인 시스템 분석·설계 단계에서 실시하고, 기존시스템의 경우에는 기존 서비스 운영 중 개인정보 수집·이용·관리상에 중대한 침해 위험이 발생할 가능성이 있거나, 개인정보관리 체계 점검·개선이 필요한 경우에 실시한다.
(4) 개인정보영향평가 기준과 내용
개인정보보호법 시행령 제38조 제1항에 따라 개인정보영향평가는 ⅰ) 해당 공공기관에서 처리하는 개인정보의 종류·성질, 정보주체의 수 및 그에 따른 개인정보 침해의 가능성, ⅱ) 개인정보보호법 제24조제3항, 제25조제6항 및 제29조에 따른 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성, ⅲ) 개인정보 침해의 위험요인별 조치 여부, ⅳ) 그 밖에 법 및 이 영에 따라 필요한 조치 또는 의무 위반 요소에 관한 사항을 평가기준으로 삼고 있다.
그리고 개인정보보호 관련 각종 법규·정책·지침 등에 대한 준수 여부, 개인정보수집·저장·이용/제공·파기 등 각 처리단계별 보호 조치 사항의 적정성 등, 정보주체의 권리 보호 및 개인정보보호를 위한 관리체계의 적정성, 개인정보처리시스템에 대한 기술적·관리적 보호조치 여부 등을 그 내용으로 하며, 이와 관련한 구체적인 사항은 행정안전부와 한국인터넷진흥원에서 발간하는 수행 안내서를 참조한다.
평가
현재 개인정보보호법 및 동법 시행령에서 도입하고 있는 개인정보영향평가는 공공부문에서는 일정한 기준에 해당하는 개인정보파일의 운용으로 인하여 개인정보침해가 우려되는 경우에 수행하는 제도이다. 개인정보보호법 제33조에서 개인정보영향평가의 실시 주체에 대하여 명시하고 있는데, 실시 주체가 공공기관의 장임을 명백하게 규정하고 있다. 즉 공공부문에서의 개인정보영향평가를 의무화하고 있다.
이와 함께 개인정보영향평가 기관의 지정 제도를 도입하여 동법 시행령 제37조에서 개인정보 영향평가기관의 지정 기준을 구체적으로 정하고 있다. 즉 공공부문 외의 개인정보처리자, 즉 민간부문의 경우에는 ‘개인정보영향평가를 하기 위하여 적극 노력하여야 한다’는 선언적 의미의 규정만을 두고 있다. 이에 대하여 공공부분ㆍ민간부문의 구별 없이 모든 개인정보처리자에게 도입하는 것이 바람직하다는 의견이 제시된 바 있다.
제도적으로 개인정보영향평가가 도입되어있으나 개인정보영향평가 결과의 수용 및 활용에 대한 아무런 규율이 없어 개인정보영향평가의 실효성에 대한 의문을 해결할 필요가 있다. 그리고 개인정보영향평가의 제도적 취지, 개인정보보호의 필요성, 국내 민간부문의 개인정보 보호수준 등을 종합적으로 고려하여 민간부문에도 개인정보영향평가를 의무화하는 방안에 대한 지속적인 논의가 필요하다고 본다.
마지막으로 문제되는 것은 평가기준·방법 및 절차를 보다 명확하게 정하는 것이다. 개인정보보호법 제33조 제6항은 영향평가의 기준, 방법 및 절차에 관하여 대통령령에 위임하고 있다. 그러나 영향평가의 기준·방법 및 절차와 같이 본 제도를 시행함에 있어 기술적·절차적으로 중요한 사항을 동법에 규정하지 않고, 대통령령에 위임하는 것은 적절하지 않다고 생각된다. 따라서 개인정보보호법에 개인정보영향평가의 기술적·절차적 사항에 대한 명시적 규정을 둘 필요가 있다고 본다. 이와 대한 방안으로, 행전안전부(현 행정자치부) 및 한국인터넷진흥원에서는 공공기관을 대상으로 시범적으로 영향평가를 실시하여 왔고 그동안 쌓인 경험을 바탕으로 영향평가의 기준·방법·절차에 관하여 안내서 형식으로 작성하고 이를 지속적으로 업데이트하고 있는 바, 행정안전부(현 행정자치부)가 발행하고 있는 안내서의 내용을 참고하여 영향평가의 기준·방법·절차에 관한 사항을 명문화하는 방안이 검토될 수 있을 것이다. 그리고 개인정보영향평가를 시행한 결과, 개인정보 파일 및 운용시스템의 문제로 지적된 사항에 관하여 어떠한 조치를 취해야 하고, 아무런 조치를 취하지 않은 경우에 어떠한 제재를 할 것인지에 대한 방안도 마련되어야 할 것이다.
III
결론
개인정보유출에 대한 대책방안으로 기술적인 부분과 법률적인 부분을 둘러보았다. 기술적인 부분을 살펴보면 예전의 솔루션에 비하여 개인정보를 강화시키기 위해서는 조금 더 많은 비용이 들어가고 1회성이 아닌 지속적인 업그레이드가 필요하고, 보안을 위하여 기본적으로 필요한 부분의 체계를 만들어줌으로써 이용자로 하여금 이전보다 개인정보유출에 대한 걱정을 줄이게 되는 효과를 준다. 또한 법률적으로 공공부문과 민간부문의 개인정보영향평가에 대한 내용에서 차이가 보인다는 점에서 문제가 보인다. 그것은 공공부문에서는 이를 의무화하고 있으나 민간부문에서는 개인정보보호를 위하여 노력한다는 내용으로 명시하고 있다. 그것은 법률적으로 민간부문에서는 개인정보를 지킬 수 있는 법률적인 장치가 부족하다는 것을 의미한다. 또한 개인정보보호를 위한 법률적인 조항을 조금 더 세부적으로 조정해 줄 필요가 있다는 것이다. 지금의 법제로서는 특정한 개인정보유출에 대한 불이익이 발생한다고 할지라도 이에 대한 정확한 규정이 부족한 상황이다. 이는 정보의 발전에 비하여 법률의 정비 속도가 늦은 데에 대한 부작용이라고 할 수 있을 것이다. 정부나 통신회사들은 이러한 부분까지 신경을 써서 무엇이 옳고 그러다는 점에 대하여 명확하게 규정을 해주어야 할 것이며, 이에 의하여 일반인들도 개인정보에 대한 법률생활이 조금 더 안정을 가질 수 있도록 해야 할 것이다.
참고자료
강달천김희은, 2006 개인정보분쟁조정사례집, 개인정보분쟁조정위원회, 2006.
김연수, 개인정보보호, (주)사이버출판사, 2001.
김이랑 외, 개인정보영향평가 자격기준의 문제분석과 개선방안 연구, 정보보호학회논문지 제23권 제1호, 정보보호학회, 2013.
유재성, 정보시스템 분석 및 설계단계에서의 개인정보보호 감리 방법에 관한 연구, 건국대학교 정보통신대학원 논문, 2009.
이강신 외, 개인정보보호 기초와 활용, 인포더북스, 2010.
이동철, 개인정보의 안전성 확보를 위한 기술적 방안 연구, 건국대학교 정보통신대학원 논문, 2012.
이은영, 민법, 박영사, 2002.
장호익, 개인정보 영향평가에 관한 법제연구, 박사학위 청구논문, 숭실대학교, 2011.
행정안전부, 공공기관 개인정보보호 기본지침, 2008.