지능정보화 기술의 발전에 따라 빅데이터, 사물인터넷 분야에서 개인정보 보호 이슈가 제기되고 있습니다. 이처럼, 세계는 다양한 개인정보 보호 이슈의 등장과 함께 EU 일반 개인정보 보호 규정(GDPR)의 채택에 따른 변화를 주목하고 있다고 이전 글에서도 설명드렸는데요.
2016년, 개인정보 유출 사고에 대한 책임에 대해서 방송통신위원회가 44억 8천만 원이라는 역대 최고 과징금을 부과했습니다. 지금까지 개인정보 유출이나 오•남용은 언제, 어떻게 누구에 의해서 발생했는지 알기도 어려웠는데요. 특히, 정보주체는 손해배상을 받기가 더 어려웠으나, 2016년 7월부터 손쉽게 피해를 구제받을 수 있도록, 법정손해배상제도 및 징벌적 손해배상제도가 본격 시행되었습니다.
공공기관의 개인정보 침해 예방을 위해, <개인정보 보호법> 제33조 제1항에 따라 개인정보 영향평가 수행은 의무화되어 있습니다. 개인정보 영향평가란 공공기관이 개인정보파일 운용 시 개인정보 침해가 우려되는 위험요인을 분석하고 개선함으로써 침해 사고를 사전에 방지하기 위해 마련된 평가제도입니다.
개인정보 보호호법 제33조(개인정보 영향평가)
① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보 주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 행정안전부 장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부 장관이 지정하는 기관(이하 “평가기관”이라 한다) 중에서 의뢰하여야 한다.
개인정보 영향평가는 개인정보 침해 사고가 발생하면, 법정에서 법인•개인의 관리적 책임을 다했다고 입증하기 위한 수단이 될 수 있고, 영향평가를 통해 고유식별정보(주민등록번호를 제외)의 내부망 암호화 예외 처리 등 각 법인•개인이 처한 상황에 따른 적용이 가능합니다.
개인정보 보호법 제74조(양벌 규정)
① 업무에 관하여 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만원 이하의 벌금에 처한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.
안전성확보조치기준
개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
상당한 주의와 감독에는 개인정보 영향평가수행, 안전성 확보조치, 내부관리계획 수립 후 이행, 이행점검 등이 포함됩니다. 그 중 이번에는 개인정보 영향평가에 대해서 조금 더 자세히 알아보려고 하는데요. 이번 글에서는 개인정보 영향평가(PIA)에 대한 개념•대상 및 단계별 수행절차 중심으로 설명하고, 다음 글에서는 개인정보 영향평가항목에 대해 살펴보겠습니다.
개인정보 영향평가(Privacy Impact Assessment)는 왜 필요할까?
개인 정보 파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리 시스템의 중대한 변경 시, 시스템의 구축•운영•변경 등이 개인정보에 미치는 영향(impact)을 사전에 조사•예측•검토해야 합니다.
이와 같이 개인정보 처리가 수반되는 사업을 추진 시, 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 사업을 수행할 때, 개인정보 침해사고를 사전에 예방하고자 하는데 목적이 있습니다.
평가 대상
일정규모 이상의 전자적으로 처리하는 개인정보파일을 구축, 운영 또는 변경하려는 공공기관이나 개인정보파일 운영 시 개인정보 침해가 우려 되는 위험요인을 분석•개선함으로써 침해사고를 사전에 방지하고자 하는 민간에서는 개인정보 보호법 제33조 및 개인정보 보호법 시행령 제35조에 근거하여 영향평가를 수행해야 하거나 수행할 수 있습니다.
영향평가 수행 대상(개인정보 보호법 시행령 제35조)
– 5만 명 이상의 민감 정보 또는 고유식별정보가 포함된 개인정보파일
– 내부 또는 외부 개인정보파일과 연계 결과 50만 명 이상의 개인정보가 포함된 개인정보파일
– 100만 명 이상의 개인정보가 포함된 개인정보파일
– 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하는 경우, 변경된 부분
그럼 평가 시기 및 절차는 어떻게 될까요?
영향평가는 사전준비, 수행, 이행의 3단계로 구성된다고 말씀드린 바 있습니다. 단계별 세부 수행 내용을 살펴보도록 하겠습니다.
1단계) 영향평가 사전준비단계
구축 또는 변경하고자 하는 정보시스템에 대해서 영향평가 필요성을 검토하고, 예산을 확보하기 위한 사업계획서를 작성한 뒤 영향평가 기관을 선정하게 됩니다. 사업 발주 시 유의 사항은 시스템 구축 사업의 일부분으로써 영향평가를 포함하여 발주할 경우, 영향평가의 독립성을 심각하게 저해할 수 있으므로, 구축사업과 분리하여 별도의 사업으로 발주하는 것이 필요합니다.
이 단계에서 SI 전문 회사인 LG CNS는 검증된 방법론과 Quick 점검 체크리스트를 보유•적용하여,제안 요청서 단계에서부터 적극적으로 활용할 수 있습니다. 또한, 공공기관은 행정안전부 장관이 지정한 평가기관에 영향평가를 의뢰해야 합니다. 2017년 8월 기준으로 LG CNS를 포함하여 18개 평가기관이 있고 개인정보 보호 종합포털(www.privacy.go.kr)에서 평가기관 목록 확인이 가능합니다.
2단계) 영향평가 수행단계
이 단계에서는 평가기관이 개인정보 침해요인을 분석하고 개선계획을 수립하여 영향평가서를 작성해야 합니다.
평가수행 계획이 수립되면 평가팀을 구성하게 되는데 대상기관 사업관리 담당자의 협조 하에 개인정보 보호 담당자, 유관부서 담당자, 외부 전문가 등이 참여하게 됩니다. 위탁 개발•관리되고 있는 시스템의 경우에는 실제 업무 담당자와 사업 담당자가 다르므로 현업 업무 담당자와 시스템 개발부서는 반드시 참여시키는 것이 좋습니다.
다음으로 대상사업 및 관련 기관 내•외부 정책환경 분석을 위한 자료를 수집하게 됩니다. 개인정보 보호 관련 법규는 기본이며, 상위기관의 지침과 해당 기관 내부 규정 현황을 파악해야 합니다. 그리고 평가대상 사업 추진 근거 법률 및 법령에 대해서는 상세한 분석이 필요합니다.
다음은 대상 사업에서 처리되는 개인정보 흐름에 대한 파악을 위해 정보시스템 내 개인정보 흐름 분석이 필요합니다. ①개인정보 처리업무 분석(개인정보 영향도 등급표, 개인정보 처리 업무표 및 업무흐름도 작성), ②개인정보 처리 업무표를 기반으로 개인정보 흐름표 작성, ③개인정보 흐름표를 기반으로 개인정보 흐름도 작성, ④ 기관 내 네트워크 및 보안시스템 구조 등을 분석하여 정보시스템 구조도를 작성하고, 개인정보의 흐름에 따른 개인정보 조치사항 및 계획 등을 파악합니다.
개인정보 침해 위험성 도출을 위한 개인정보 침해요인 분석을 위한 평가항목은 4개 평가영역 25개 평가 분야에 대하여 총 78개의 지표로 구성되고 평가항목은 침해사고 사례, 법 제도의 변화, 대상 기관 및 대상 사업의 특성 등에 따라 추가•삭제•변경 등 탄력적으로 구성하여 사용할 수 있습니다.
특히 “V.특정 IT기술”영역에 명시되지 않은 특화된 IT기술을 적용하는 경우에는 해당기술이 개인정보에 미치는 영향에 대한 평가 항목을 개발하여 영향평가 시 반영해야 합니다. 추가 영향평가 항목을 개발하고 평가할 수 있는 것이 평가기관의 역량으로 간주할 수 있을 것입니다.
LG CNS는 그룹사에서 수행하는 다양한 사업영역과 특화 기술이 적용된 상품•서비스에 적용하고, 검증된 평가 항목을 보유하고 있으며 적용할 수 있습니다. 특히, IoT 영역은 강점이 있다고 볼 수 있습니다.
단, 대상기관 개인정보 보호 관리체계 평가영역은 1년 이내에 수행된 이전 영향평가를 통해 먼저 평가를 수행한 경우 대상기관과의 협의를 거쳐 제외 가능합니다. 대상 사업의 특성에 맞게 작성된 평가항목을 바탕으로 자료검토, 시스템 점검, 현장실사, 인터뷰 등을 통해 개인정보 보호 조치사항을 파악하여 분석합니다.
평가항목별 평가는 상세한 근거와 함께 평가(부분이행, 미이행, 이행, 해당 없음)한 후, 상세한 사유 및 증거 자료를 같이 제시합니다.
분석 및 보호 조치 현황에 대한 평가결과를 기반으로 개인정보 침해요인을 분석하고, 침해요인은 유사 침해사고 사례, 업무특성 등을 반영하여 작성합니다. 특히, 법률 위반사항에 대해서는 별도로 표기하는 것이 필요합니다. (법적 의무사항은 필수적으로 조치 필요)
도출된 침해요인은 모두 개선하는 것이 원칙이나, 기관 내 자원이 부족한 경우 위험도 분석 결과에 따라 개선사항의 우선순위를 정하여 선택적 조치가 가동하도록 개인정보 영향도, 침해요인 발생 가능성 및 법적 준거성 고려해서 위험도를 산정합니다.
개인정보 침해 위험 위험도 산정예시
위험도 = 개인정보 영향도 + (침해 요인 발생 가능성 X 법적 준거성) X 2
식별된 침해 요인별 위험도를 측정하고 검토한 후, 위험요소를 제거하거나 최소화하려는 개선 방안을 도출하고 대상기관 내 보안 조치현황, 예산, 인력, 사업 일정 등을 고려하여 개선 계획을 수립합니다. 그리고 개선 계획 수립 시에는 위험도가 높은 순서, 법적•의무 사항은 빠른 시일 내에 모두 개선될 수 있도록 개선 계획표를 작성하는 것이 필요합니다.
마지막으로 영향평가 추진 경과 및 중간산출물 등의 내용을 정리하고 도출된 위험요소 및 개선계획 등 최종산출물들을 모두 취합하여 영향평가서를 작성하고, 최종적으로 검토 또는 승인할 수 있는 조직 내 최고 의사결정권자에게 보고합니다.
완료된 영향평가서는 해당 개인정보파일을 구축•운용하기 전에 행정안전부장관에게 제출하고, 기존에 운용 중이던 개인 정보 파일인 경우 영향평가 사업 완료 후 2개월 이내에 행정안전부 장관에게 제출해야 합니다. 1
「개인정보 영향평가에 관한 고시」에 따라 제5조에 따라 영향평가 수인 인력을 일반수행인력과 고급수행인력으로 구분할 수 있으나 전문인력 인증서를 받은 경우에만 영향평가 수행 가능하니, 투입인력의 영향평가 인증서를 확인해야 합니다.
3단계) 이행단계
개인정보 침해요인에 대한 조치내역을 확인하는 단계로 시스템 구축이나 변경사업의 경우에는 테스트 단계에서 침해 요인별 조치가 적절하게 수행되었는지 점검합니다. 일반적으로 영향평가 종료 후 영향평가 기관 사업 담당자가 사후 관리의 목적으로 개선 계획에 대한 이행 여부의 점검을 하지만, 대상기관 사업 주관부서 사업담당자가 직접 점검할 수 있고, 감리를 시행할 경우 감리 과정에 해당 내용을 포함시켜 조치여부를 확인•점검 가능합니다.
영향평가서를 제출받은 공공기관의 장은 개선사항으로 지적된 부분에 대한 이행 현황을 영향평가서를 제출받은 날로부터 1년 이내에 행정안전부 장관에게 제출하도록 하며, 이행점검 결과 미흡한 부분은 원인 등을 분석하여 계획대로 이행될 수 있도록 조치방안을 마련해야 합니다.
마치며
지금까지 간략하게 개인정보 영향평가 정의와 수행 절차 중심으로 알아보았습니다.
공공기관이 개인정보 파일 운영 시 개인정보 침해가 우려되는 위험요인을 분석•개선함으로써, 침해사고를 사전에 방지하기 위한 제도로 시작했으나, 앞으로는 개인정보 영향평가를 공공과 민간영역을 망라한 의무화 범위를 확대하고, 프로세스 운영 위주의 영향평가에서 개인정보를 처리하는 제품이나 서비스까지 확장해야 합니다. 또한, 개인정보 영향평가의 기준도 변경 중인 국제표준에 근거하여 개선 및 효율화해야 합니다.
그러기 위해서는 현재의 영향 평가 기관(18개 기관) 및 전문인력(16년 말 기준 1,027명)도 지속적으로 확대•육성해야 할 것입니다.
다음 글에서는 개인정보 영향평가 항목과 평가 수행 방법 중심으로 이야기해 보도록 하겠습니다.
[참고] 관련 법규 및 참고 자료
-개인정보 보호법 제33조(개인정보 영향평가)
-개인정보 보호법 시행령 제35조(개인정보 영향평가의 대상),
-개인정보 영향평가에 관한 고시 (행정안전부 고시 제2017-9호, 2017.9.25)
-2017년 개인정보 보호 연차보고서 (개인정보 보호 위원회)
글 | LG CNS 보안컨설팅팀