NO 10데이터·디지털·공공서비스데이터·디지털형조문 검증 21/21

개인정보 영향평가

공공기관이 대규모 개인정보 파일을 새로 구축·변경할 때, 개인정보 침해 위험을 사전에 분석하고 개선하도록 의무화한 사전 예방 제도

15절차 노드
5행위 레인
6게이트
21/21조문 확인
4병목 구간

업무구조도

노드 상태는 제도 흐름 설명용 편집 상태입니다

완료현재위험·회귀대기
업무구조도를 불러오는 중입니다.

한 장 캔버스

법령 · 조직 · 절차 · 예산 · 문서

목적과 법적 근거

개인정보파일을 구축·운용·변경하기 전에 프라이버시 침해 위험요인을 미리 분석하고 개선방안을 도출한다. 사후 유출·오남용을 예방하고 시스템 설계 단계부터 개인정보 보호를 반영(privacy by design)하게 한다.

개인정보 보호법제33조(개인정보 영향평가)법률
개인정보 보호법 시행령제35조(영향평가 대상: 민감·고유식별정보 5만명 이상, 연계 50만명 이상, 100만명 이상), 제36조(평가기관 지정·지정취소), 제37조(영향평가 시 고려사항: 민감·고유식별정보 처리 여부·보유기간), 제38조(영향평가 평가기준·평가서 작성·제출)대통령령
개인정보 영향평가에 관한 고시평가 절차·수행 방법·평가서 서식(개인정보보호위원회)고시·지침

권한 관계

개인정보보호위원회제도 총괄, 평가기관 지정, 평가서 검토·의견 제시
대상 공공기관의 장영향평가 실시 의무, 평가기관 의뢰, 결과 반영·제출
지정 평가기관영향평가 수행, 평가서 작성
개인정보 보호책임자(CPO)평가 총괄, 개선사항 이행 관리

돈의 흐름

평가 비용은 대상 공공기관이 예산으로 부담하고, 대부분 지정 평가기관에 용역으로 지급된다. 개선사항 이행에 별도 시스템 개선 비용이 발생한다. 평가기관 지정·감독은 국가 행정비용이다.

문서의 흐름

영향평가 계획서·과업내용서 → 개인정보 흐름표·흐름도 → 침해요인 분석서 → 영향평가서(개선계획 포함) → 개인정보보호위원회 제출·검토의견 → 이행점검 확인서. 공공기관은 평가 결과를 개인정보보호위원회에 제출한다.

병목

  • 의무 대상이 대규모 파일 중심이라 중·소규모 시스템은 사각지대로 남는다
  • 형식적 평가서 작성에 그쳐 개선사항 이행이 부실한 경우가 있다
  • 시스템 오픈 일정에 쫓겨 사전평가가 사후 절차로 밀리는 관행 (현장 검증 필요)
  • 평가기관 역량 편차와 평가 품질 관리 문제

개선점

  • 대상 범위 조정과 민간 확산(자율 영향평가 유도)
  • 개선사항 이행점검·환류의 실효성 강화
  • 설계 초기 단계 평가 의무화로 사후평가 방지
  • 평가기관 품질관리·평가서 표준화

현장 검증 필요

  • 개인정보 영향평가에 관한 고시(개인정보보호위원회)의 평가 절차·서식·이행점검 세부 조문 확인 필요(조회 미수행)
  • 평가 결과 제출 후 위원회 검토·환류의 실제 운영
  • 시스템 오픈 대비 평가 시점의 현장 관행
  • 위원회 검토의견의 개선사항 반영·환류 실효성(운영 추정)
  • 개선사항 미이행 시 후속 관리·재점검 실태(운영 추정)
검증: 법적 근거 3건 중 공식 원문 3건을 연결했다. 캔버스와 절차 노드의 명시 조문 21건 가운데 21건의 조문 번호 존재를 확인했고, 0건은 불일치, 0건은 자동 검증 불가로 분류했다. 인용 문구의 해석·적용 타당성은 검증 범위에 포함하지 않는다.이 콘텐츠는 제도 이해를 위한 참고 자료이며 법률 자문이나 정부기관의 공식 해석을 대신하지 않습니다.