상기관이 영향평가 결과 개선사항으로 지적된 부분에 대한 이행계획 등을 1년 이내에 제출하도록 했으나, 앞으로 단기적 조치가 가능한 사항은 2개월 이내에 이행결과 및 계획 등을 제출하도록 해 지적사항에 대한 조치가 적기에 이행될 수 있는 기반을 마련한다.

한편 이날 개인정보위는 지난해 9월 개인정보보호법 시행령에 따라 개정된 '개인정보의 안전성 확보조치 기준'의 구체적 내용과 문의사례 등을 반영한 '개인정보의 안전성 확보조치 기준 안내서'도 공개했다.

정보통신서비스 제공자와 그 외 개인정보처리자로 대상이 구분됐던 기존 안전조치 해설서 2종을 통합해 법 적용 기관들의 혼선을 줄이면서 최신 개인정보 처리환경을 반영했다. 신설된 공공시스템운영기관에 대한 안전조치 내용도 포함했다. 이날부터 개인정보위 홈페이지에서 확인할 수 있으며, 오는 12월 개최 예정인 설명회를 보다 알기 쉽게 안내할 예정이다.팽동현기자 dhp@dt.co.kr