윤여진 과장 “개인정보 영향평가 수행시 예산 확보, 잦은 담당자 변경 등의 어려움 호소”
2024년 3월 15일부터 개인정보 영향평가 미수행시 3천만원 이하 과태료 부과
[보안뉴스 김경애 기자] 2023년 9월 15일부터 시행된 개정 개인정보보호법의 신설 제도인 개인정보 영향평가 요약본 공개에 대한 관심이 커지고 있다. 공공기관의 경우 컴플라이언스 준수를 위한 의무대상 여부에 관심이 높고, 의무 대상이 아닌 경우 자발적인 개인정보 영향평가 수행 시 과징금 최대 30%, 과태료 10% 이내에서 추가 감경을 받을 수 있는 혜택이 있기 때문이다.
▲개인정보보호위원회 개인정보정책국 자율보호정책과 김현정 사무관(좌), 윤여진 과장(가운데), 이명진 서기관(우)[사진=보안뉴스]
개인정보 영향평가 제도는 개인정보 파일의 운용·변경으로 인해 정보주체의 개인정보 침해가 우려되는 경우 위험 요인의 분석 및 개선사항 도출을 위해 다양한 항목을 평가하는 제도다. 개인정보 영향평가 제도의 주요 개정내용은 개인정보 영향평가 미수행시 과태료 부과 규정 신설, 영향평가 전문인력 자격기준, 영향평가 요약본 공개 제도 도입이다.
의무대상은 100만명 이상의 정보주체에 관한 개인정보파일, 내외부 시스템과 연계결과, 50만명 이상의 정보주체에 관한 개인정보파일, 민감정보 또는 고유식별정보 포함 시 5만명 이상의 정보주체에 관한 개인정보 파일을 보유할 경우에 해당된다.
이에 <보안뉴스>는 새롭게 도입된 개인정보 영향평가 요약본 공개 제도 시행 등과 관련해 개인정보보호위원회 개인정보정책국 자율보호정책과 윤여진 과장, 이명진 서기관, 김현정 사무관과의 인터뷰를 통해 제도 소개와 함께 제도 시행 이후 공공기관의 반응, 주요 개선사항 등에 대해 들어봤다.
Q. 개인정보 영향평가와 관련해 새로 시행된 개인정보 영향평가 요약본 공개 제도에 대한 설명 부탁드립니다.
윤여진 과장:개인정보 영향평가는 공공기관이 개인정보 파일 구축·운용 시 개인정보 침해 위험 요인은 없는지 분석·평가하고, 개선사항을 도출해 개인정보 침해를 사전에 예방·운영하는 제도로 2011년부터 운영해오고 있습니다. 현재 일정 규모 이상의 개인정보 파일을 운용하고 있는 공공기관이 개인정보 영향평가 수행 의무대상인데요. 공공기관 외에 개인정보처리자에게는 영향평가 수행을 권장하고 있습니다.
지난해 9월 15일부터 시행된 개인정보 영향평가 요약본 공개 제도는 공공기관의 개인정보 처리에 대한 투명성을 높이고, 정보주체의 알권리 보장을 위해 공공기관이 수행한 영향평가 결과를 요약한 내용을 공개하는 제도입니다.
Q. 개인정보 영향평가 요약본 공개 제도 시행 이후 공공기관에서 어떤 문의가 가장 많았나요?
이명진 서기관 : 제도 시행 초기 단계라 요약본 공개 대상에 대한 문의가 가장 많습니다. 개인정보 영향평가를 수행한 공공기관은 영향평가서 요약본 공개가 원칙이나 정보공개법에 따라 비공개 대상 정보의 경우 해당 공공기관이 자체적으로 판단해 공개 여부를 결정하도록 안내하고 있습니다.
Q. 개인정보 영향평가와 요약본 공개 제도 시행 이후 공공기관 및 기업의 반응은 어떤가요?
김현정 사무관 : 개인정보보호법 상 일정 규모 이상의 개인정보 파일을 운용하는 공공기관은 영향평가 수행이 의무화입니다. 민간기업은 의무 대상이 아닌 만큼 제도에 대해 설명하면서 개인정보 영향평가 수행을 권장하고 있는데요. 일부 기업의 경우는 개인정보 침해 위험요인을 점검하기 위해 자체적으로 영향평가를 수행하는 걸로 알고 있습니다. 자발적인 영향평가 수행 기업의 경우 과징금(최대 30%), 과태료(10% 이내)의 추가 감경이 될 수 있어 영향평가에 대한 관심이 높아질 것으로 기대하고 있습니다.
Q. 실무자가 개인정보 영향평가 수행시 어려워하는 점과 간과하는 점은 무엇인가요?
윤여진 과장 : 각 기관의 개인정보 영향평가 담당 실무자가 영향평가 수행 시 어려워하는 점은 첫 번째로 예산 확보입니다. 영향평가 수행을 위해서는 예산이 필요한데요. 공공기관은 시스템 구축·변경 사업 계획 단계에서 영향평가 계획을 수립하고, 이에 맞춰 예산도 편성해야 합니다. 다만 당해연도 예산을 전년도에 미리 편성하는 과정에서 갑작스러운 시스템 구축·변경에 따른 탄력적 대응이 어려워 예산을 편성하는 데 어려움이 있습니다.
두 번째는 잦은 담당자의 변경으로 인한 사업수행의 어려움입니다. 개인정보 영향평가 제도 뿐만 아니라 개인정보보호법에 대한 전반적인 지식이 없는 직원이 업무를 담당하는 경우 개인정보보호법 및 개인정보 영향평가 제도에 대한 절차나 방법을 인지하지 못해 사업 수행에 어려움을 겪습니다.
이에 개인정보위는 공공기관을 대상으로 개인정보 영향평가 수행안내서를 발간·배포하는 한편, 공공기관의 담당자를 대상으로 영향평가 수행 절차, 방법, 평가항목 등에 대한 교육을 진행하고 있습니다.
Q. 개인정보 영향평가를 통해 주로 지적되는 개선사항은 무엇인가요?
윤여진 과장 : 개인정보 영향평가는 대상 기관 및 시스템의 개인정보보호 관리체계, 개인정보 처리단계별 보호 조치, 대상 시스템의 접근 권한 관리, 접근통제, 개인정보 암호화 등 기술적 보호조치 등에 대해 평가하는데요. 그중 ‘대상 시스템의 기술적 보호조치’에 대한 부분이 주요 개선사항으로 도출되고 있습니다.
Q. 개인정보 영향평가를 준비하는 과정에서 도움이 될 만한 팁이 있을까요?
윤여진 과장 : 개인정보 영향평가 결과가 적정하게 도출되기 위해서는 시스템 및 개인정보 파일 규모에 맞는 적정한 예산 편성이 필요합니다. 적정 대가를 책정하지 않는 경우 영향평가 기관의 사업 수행 품질이 저하될 수 있기 때문입니다. 적정 대가 산정은 개인정보위가 2022년 9월에 발간한 ‘개인정보 영향평가 대가산정 가이드’와 영향평가 수행과 관련된 방법과 절차, 평가항목에 대해 구체적으로 안내한 ‘개인정보 영향평가 수행안내서’를 참고하시면 됩니다.
Q. 개인정보 영향평가 제도와 관련한 앞으로의 계획이 궁금합니다.
윤여진 과장 :2024년 3월 15일부터 개인정보 영향평가 미수행 시에는 3천만원 이하의 과태료가 부과될 수 있습니다. 이에 따라 자율보호정책과는 공공기관을 대상으로 영향평가 수행 안내를 추진할 예정입니다.
아울러 영향평가 제도의 실효성 제고를 위해 영향평가 결과 개선계획에 대한 이행점검을 실시하고, 새로 도입된 영향평가 요약본 공개 제도와 관련해 공개 여부 모니터링을 추진할 예정입니다. 이후 공공기관 보호수준 평가에도 공개 실적을 반영할 계획입니다.
다만 현행 제도상 개인정보위의 이행점검 추진과 영향평가 결과 개선계획 불이행시 제재 등에 대한 근거가 없는 상황인데요. 이 경우 서면으로 개선계획의 이행 여부를 점검한 후, 미이행 사항은 기한 내에 이행을 권고하는 방식으로 이행점검을 추진할 예정입니다. 법령 위반이 지속될 경우 조사국 이관도 검토하고 있습니다.
또한, 영향평가 수행 기관 실무자들의 이해를 돕기 위해 2020년 12월에 발간한 영향평가 수행안내서에 법 개정사항을 반영한 개정판을 다음 달 배포할 예정입니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>