개인정보 영향평가에 관한 고시
[시행 2011.9.30] [행정안전부고시 제2011-39호, 2011.9.30, 제정]
행정안전부(개인정보보호과 ), 02-2100-1735
제1장 총칙
제1조(목적) 이 고시는 「개인정보 보호법 시행령」(이하 "영"이라 한다) 제38조에 따른 평가기관의 지정 및 영향평가의 절차 등에 관한 세부기준을 정함을 목적으로 한다.
제2조(용어의 정의) 이 고시에서 사용하는 용어의 정의는 다음과 같다.
1. "개인정보 영향평가(이하 "영향평가"라 한다)"란 영 제35조에 해당하는 개인정보파일의 운용에 따라 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 말한다.
2. "대상기관"이란 영 제35조에 해당하는 개인정보파일을 구축·운용, 변경 또는 연계하려는 공공기관을 말한다.
3. "평가기관"이란 공공기관의 영향평가를 수행하기 위하여 행정안전부장관이 지정한 기관을 말한다.
4. "대상시스템"이란 영 제35조에 해당하는 개인정보파일을 구축·운용, 변경 또는 연계하려는 정보시스템을 말한다.
5. "개인정보 영향평가 수행실적(이하 "영향평가 수행실적"이라 한다)"이란 영 제37조제1항제1호에 따른 영향평가 업무 및 이와 유사한 업무, 정보보호 컨설팅 업무 등을 수행한 실적을 말한다.
제2장 개인정보 영향평가기관의 지정
제3조(평가기관 지정절차) ① 평가기관의 지정절차는 별표 1과 같다.
② 행정안전부장관은 지정 신청을 할 수 있게 15일이상 지정신청공고를 하여야 한다.
③ 지정신청을 원하는 법인은 다음 각 호의 서류를 지정신청서와 함께 행정안전부장관에게 제출한다.
1. 별지 제1호서식의 개인정보 영향평가 수행실적 명세서
2. 별지 제2호서식의 개인정보 영향평가 수행실적물 관리가드
3. 별지 제3호서식의 개인정보 영향평가 수행인력의 경력 및 실적 증명서
4. 별지 제4호서식의 개인정보 영향평가 수행인력 관리카드
5. 별지 제5호서식의 개인정보 영향평가 수행능력 세부 심사자료
6. 별지 제6호서식의 개인정보 영향평가 관련 기술자산 보유목록
④ 행정안전부장관은 제3항에 따른 평가기관 지정신청을 받은 경우 지정기준의 적합여부를 심사하기 위하여 평가기관 지정심사위원회(이하 "지정심사위원회"라 한다)를 구성·운영한다.
⑤ 행정안전부장관은 현장실사와 종합심사를 통해 지정심사위원회의 심사결과를 검증하고, 영향평가 수행인력의 신원확인을 한 후 평가기관을 확정한다.
제4조(지정심사위원회의 구성 및 운영) ① 제3조에 따른 지정심사위원회는 다음 각 호의 자격을 가진 자 중에서 행정안전부장관이 위촉하는 15인 이내의 위원으로 구성한다.
1.「고등교육법」제2조제1호·제2호 또는 제5호에 따른 학교나 공인된 연구기관에서 조교수 이상의 직 또는 이에 상당하는 직에 있거나 있었던 자로 개인정보 보호 연구경력이 8년 이상인 자
2. 개인정보 보호 관련 업체, 기관 또는 단체(협회, 조합)에서 8년 이상 개인정보 보호 업무에 종사한 자
3. 그 밖에 개인정보 보호에 관한 학식과 경험이 풍부한 자
② 지정심사위원회는 영 제37조제1항에 따른 신청한 법인의 자격 및 업무수행능력 등을 검토한다.
③ 지정심사위원회의 위원 임기는 2년으로 하되, 연임할 수 있다.
④ 지정심사위원회의 회의는 필요에 따라 행정안전부장관이 소집한다.
제5조(영향평가 수행인력 자격) 영향평가 수행인력은 일반수행인력과 고급수행인력으로 구분할 수 있다.
1. 일반수행인력의 자격은 다음 각 목과 같다.
가. 영 제37조제1항제2호의 전문인력 자격을 갖춘 자
나. 한국CPO포럼이 시행하는 개인정보관리사 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 자
2. 고급수행인력의 자격은 다음 각 목과 같다.
가. 제1호의 일반수행인력의 자격을 갖춘 후 5년 이상의 영향평가 관련 경력이 있는 자
나. 관련 분야 박사학위를 취득한 후 3년 이상의 영향평가 관련 경력이 있는 자
다. 「국가기술자격법 시행규칙」 제3조에 따른 정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사 자격을 취득한 후 3년 이상의 영향평가 관련 경력이 있는 사람
제6조(영향평가 수행능력심사의 세부평가 및 지정기준) ① 평가기관의 영향평가 수행능력심사의 세부평가기준은 별표 2와 같다.
② 행정안전부장관은 영향평가 수행능력심사 세부평가기준에 따른 심사결과가 총점 75점 이상인 경우 신청한 법인을 평가기관으로 지정한다.
제7조(사후관리) ① 행정안전부장관은 평가기관이 영 제37조제1항의 평가기관 지정요건을 충족하는 지 여부와 영 제37조제6항에 따른 변경사항을 확인하기 위하여 현장실사, 관련 자료제출 요구 등을 할 수 있다.
② 평가기관은 다음 각 호를 포함한 보호대책을 별표 3과 같이 수립·시행하여야 하며, 행정안전부장관은 그에 대한 준수여부를 점검할 수 있다.
1. 영향평가 수행구역 및 설비에 대한 보호대책
2. 영향평가 수행 인력에 대한 보호대책
3. 문서 및 전산자료에 대한 보호대책
4. 일반 관리적 보호대책
제3장 개인정보 영향평가의 절차 등
제8조(평가절차) 대상기관은 사전 분석, 영향평가의 실시, 평가결과의 정리 단계로 영향평가를 수행한다.
제9조(평가영역 및 평가분야) 영 제38조제1항의 영향평가기준에 따른 평가영역은 별표 4와 같다. 다만, 대상기관이 당해 연도에 다른 정보시스템의 영향평가를 하였을 경우에는 대상기관의 개인정보 보호 관리체계에 대한 평가는 생략할 수 있다.
제10조(평가항목) ① 평가기관은 별표 4에 따라 적합한 평가항목을 선정하여 영향평가를 수행하여야 한다. 다만, 대상기관이 당해 연도에 이미 평가받은 항목은 그 변경이 없는 때에는 평가항목에서 제외된다.
② 별표 4에 명시되지 않은 특정 IT기술을 적용하는 경우에는 해당 기술이 개인정보에 미치는 영향에 대한 평가항목을 개발하여 영향평가 시 반영하여야 한다.
제11조(영향평가 수행안내서) 행정안전부장관은 영향평가에 필요한 세부기준 및 절차, 평가항목 등을 구체화하는 "영향평가 수행안내서"를 마련하여 제공할 수 있다.
부칙 <제2011-39호, 2011.9.30>
제1조(시행일) 이 고시는 2011년 9월 30일 부터 시행한다.
제2조(경과조치) 이 고시 시행 후부터 2011년에 영 제35조에 해당하는 정보시스템을 구축·운용·연계·변경하려는 공공기관의 장은 고시 시행일로부터 3개월 이내에 영향평가계획을 수립하고, 2012년 9월 30일까지 영향평가를 완료하여야 한다.
[별표 1] 개인정보 영향평가기관 지정절차 (제3조 관련)
[별표 2] 개인정보 영향평가 수행능력심사 세부평가기준 (제6조 관련)
[별표 3] 개인정보 영향평가기관 보호대책의 주요 내용 (제7조 관련)
[별표 4] 개인정보 영향평가의 평가영역 및 평가분야 (제8조?제10조 관련)
[서식 1] 개인정보 영향평가 수행실적 명세서
[서식 2] 개인정보 영향평가 수행실적물 관리카드
[서식 3] 개인정보 영향평가 수행인력의 경력 및 실적 증명서
[서식 4] 개인정보 영향평가 수행인력 관리카드
[서식 5] 개인정보 영향평가 수행능력 세부 심사자료
[서식 6] 개인정보 영향평가 관련 기술자산 보유목록
[별표_1]_개인정보_영향평가기관_지정절차_(.hwp
[별표_2]_개인정보_영향평가_수행능력심사_세.hwp
[별표_3]_개인정보_영향평가기관_보호대책의_.hwp
[별표_4]_개인정보_영향평가의_평가영역_및_.hwp
[서식_1]_개인정보_영향평가_수행실적_명세서.hwp
[서식_2]_개인정보_영향평가_수행실적물_관리.hwp
[서식_3]_개인정보_영향평가_수행인력의_경력.hwp
[서식_4]_개인정보_영향평가_수행인력_관리카.hwp
[서식_5]_개인정보_영향평가_수행능력_세부_.hwp
[서식_6]_개인정보_영향평가_관련_기술자산_.hwp
개인정보 영향평가에 관한 고시.hwp