공공기관의 개인정보 보호와 안전한 처리를 돕는 ‘개인정보 영향평가'(영향평가) 제도의 실효성이 높아지고, 관련 절차도 더욱 체계화된다.
개인정보보호위원회는 10월 31일 최근 전체회의에서 의결한 ‘개인정보 영향평가에 관한 고시 개정안’을 이날부터 시행한다고 밝혔다.
영향평가는 일정 규모 이상의 개인정보 파일을 구축하거나 운용·변경하려는 공공기관이 잠재적인 개인정보 침해 위험 요인을 미리 분석하고 개선방안을 도출해 안전한 개인정보 처리 과정 설계를 유도하는 제도다.
평가 대상 기준은 △5만명 이상의 민감정보 또는 고유식별정보 처리가 수반되는 개인정보 파일 △다른 개인정보파일과 연계해 50만명 이상의 정보주체에 관한 개인정보 파일 △100만명 이상의 정보주체에 관한 개인정보 파일 등을 보유한 경우다.
개정안은 영향평가 제도의 실효성을 높이고 평가 절차를 체계화하고자 마련됐다.
먼저 ‘평가기관 지정심사위원회’를 ‘개인정보 영향평가위원회’로 명칭을 변경하고 역할을 확대한다.
영향평가위원회는 종전 평가기관의 지정 및 지정 취소뿐만 아니라, 영향평가의 품질관리 및 제도개선에 관한 사항 등도 심의할 수 있게 된다.
또 영향평가의 품질관리 및 수행역량 평가의 전문성을 높이기 위해 평가기관 지정기준에 개인정보보호법 시행령에 따른 평가기관의 업무수행 필수요건(수행실적, 인력, 설비)을 명시했다.
아울러 그동안 영향평가 대상 기관이 개선사항으로 지적된 부분에 대한 이행계획을 1년 이내에 제출하도록 했으나, 앞으로 단기적 조치가 가능한 사항은 2개월 이내에 이행 계획을 제출하도록 했다.