“수행절차와 사업관리방안 정확히 숙지해 성과 도출해야”

[보안뉴스=김두현 NIA 개인정보보호사업부장] 공공기관은 의무화된 개인정보 영향평가의 효율적인 수행을 위해 수행절차 및 세부절차별 관리방안에 대한 충분한 이해와 체계적인 추진이 요구된다.

개인정보 영향평가 제도의 도입
‘개인정보 영향평가’는 ‘개인정보보호법’ 제정·시행(2011년)에 따라 공공기관에서 의무적으로 준수해야 할 조치사항이다.

개인정보 파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보처리시스템의 중대한 변경 시 개인정보에 미치는 영향(Impact)에 대하여 사전에 조사·예측·검토해 개선방안을 도출하는 과정을 개인정보 영향평가라고 한다.
즉, 정보시스템을 구축 또는 변경 시 분석·설계 단계에서 정보주체의 개인정보에 미치는 중대한 영향을 사전에 평가하고 그 위험요인을 제거하거나 최소화할 수 있는 방안을 모색하는 과정이다.

우리나라에서 개인정보 영향평가가 처음으로 실시된 것은 2005년으로, 이름, 주민등록번호, 주소, 과금정보 등 민감한 개인정보를 취급하는 민간 이동통신사의 대리점, 판매점 등을 대상으로 이루어졌다.

2007년부터는 공공부문에서도 영향평가가 실시됐으며, 외교부의 전자여권, 교육부의 NEIS 등 49개의 정보시스템이 시범 평가됐다. 영향평가가 법적으로 의무화된 2011년 9월말 이후부터 2012년 말까지 80여건 이상의 평가가 진행 중이거나 완료됐다. 제도 도입 초기 별도의 예산을 확보하기 어려운 상황에도 불구하고 법적 의무를 준수하기 위해 공공기관들이 활발하게 노력 중이다.

영향평가는 구축·운용·변경하려는 개인정보파일의 규모와 처리하는 개인정보의 유형, 다른 개인정보 파일과의 연계에 따라 평가대상 여부가 결정되며, 영향평가를 받은 후에라도 개인정보파일의 운용체계가 변경되는 경우 영향평가의 대상이 된다.

영향평가 실시 시기는 새로운 정보시스템을 구축하거나 기존 시스템의 변경 및 서비스 운용에 위험이 발생할 경우 추진해야 한다. 구체적으로 본격적인 정보화사업 추진 이전에 영향평가를 수행해야 하는데 정보시스템의 구축 전 정보시스템을 분석하거나 설계하는 단계에서 실시하도록 했다.

다만, ‘개인정보보호법 시행령’ 시행 당시 개인정보파일을 운용하고 있거나 운용할 목적으로 개인정보파일을 구축하고 있는 공공기관은 시행령 시행일부터 5년 이내인 2016년 9월 29일까지 영향평가를 실시하고 그 결과를 안전행정부장관에게 제출하면 된다.

개인정보 영향평가 수행절차
개인정보 영향평가 제도의 주요 사항인 영향평가 세부기준 및 절차, 평가항목, 그 외 필요한 사항 등은 ‘개인정보보호법’, ‘개인정보보호법 시행령’, ‘개인정보보호법 시행규칙’, ‘개인정보 영향평가에 관한 고시’를 통해 상세하게 규정하고 있다. 특히 ‘개인정보 영향평가 수행안내서’를 개발하여 각급 공공기관이 개인정보 영향평가를 보다 쉽게 이해하도록 일반적인 개념에서부터 언제·어떻게 영향평가를 수행해야 하는지 등 영향평가의 세부적 내용을 기술하고 있다.

영향평가의 수행은 안전행정부에서 지정한 영향평가기관을 통해 실시하도록 했으며, 공공기관에서 자율적으로 수행할 경우에는 자체적으로 영향평가팀을 구성하여 수행할 수 있도록 했다. 영향평가기관에 의해 의뢰하여 수행된 영향평가 보고서는 공공기관장의 승인을 득하여 영향평가 사업종료 후 2개월 이내에 안전행정부장관에게 제출해야 한다.

안전행정부는 제출받은 영향평가 결과에 대해 의견이 있을 때에는 개인정보보호위원회의 심의·의결을 거쳐 해당 공공기관에 의견을 제시할 수 있다. 영향평가의 절차는 사전준비단계, 수행단계, 이행단계 등 3단계로 구분된다. 영향평가를 수행해야 하는지에 대한 검토를 거쳐 평가대상으로 선정된 정보시스템의 개인정보 수집부터 파기까지의 처리흐름을 분석하여 발생 가능한 침해요인과 위험요소별 보완대책을 마련하여 개선계획을 수립하는 단계로 진행된다.

먼저 사전준비단계는 영향평가의 필요성을 검토하고 그 결과에 따라 사업계획서를 작성하고, 안전행정부에서 지정한 영향평가기관 중 제안요청사항을 충족하는 기관을 선정하는 과정을 포함한다. 수행단계는 선정된 영향평가기관이 평가대상 개인정보 처리시스템에 대한 개인정보 침해요인을 분석해 개선계획을 마련하는 과정이다.

평가대상 업무의 개인정보 흐름에 따른 개인정보보호 조치사항 및 계획 등을 파악해 개인정보 침해 위험성을 분석·도출하고, 개인정보 처리업무 중요도, 침해요인 발생가능성, 법적 준거성 등을 조합해 위험도를 산정해 개선사항의 우선순위를 정한다. 개인정보 침해요인별 위험도 분석에 기반해 위험요소를 제거하거나 최소화하기 위한 개선방안과 이를 기반으로 한 개선계획을 수립해 최종 영향평가 보고서를 작성하면 된다.

마지막으로 이행단계는 개인정보 침해요인에 대한 개선계획의 조치내역을 확인·점검하는 과정으로 영향평가기관이 직접 수행하거나, 공공기관의 사업주관부서 담당자가 수행하거나 시스템 구축과정 중감리단계에서 감리기관이 조치여부를 점검할 수 있다.
   
    ▲ 개인정보 영향평가 수행절차

개인정보 영향평가 사업관리 방법
개인정보 영향평가를 수행해야 하는 공공기관에서의 사업관리는 영향평가 수행절차와 연계되어 이루어질 수밖에 없다. 영향평가가 사전준비단계, 수행단계, 이행단계 등의 단계로 진행됨에 따라 사업관리도 각 단계별로 수행돼야 한다.

먼저 사전분석단계는 개인정보 영향평가의 필요성을 판단하고, 효율적인 영향평가 사업추진의 기반을 마련하는 단계이다. 이 사전 준비단계에서의 사업관리 방식은 영향평가를 발주하는 공공기관에서 대부분 처리해야 한다. 영향평가를 본격적으로 시행하기에 앞서 ‘영향평가 필요성 검토 질문서’ 등을 활용해 영향평가 추진의 필요성 검토가 요구된다.

그리고 영향평가 자율수행 프로그램(www.pia.go.kr)을 활용한 ‘사전 모의 영향평가’ 수행으로 정보화사업 추진과정에서 개인정보의 신규 수집·이용·연계 또는 처리절차상 변경 등의 발생 여부를 파악할 수도 있다. 이러한 과정을 거쳐 나타난 결과와 영향평가 수행 시 활용할 수 있는 자원(예산, 인력, 기간, 사업수행부서·개발자 등 주요 이해관계자 등) 등을 고려하여 사업계획서를 수립해야 한다.

사업계획서 수립 이후 해당 공공기관의 영향평가를 수행할 평가기관을 선정하기 위해서는 영향평가기관 선정 제안요청서를 작성한 후 사업을 발주하여 제안서 평가결과에 따라 평가기관을 선정하면 된다.

다만, 영향평가 사업계획서 수립 및 영향평가기관 선정시 영향평가 사업의 독립성 확보를 위해 정보시스템 구축사업과 별도의 사업으로 분리 발주해 영향평가 사업을 진행하도록 권장하고 있다.

둘째, 수행단계는 영향평가가 본격적으로 이루어지는 단계로서, 평가수행계획서 확정, 평가자료의 수집, 개인정보 흐름분석, 개인정보 침해요인 분석의 과정이 진행된다. 이러한 과정을 통해 평가를 수행해 개선계획의 수립 및 영향평가 보고서를 작성하는 단계이다. 이 단계에서의 사업관리는 대부분 세부과정별 산출물에 대한 적절성을 검토하고 확정하는 업무로 이루어져 있다.

영향평가기관이 선정된 경우 평가기관이 수립한 영향평가 수행계획서를 검토·확정해야 하며, 영향평가팀 구성 및 운영계획서를 검토·확정하는 것도 사업을 발주한 공공기관에서 수행해야 할 역할이다. 이 때 공공기관에서는 영향평가 수행계획서를 해당 기관의 개인정보보호책임자 등 내부 보고체계에 따라 보고하고 영향평가 대상사업 최종책임자의 평가수행 지시 후 평가를 실시해야 한다.

영향평가팀 구성 시에는 영향평가항목 중에 법적 규정 사항이 많으므로, 개인정보보호를 위한 법률 해석 전문가 등을 외부 자문위원으로 포함하는 방안도 검토될 수 있을 것이다. 본격적인 영향평가가 시작되어, 영향평가기관들이 평가자료를 수집 및 분석 시에는 기관 내·외부 개인정보보호 관련 규정, 조직체계, 교육자료 등 내부 정책자료, 외부 정책자료, 대상시스템 관련 자료 등을 누락 없이 수집·분석하도록 확인해야 한다.

영향평가기관이 평가대상 정보시스템에서 처리되는 개인정보 흐름을 확인하는 과정에서는 처리되는 개인정보 현황 및 처리내역 등을 용이하게 식별할 수 있는 ‘개인정보 흐름표’, ‘개인정보 흐름도’를 작성하도록 해야 하며, 정보시스템 내 개인정보 처리시스템 및 정보보호 시스템의 네트워크 구성과 위치를 명확하게 분석하고 있는지도 검토해야 한다.

이 과정에서는 한정된 기간 내에 효과적인 분석이 이루어질 수 있도록 담당자 인터뷰, 실사, 산출물 분석 등이 사전에 철저한 준비와 치밀한 진행 속에서 이루어질 수 있도록 유도해야 한다. 개인정보 침해요인에 대한 검토 시 공공기관의 사업발주부서(담당자)는 기관 및 개인정보 처리시스템 특성에 맞는 평가항목이 구성되어 있는지 적절성을 검토해야 하며, 이를 기반으로 평가한 결과 개인정보 침해요인의 도출과 각 요인별 위험도가 적절한지를 검토·확인해야 한다.

개선계획을 수립하고 영향평가 보고서를 작성하는 과정에서 공공기관은 개선계획이 위험도 순위대로 이루어졌는지, 위험요소를 제거하거나 최소화하는데 적절한 방안인지, 유사사례에 대한 벤치마킹 내역 등을 검토해야 하며, 특히 정보시스템 사업담당자 및 개인정보보호 담당자 등이 취해야 할 조치사항과 책임사항이 제시되어 있는지를 확인해야 한다.

최종 보고서에는 추진경과 및 산출물 등의 내용이 모두 수록되도록 해야 한다. 다만, 보고서 작성 시 이해 관계자간의 의견충돌이 있는 경우에는 의사 결정권자(기관장 등)를 토론에 참여시킴으로써 대상사업의 중단·지속 여부 및 개인정보보호 수준에 대한 합의를 도출하는 방법을 활용할 수 있다.

마지막으로 영향평가 절차 중 이행단계는 영향평가 시행을 통해 수립된 개선안의 실제 이행과 그 조치결과를 접수받아 검토하는 과정이다. 이 과정에서 공공기관은 개인정보 침해요인별 조치내역을 확인·점검하고 적절하게 수행되었는지를 파악해야 하며, 조치 완료된 경우 조직 내 의사결정권자의 검토 또는 승인을 획득해야 한다. 또한 필요시 조치내역서는 사업종료 후 기관장의 승인을 득하여 안전행정부장관에게 제출해야 한다.

개인정보 영향평가제도는 개인정보 침해 위험성을 사전에 발견하여 정보시스템의 구축, 운영에 있어 시행착오 예방 및 효과적인 대응책을 수립하는데 효과가 있는 것으로 기대하고 있다. 특히, 공공기관의 경우 행정상의 필요에 의해 민감한 개인정보를 다량으로 집적·보유하고 있는 경우가 많으므로 제도의 필요성 및 효과가 높을 것으로 예상한다.

이에 따라 공공기관에서는 개인정보 영향평가를 추진 시 그 수행절차와 사업관리방안을 정확하게 숙지하여 소기의 성과가 도출될 수 있도록 적극적인 관심과 노력이 요구된다.
[글_ 김 두 현 한국정보화진흥원 개인정보보호사업부장(duhyun@nia.or.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>