정부, 개인정보 영향평가 실효성 높인다

31일부터 적용…5만 명 이상 민감정보·고유식별정보 처리 파일 등 포함

컴퓨팅입력 :2024/10/31 16:12

정부가 공공기관에서 개인정보 침해 위험을 줄이기 위한 개정안을 실시한다. 

개인정보보호위원회는 지난 23일 전체회의에서 의결한 '개인정보 영향평가에 관한 고시 개정안'을 본격 적용한다고 31일 밝혔다.

개인정보 영향평가는 일정 규모 이상 개인정보 파일을 구축‧운용·변경하려는 공공기관이 사전에 잠재적인 개인정보 침해 위험 요인을 분석하고 개선방안을 도출해 안전한 개인정보처리 과정 설계를 유도하는 제도다.

개인정보보호위원회는 지난 23일 전체회의에서 의결한 '개인정보 영향평가에 관한 고시 개정안'을 시행한다. (사진=개인정보보호위원회)

이번 제도에 해당하는 개인정보 파일은 5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보가 처리된 파일이다. 공공기관 내부 또는 외부에서 구축‧운용하는 다른 개인정보파일과 연계해 50만 명 이상의 정보주체에 관한 개인정보 파일도 이에 해당한다. 100만 명 이상의 정보주체에 관한 개인정보 파일도 이번 제도와 관련됐다.

개인정보위는 이번 고시 개정안을 통해 평가기관 지정심사위원회를 개인정보 영향평가위원회로 확대‧개편한다. 이를 위해 평가기관 지정기준을 정비하고 영향평가 수행 및 개선사항 이행 절차를 체계화할 방침이다.

개인정보위는 평가기관 지정심사위원회를 '개인정보 영향평가위원회'로 명칭을 변경하고 역할을 확대한다. 영향평가위원회에서는 종전의 평가기관의 지정 및 지정 취소뿐만 아니라 영향평가의 품질관리 및 제도개선에 관한 사항 등도 심의한다.

또 영향평가의 품질관리 및 수행역량 평가의 전문성을 높이기 위해 평가기관 지정기준에 개인정보 보호법 시행령 상 평가기관의 업무수행 필수요건을 명시하기로 했다. 종전 평가지표였던 전문교육 인증시험 합격자 수를 '영향평가 전담조직 유무'로 변경한다.

개인정보위는 평가기관에 대한 갱신 심사 시 최초 심사 이후 기관 노력도 등을 평가하기 위해 수행실적의 질적평가 배점을 20점에서 25점으로 올리고 최신 기술 반영여부 등을 심사하는 수행방법 개선도를 평가기준에 반영한다.

관련기사

마지막으로 영향평가 수행 후 개선사항 이행 절차도 체계화된다. 이전 규정에 따르면 영향평가 대상기관이 영향평가 결과 개선사항으로 지적된 부분에 대한 이행계획 등을 1년 이내 제출해야 했다. 앞으로 단기적 조치가 가능한 사항은 2개월 내 이행결과 및 계획 등을 제출하면 된다.

개인정보위 관계자는 "개인정보 영향평가에 관한 고시 일부 개정안 시행을 통해 공공기관의 개인정보 보호에 적극 나설 것"이라고 밝혔다.