법제도/정책

개인정보 영향평가기관 지정 자격기준 마련키로

이유지 기자
- 행안부, 개인정보 영향평가 고시 제정 공청회 개최…평가기준·항목·절차도 담아

[디지털데일리 이유지기자] 오는 9월 30일 개인정보보호법 시행에 따라 공공기관에 의무화 되는 ‘개인정보 영향평가’를 담당할 평가기관이 지정된다.

행정안전부는 개인정보 영향평가 수행기관의 자격기준과 지정절차, 평가기준 등을 담은 고시 제정안을 마련하고, 11일 공청회를 통해 공개했다.

개인정보 영향평가는 개인정보파일의 운용으로 인해 정보주체의 개인정보 침해가 우려되는 경우, 그 위험요인을 분석하고 개선사항 도출해 개인정보 침해 발생을 사전에 예방할 수 있도록 한 제도다.

개인정보보호법에는 공공기관에 개인정보 영향평가 수행을 의무화했으며, 개인정보를 취급하는 민간사업자는 자율적으로 받도록 했다.  

이에 따라 앞으로 공공기관이 개인정보를 활용하는 새로운 정보시스템을 도입하거나 기존 시스템의 중대한 변경이 이뤄지는 경우엔 반드시 개인정보 영향평가를 수행해야 한다.

따라서 개인정보보호법이 시행되면 800개 공공기관은 개인정보 영향평가를 반드시 수행해야 한다. 민간기업도 개인정보 영향평가를 받으면 개인정보보호 조치를 적절히 수행했다는 점을 증명할 근거로 삼을 수 있어, 향후 개인정보 영향평가 수요는 확대될 것으로 예상된다.

이번에 마련된 고시안에 따르면, 개인정보 영향평가기관의 자격은 연 매출 1억 이상의 개인정보 관련 컨설팅을 최근 5년간 2회 이상 수행한 실적을 보유해야 한다.

또 정보보호전문가(SIS), 개인정보관리사(CPPG), 정보시스템감리원(ISA), 공인정보시스템감사사(CISA), 공인정보시스템보호전문가(CISSP) 등 관련자격증 보유자와 관련 분야 경력자 10인 이상 상근인력을 보유하고 있어야 한다.

신원확인, 출입통제, 업무수행 및 지원 등에 필요한 최소한의 설비도 갖춰야 한다.

평가기관 지정은 공고를 통해 신청 접수한 후, 자격심사위원회에서 서류심사와 현장실사, 심사결과 검증, 신원검증 등을 거쳐 지정업체를 확정하는 절차를 밟게 된다.

개인정보 영향평가 기준은 개인정보 수집·처리기준의 적합성과 개인정보 위험요소를 관리하기 위한 개인정보보호 관리체계 수립과 기술·관리·물리적 안전성 확보조치로 구성된 일반 원칙 아래 평가영역과 분야, 평가항목, 절차 등이 반영될 예정이다.

강신기 행정안전부 개인정보보호과장은 “개인정보보호법과 시행령에 따라 개인정보 영향평가 기준과 방법, 절차와 함께 개인정보 관련 컨설팅 실적, 전문인력, 시설·장비 등 일정기준을 충족하는 평가기관을 지정할 수 있도록 법적 구속력이 있는 고시로 제정할 것”이라며, “개인정보보호법이 시행되는대로 평가기관 지정 신청을 받을 계획”이라고 말했다.

한편, 이날 한국정보화진흥원에서 개최된 ‘개인정보 영향평가에 관한 고시’ 제정을 위한 공청회 패널토론에는 이우진 차장(근로복지공단), 이은우 변호사(민주사회를 위한 변호사모임), 이규정 팀장(한국정보화진흥원), 신종회 팀장(한국인터넷진흥원), 서경석 부회장(정보시스템감리협회), 최동근 이사(롯데정보통신) 등이 참여했다. 좌장은 김재광 선문대학교 교수가 맡았다.

이 자리에서 이규정 팀장은 영향평가를 수행하는 전문인력 확보를 위한 자격제도 도입의 필요성을 제기했으며, 신종회 팀장은 정보화사업 구축과정에서 영향평가결과가 반영될 수 있도록 고시를 통한 제도화를 주장했다.

서경석 부회장은 정보시스템 감리영역에 개인정보보호분야를 취급하고 있어 자격요건이 충분하므로, 정보보안컨설팅업체 이외에 감리법인도 평가기관으로 참여할 수 있도록 고시안을 보완해야 한다는 의견을 피력했다.
 
황서종 행정안전부 정보기반정책관은 “이번 공청회에서 제기된 의견을 최대한 반영해, 개인정보 영향평가제도가 조기에 정착될 수 있게 노력할 것”이라고 말했다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널