● 영향평가 수행절차
개인정보 영향평가에 관한 고시
제9조(평가절차) 대상기관은 다음 각 호와 같이 사전 준비, 영향평가 수행, 이행 단계로 영향평가를 수행한다.
1. 사전 준비 단계에서는 영향평가 사업계획을 수립하여 예산을 확보하고 평가기관을 선정한다.
2. 영향평가 수행 단계에서는 평가기관이 개인정보 침해요인을 분석하고 개선계획을 수립하여 영향평가서를 작성한다.
3. 이행 단계에서는 영향평가서의 침해요인에 대한 개선계획이 반영되는 가를 점검한다.
사전준비 단계
- 사업계획의 작성
1.1. 영향평가 필요성 검토
1.2. 사전평가 수행 (선택사항)
1.3. 사업계획서 작성 - 영향평가 기관 선정
2.1. 제안요청서 작성 및 사업발주
2.2. 영향평가 기관 선정
영향평가 수행단계
- 영향평가 수행계획 수립
1.1. 영향평가 수행계획 수립
📝 영향평가 수행계획서
📢 영향평가 착수회의
1.2. 영향평가팀 구성방안 협의
1.3. 영향평가팀 역할 정의
1.4. 영향평가팀 운영계획 수립
📝 영향평가팀 구성운영계획서 - 평가자료 수집
2.1. 내부 정책자료 분석
📚 (조직,체계 자료) 지침, 내부관리계획, 개인정보 처리방침, 정보보호 직제표 등
📚 (인적 통제, 교육 자료) 업무분장표, 내부규정, 교육계획 등
📚 (정보보안 자료) 보안시스템 도입현황, 네트워크 구성도 등
2.2. 외부 정책자료 분석
📚 개인정보보호법 및 관련 법률, 관련 분야 법규 및 지침,가이드라인 등
2.3. 대상시스템 관련 자료 분석
📝 사업개요서
📚 (사업수행자료) 사업추진계획서, 제안요청서, 수행계획서, 업무/운영 메뉴얼 등
📚 (외부연계 자료) 위탁계약서, API정의서, 아키텍처 설계 등
📚 (개발산출물) 설계서, 요건정의서, 업무흐름도, 기능정의서, ERD, DFD, 화면정의서, 시스템 구조도 등 - 개인정보 흐름 분석
3.1. 개인정보 처리 업무 현황 분석
3.2. 개인정보 처리 업무 흐름도 작성
📝 개인정보 영향도 등급표, 개인정보 처리업무표, 업무흐름도
3.3. 개인정보 흐름표 작성
📝 (L/C 별) 개인정보 흐름표
3.4. 개인정보 흐름도 작성
📝 총괄 개인정보 흐름도, (평가업무 별) 개인정보 흐름도
3.5. 정보시스템 구조도 및 정보보호 시스템 목록 작성 - 개인정보 침해요인 분석
4.1. 평가항목 구성
4.2. 개인정보 보호조치 현황파악
📝 영향평가 기준(점검표) : ‘이행(Y)’, ‘부분이행(P)’, ‘미이행(N)’, ‘해당없음(N/A)’
4.3. 개인정보 침해요인 도출
4.4. 개인정보 위험도 산정
📝 침해요인 위험도 산정표 (e.g., 위험도 = 영향도 + (발생가능성 * 법적 준거성) * 2) - 개선계획 수립
5.1. 개선사항 도출
5.2. 개선계획 수립 - 영향평가서 작성
⚠️ 대상기관의 장은 2개월 이내에 평가결과에 대한 내부승인 절차를 거쳐 영향평가서를 보호위원회에 제출
이행단계
- 이행점검
1.1. 개선사항 반영점검
1.2. 개선계획 이행점검
⚠️ 지적된 부분에 대한 이행계획 등을 영향평가서를 제출받은 날로부터 1년 이내에 보호위원회에 제출
개인정보 영향평가 수행절차 (개인정보보호위원회)