감사합니다.

국내외의 개인정보 영향평가 제도에 대해서 아래와 같이 간단히 살펴 보았습니다.

​

국내외 개인정보 영향평가 제도는 2005년 한국정보보호진흥원( KISA)에서 '기업의 개인정보 영향평가 수행을

위한 가이드'를 발표하고, '2006년 이동통신사 개인정보 보호지침'이 시행되면서 시작되었다. 

​

이후, 2007년 공공부분에서의 개인정보 영향평가 의무 도입이 결정되고, 2008년 대량 고객정보 유출에 따른 

기업의 이미지 실추와 기업의 존폐 영향, 집단소송 제기 등이 이슈화되면서 개인정보 영향평가의 도입을 

민간 기업에서도 적극적으로 고려하기 시작했다. 

​

미국은 2002년에 국민에 대한 정부의 서비스와 행정기과 내부의 행정작용을 개선하고, 정부에 대한 시민들의

참여 기회를 확대하기 위하여 인터넷이나 그 박의 정보기술(IT)의 효율적인 사용을 증진시킬 목적으로

전자정부법(E-Government Act)을 제정하였다. 또한 프라이버시 영향평가를 시행함으로써 연방정부의 각 기관

들이 그러한 조치를 고려할 것을 명문으로 규정하고 2003년9월26일에는 OMB는 프라이버시 관련규정 수행을

위한 가이드라인을 발표하였다.

​

​개인정보 영향평가(PIA, Privacy impact Assessment)는 새로운 정보시스템의 도입과 개인정보의 수집에 앞서

계획하고 있는 시스템이 구축, 운영될 경우 프라이버시에 미칠 영향에 대하여 미리 조사, 예측 검토하는 체계적인

절차를 의미한다.

​

<개인정보 영향평가 수행은 다음과 같은 절차에 따라 이루어진다 >

​

1.  사전분석 단계에서는 시행 또는 변경하고자 하는 사업에 대한 영향평가의 필요성 여부를 스스로 결정한다.

​

2.  영향평가팀을 구성한다.

​

3.  개인정보 관련정책, 법규 및 사업내용을 검토한다. 

​

4.  정보흐름 분석(Data Flow Analysis)을 실시한다.  - 개인정보 자산의 종류 및 처리 단계 

​

​5.  개인정보 침해요인을 분석한다.

​

6.  개선 계획을 수립하고 위험을 관리한다. 

​

7.  영향평가 보고서를 작성하고 보고한다. 

​

8.  이행 단계이다. 

​

※  위험도산출(Risk Value)= 개인정보 자산의 민감도(Assest Value)+위협의 정도(Threats Value)

                                         +취약정의 정도(Vulnerability Value) 

​

(출처:개인정보 정보보호 현장 실무테크닉)

​

​

 ​

​

​

​

​

 ​

​

​

​

​

​

​

​

 ​

​

​

​

​

​

​

​

​

​