검색 상세

공공기관 개인정보영향평가제도의 실효성 확보방안 연구

A Study on the Effective Evaluation of Personal Information Impact Assessment System in Public Agencies

  • 정해산 (jung, hae san, 정보보호대학원 사이버보안학과 )

초록/요약

정보사회의 발전으로 국내 2만 여개의 공공기관에서 개인정보를 이용하여 각종 공공서비스 및 공공업무를 위해 방대한 수의 개인정보를 활용하고 있는 실정이다. 이에 국가는 국민의 개인정보 침해행위에 대해 법적으로 강제화하여 개인정보가 안전하게 유지·운영될 수 있도록 개인정보보호법 및 동법 영·규칙·치침 등을 통해서 개인정보의 수집 및 이용에 따른 안전한 관리 및 보호를 위한 체계를 구축하였다. 특히, 공공기관은 행정 수행 목적으로 다량의 개인정보를 보유하고 있어, 개인정보 침해우려를 안고 있으며, 이를 해결하기 위한 관리체계로서 2011년 9월 30일부터 개인정보호법이 발효되면서 개인정보영향평가 제도가 의무화 되었다. 법과 정책에 의해 개인정보 영향평가 제도가 잘 시행되었다면, 개인정보 침해사례는 줄어들어야 함이 당연하다. 그러나 2011년 이후 개인정보 침해 및 유출 사례는 꾸준히 늘어 온 국민에게 불안을 안겨준 뼈아픈 현실 속에서 영향평가 제도의 실효성 확보방안에 대해 연구하였다. 본 논문에선 영향평가 제도와 실태를 조사하였고, 실제 영향평가 프로젝트에 참여하여 현장에서 직접 체험을 통해 문제의식을 찾고자 노력하였다. 이 제도는 개인정보를 처리하는 절차에서 법적 준거성 및 안전성 확보에 있으며, 사전 예방적 점검제도이다. 이에 따라 본 논문에서는 미국, 캐나다, 호주 등 해외에서 추진하고 있는 개인정보영향평가 제도를 살펴보고, 2018년 5월 25일부터 EU 전 지역에서 ‘개인정보보호일반법’이 발효되는 ‘GDPR’과 2017년 4월 17일 국제 개인정보영향평가 표준으로 채택된 ‘ISO/IEC 29134’를 살펴보고 국내 개인정보영향평가 체계를 5개 영역, 25개 분야, 55개 항목을 분석하여 영향평가 제도의 개선방안 5개 항을 제시 하였다. ① 평가인력에 대한 객관적 기술 검증 부재 ② 상급 관리기관의 역활 강화 ③ 개인정보영향평가 결과 공개 ④ 외부연계기관의 이해관계자 참여 ⑤ 개인정보영향평가 결과 지속적 관리 등이다. 본 논문에서 언급한 다양한 문제점들은 평가 수행자 및 참여자의 관점으로 파악한 대안 들이다. 이들 각각에 대해 다양한 이해관계자와 관련 전문가의 입장에서 평가제도에 대한 의견을 수렴하여 제도의 객관성과 실용성 확보는 향후 후속연구를 통해 개인정보영향평가 제도의 안정적 정착으로 개인정보의 침해 및 유출로 인해 국민의 불안 및 불신을 해소하는 한편, 개인정보 정보주체의 권리를 온전히 행사할 수 있도록 법과 정책이 실효성을 발휘되길 고대한다. 또한 공공기관에서 근무하는 개인정보 담당자들이 본 논문을 참조하여 법적 의무화된 개인정보영향평가 제도를 실효적으로 운영하는데 도움이 되었으면 한다.

more

초록/요약

With the development of the information society, more than 20,000 public institutions in Korea are using a large number of personal information for various public services and services. Thus, thecountry was required to legally enforce the acts of personal information violation by the people, and to collect personal information protection laws and regulations and actions for the safety of personal information. In particular, public institutions had a large amount of personal information for administrative purposes, which raised concerns about personal information violation, and since September 30, 2011, the Personal Information Act was enacted as a management system to address such information. If the privacy impact assessment system is well implemented by law and policy, it is natural that cases of privacy breaches should be reduced. However, the Commission studied how to secure the effectiveness of the impact assessment system amid the painful reality that the number of cases of personal information breaches and leaks has caused concern to the public since 2011. In this thesis, we investigated the impact assessment system and the actual situation, and tried to find a sense of problem through hands-on experience by participating in the actual impact assessment project. This system is in the process of processing personal information, securing legal compliance and safety, and is a proactive screening system. Accordingly, this thesis examines the personal information impact assessment system implemented in the U.S., Canada, Australia, and other countries, and the neun Personal Information Protection General Act beop takes effect in all regions of the EU on May 25, 2018. ① Lack of objective technical verification of assessment staff ② The role of a senior management institution shall be strengthened ③ Release of the results of a personal information impact assessment ④ Participation by outside agencies and continuous management of personal information impact assessment results. The various problems addressed in this paper are alternatives identified from the perspective of the assessor and participant. In each of these cases, the objective and practicality of the system is secured through further study by collecting opinions on the assessment system from the perspective of the various stakeholders and relevant experts. It is also hoped that personal information officers working in public institutions will be able to refer to this paper to effectively operate the legally mandated Personal Information Impact Assessment System.

more

목차

1. 서론 (Introduction) 1
2. 개인정보 영향평가 제도의 일반적 고찰 2
2.1. 의의 2
2.1.1. 개념 2
2.1.2. 도입 배경 3
2.1.3. 연혁 4
2.2. 법적 근거 4
2.2.1. 법적 정의 4
2.2.2. 일반적인 정의 8
2.2.3. 국내 개인정보영향평가 제도 9
2.3. 적용범위 및 대상 9
2.3.1. 적용범위 9
2.3.2. 대상 9
2.4. 방법 및 절차 12
2.4.1. 평가수행체계 12
2.4.2. 영향평가 전문 인력 자격기준 13
2.4.3. 평가수행절차 14
2.4.3.1. 사전준비단계 15
2.4.3.2. 영향평가 수행단계 19
2.4.3.2.1. 영향평가 수행계획 수립 19
2.4.3.2.2. 평가자료 수집 26
2.4.3.2.3. 개인정보 흐름 분석 30
2.4.3.2.4. 개인정보 침해요인 분석 39
2.4.3.2.5. 영향평가서 작성 42
2.4.3.3. 이행점검단계 44
2.5. 실제 영향평가 사례 적용 46
2.5.1. 사례 개요 46
2.5.2. 사전분석 47
2.5.3. 영향평가 수행주체 선정 47
2.5.4. 개인정보 관련 정책·법규 및 사업내용 검토 50
2.5.5. 개인정보 흐름분석 52
2.5.6. 개인정보 침해요인 분석 및 위험평가 55
2.5.7. 개선계획 수립 및 위험관리 61
2.5.8. 영향평가서 작성 61
2.6. 해외 개인정보영향평가 유사 제도 분석 63
2.6.1. 미국 63
2.6.1.1. 법적근거 63
2.6.1.2. OMB 지침 – PIA 대상 64
2.6.1.3. OMB 지침 – PIA 제외대상 65
2.6.1.4. OMB 지침 –평가항목 및 방법 65
2.6.2. 캐나다 66
2.6.2.1. 법적근거 66
2.6.2.2. PIA 평가주체 68
2.6.2.3. PIA 대상 사업 68
2.6.3. 호주 69
2.6.3.1. PIA 법적근거 69
2.6.3.2. PIA 평가주체 69
2.6.3.3. PIA 대상 사업 69
2.6.4. 유럽 70
2.6.4.1. GDPR의 개관 70
2.6.4.2. 개인정보보호영향평가 가이드 라인(DPIA) 72
2.6.5. ISO/IEC 29134 국제 표준 74
2.6.6. ITSM의 3대 구성요소 관점 75
3. 개인정보영향평가 제도 운영실태 분석 76
3.1. 실태분석 개요 76
3.1.1. 개인정보영향평가 관련 선행연구 77
3.1.2. 제도의 실효성에대한 고찰 79
3.1.3. 현행 제도의 문제점 80
4. 개인정보영향평가 제도 개선 방안 81
4.1. 평가인력에 대한 객관적 기술 검증 부재 81
4.2. 상급 관리기관의 역활 강화 82
4.3. 개인정보영향평가 결과 공개 84
4.4. 외부연계기관의 이해관계자 참여 84
4.5. 개인정보영향평가 결과 지속적 관리 85
5. 결론 (Conclusion) 86

more
반출 Meta View 목록