개인정보영향평가

개인정보영향평가(PIA) 소개
(주)케이씨에이는 개인정보보호법 및 시행령, 표준지침 및 고시, 관리적, 물리적, 기술적 보호조치 기준 및 개인정보영향평가 수행가이드를 준용하고 프로세서, 방법론, 영향평가 기법과 프로세서 표준화 등 전문화된 영향평가 체계를 적용하여 개인정보영향평가를 수행합니다.
개인정보영향평가(PIA) 개요
개인정보영향평가(PIA)란?
개인정보 영향평가(PIA Privacy Impact Assessment)는 개인정보의 수집, 활용이 수반되는 개인정보파일을 구축, 운용 또는 변경하려는 경우 개인정보의 항목(수), 개인정보의 제3자 제공 여부, 정보 주체의 권리침해 가능성 및 그 위험 정도 등이 개인정보에 미칠 수 있는 중대한 영향을 사전에 조사·예측·검토하여 개인정보의 침해요인을 분석하고 그에 따른 개선사항을 도출하여 침해사고를 예방하기 위한 평가제도입니다.
개인정보영향평가 수행목적
개인정보를 취급하는 정보시스템에 대해 영향평가를 실시하여 사전에 개인정보 침해 요인을 파악하고 개선방안을 수립·적용하여 침해사고를 사전에 예방하는 것이 목적입니다.
개인정보영향평가 수행대상
공공기관에서 전자적 형태로 구축, 운영되는 개인정보파일이 아래의 기준에 해당하는 경우에 해당 기관의 장은 개인정보영향평가를 의무적으로 수행하고 그 결과를 행정자치부 장관에게 보고하여야 합니다.

개인정보영향평가 수행시기
- 개인정보를 수집·이용하려는 대상기관은 정보시스템 구축·변경 시 분석·설계 단계에서 영향평가를 수행하여야 합니다.
- 현재 운영 중인 기 구축 시스템은 2016. 9. 30 까지 영향평가 수행을 완료하여야합니다(시행령 부칙6조).

개인정보영향평가 수행체계
- 공공기관은 영향평가 대상 시스템에 대해서는 행정자치부에서 지정한 개인정보 영향평가기관에 의뢰하여 평가를 수행하고 그 결과를 행정자치부에게 제출하여야합니다.
- 행정자치부는 개인정보보호위원회의 심의·의결을 거쳐 해당 사업에 대한 의견을 제시 가능합니다.

개인정보영향평가 수행절차
개인정보 영향평가는 ‘평가계획 수립’ → ‘영향평가의 실시’ → ‘평가결과의 정리’ 3단계와 총 8개의 세부단계로 구분됩니다.

개인정보영향평가 범위 및 기준
- 행정자치부 ‘개인정보 영향평가 수행안내서’에 제시된 4개 평가영역, 16개 평가분야, 114개 평가항목을 기준으로 평가합니다.
- 대상 기관 및 대상 시스템의 특성에 따라 평가항목을 가감하여 수행할 수 있습니다.

K-PIA 개인정보 영향평가

※개인정보 처리자는 반드시 개인정보 전체 라이프사이클에 걸쳐서 법률에 근거한 관리체계 확보, 동의획득 및 공개원칙, 안전성확보조치를 하여야 합니다.
KCA 개인정보영향평가(K-PIA) 특성
진단, 평가에 더하여 개인정보처리자가 이행하여야 할 법적 준수사항에 따른 개인정보관리체계 수립 자문 및 안정성확보조치 기술자문 등의 기관의 특성에 맞는 개인정보보호 토탈 컨설팅 서비스를 제공합니다.

영향평가 계획수립
· 한국정보화진흥원 영향평가 인증 및 유사업무 영향평가 유경험자 투입
· 영향평가 품질 및 개인정보 법적 이슈에 대한 자문단 구성
· 대상기관 및 대상 시스템의 업무 특성에 맞는 맞춤형 평가영역 및 항목 구성
영향평가 시행
· 행정자치부 개인정보영향평가 수행 지침에 준거한 영향평가 실시
· 평가자료 수집 및 개인정보 흐름 분석
· 개인정보 침해요인 분석 및 위험도 산정
· 개선사항 도출 및 개선계획 수립
보고서 작성
· 행정자치부 보고서 품질관리 기준에 부합되는 보고서 작성
· 개인정보영향평가 산출물 품질 검증을 위한 기술자문단 운영
개선방안 및 후속조치 컨설팅
· 평가기간에 도출된 침해 요인 별 개선방안에 대한 기술 자문
· 개인정보보호 지침 및 개인정보 처리방침, 개인정보 내부관리계획 보완 컨설팅
· 사업종료 이후 개인정보보호 자문역할 수행
개인정보보호 교육
· 개인정보보호 담당자 대상 개인정보보호법 및 관련 지침 등 교육
· 개인정보보호를 위한 관리적, 기술적, 물리적 조치 방안 교육
· 개인정보 침해/유출 사례 교육
KCA 개인정보영향평가(K-PIA) 방법론
개인정보보호 관련 법령 및 행정자치부의 개인정보영향평가 수행절차와 당사 보안컨설팅 방법론을 기반으로 고객의 요구사항에 맞도록 개인정보영향평가를 수행하는 최적의 방법을 제시합니다.
KCA 개인정보영향평가(K-PIA) 프레임워크
대상 기관 및 사업의 개인정보보호체계와 개인정보의 처리단계별 보호조치를 평가 대상으로 영향평가 이해 - 영향평가 계획 - 영향평가 실시 - 영향평가 결과정리의 4단계로 수행됩니다.
KCA 개인정보영향평가(K-PIA) 산출물
행정자치부 개인정보영향평가 수행가이드 및 보고서 품질관리기준에 부합되는 수행단계별 산출물을 작성합니다.
단계 단계 별 수행내용 산출물 비 고
사전분석 사업수행 계획서 작성 및 제출 ·사업수행계획서 공식산출물
영향평가 필요성 검토 ·영향평가 필요성 검토 질문서 영향평가 보고서에 취합 작성
평가수행 계획 수립 ·영향평가 수행계획서
영향평가 내·외부 평가자료 수집 및 분석
개인정보 흐름분석 및 산출물 작성 ·개인정보 현황 요약표
·개인정보 취급 업무표
·개인정보 취급업무 흐름도
·개인정보 흐름표
·총괄 개인정보 흐름도
·취급업무별 개인정보 흐름도
·정보시스템 구조도
·정보보호 시스템 목록
영향평가 보고서에 취합 작성
업무 및 시스템 특성을 반영하여 영향평가 항목 확정 ·개인정보 영향평가표 영향평가 보고서에 별첨 첨부
영향평가 항목 작성 및 점검 ·개인정보 영향평가표
침해요인 분석 및 위험도 산정 ·평가항목별 침해요인 분석
·침해 요인별 위험도 산정
영향평가 보고서에 취합 작성
통제항목 및 개선방안 도출 ·침해 요인별 개선방안
결과정리 개선계획 및 영향평가 보고서 작성 ·개선과제별 개선 계획표
영향평가 보고서 고객협의, 조정 ·영향평가 보고서 초안
영향평가 결과 보고서 발표 및 제출 ·영향평가 보고서 공식산출물
업무보고 주간/월간보고서 제출 ·주간보고서
·월간보고서
이슈 및 위험관리 보고 ·이슈 및 위험관리 보고서 발생 시 작성
KCA 개인정보영향평가(K-PIA) 효과
개인정보처리자가 이행하여야 할 개인정보 처리의 법적 준거성 확보 및 효율적 관리체계 수립, 개인정보의 안전한 관리 등이 이루어집니다.