이 고시는 「개인정보 보호법 시행령」(이하 "영"이라 한다) 제38조에 따른 평가기관의 지정 및 영향평가의 절차 등에 관한 세부기준을 정함을 목적으로 한다.
이 고시에서 사용하는 용어의 정의는 다음과 같다.
1. "개인정보 영향평가(이하"영향평가"라 한다)"란 영 제35조에 해당하는 개인정보파일의 운용에 따라 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 말한다.
2. "대상기관"이란 영 제35조에 해당하는 개인정보파일을 구축·운용, 변경 또는 연계하려는 공공기관을 말한다.
3. "평가기관"이란 공공기관의 영향평가를 수행하기 위하여 행정안전부장관이 지정한 기관을 말한다.
4. "대상시스템"이란 영 제35조에 해당하는 개인정보파일을 구축·운용, 변경 또는 연계하려는 정보시스템을 말한다.
5. "개인정보 영향평가 수행실적(이하 "영향평가 수행실적"이라 한다)"이란 영 제37조제1항제1호에 따른 영향평가 업무 및 이와 유사한 업무, 정보보호 컨설팅 업무 등을 수행한 실적을 말한다.
① 평가기관의 지정절차는 별표 1과 같다.
② 행정안전부장관은 지정 신청을 할 수 있게 15일이상 지정신청공고를 하여야 한다.
③ 지정신청을 원하는 법인은 다음 각 호의 서류를 지정신청서와 함께 행정안전부장관에게 제출한다.
1. 별지 제1호서식의 개인정보 영향평가 수행실적 명세서
2. 별지 제2호서식의 개인정보 영향평가 수행실적물 관리카드
3. 별지 제3호서식의 개인정보 영향평가 수행인력의 경력 및 실적 증명서
4. 별지 제4호서식의 개인정보 영향평가 수행인력 관리카드
5. 별지 제5호서식의 개인정보 영향평가 수행능력 세부 심사자료
6. 별지 제6호서식의 개인정보 영향평가 관련 기술자산 보유목록
④ 행정안전부장관은 제3항에 따른 평가기관 지정신청을 받은 경우 지정기준의 적합여부를 심사하기 위하여 평가기관 지정심사위원회(이하 "지정심사위원회"라 한다)를 구성·운영한다.
⑤ 행정안전부장관은 현장실사와 종합심사를 통해 지정심사위원회의 심사결과를 검증하고, 영향평가 수행인력의 자격요건을 확인한 후 평가기관을 확정한다.
① 제3조에 따른 지정심사위원회는 다음 각 호의 자격을 가진 자 중에서 행정안전부장관이 위촉하는 15인 이내의 위원으로 구성한다.
1.「고등교육법」제2조제1호·제2호 또는 제5호에 따른 학교나 공인된 연구기관에서 조교수 이상의 직 또는 이에 상당하는 직에 있거나 있었던 자로 개인정보 보호 연구경력이 8년 이상인 자
2. 개인정보 보호 관련 업체, 기관 또는 단체(협회, 조합)에서 8년 이상 개인정보 보호 업무에 종사한 자
3. 그 밖에 개인정보 보호에 관한 학식과 경험이 풍부한 자
② 지정심사위원회는 영 제37조제1항에 따른 신청한 법인의 자격 및 업무수행능력 등을 검토한다.
③ 지정심사위원회의 위원 임기는 2년으로 하되, 연임할 수 있다.
④ 지정심사위원회의 회의는 필요에 따라 행정안전부장관이 소집한다.
① 영향평가 수행인력은 일반수행인력과 고급수행인력으로 구분할 수 있다.
1. 일반수행인력의 자격은 다음 각 목과 같다.
가. 영 제37조제1항제2호의 전문인력 자격을 갖춘 자
나. 한국CPO포럼이 시행하는 개인정보관리사 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 자
2. 고급수행인력의 자격은 다음 각 목과 같다.
가. 제1호의 일반수행인력의 자격을 갖춘 후 5년 이상의 영향평가 관련 경력이 있는 자
나. 관련 분야 박사학위를 취득한 후 3년 이상의 영향평가 관련 경력이 있는 자
다. 「국가기술자격법 시행규칙」 제3조에 따른 정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사 자격을 취득한 후 3년 이상의 영향평가 관련 경력이 있는 사람
② 제1항에 따른 영향평가수행인력은 제6조제2항에 따른 전문교육을 이수하고 제6조제3항에 따른 전문인력 인증서를 받은 경우에 영향평가를 수행할 수 있다.
① 행정안전부장관은 영향평가 전문인력 양성을 위한 세부 교육계획 수립 및 교육 운영 등의 업무를 효율적으로 추진하기 위하여 한국정보화진흥원을 전문교육기관으로 지정한다.
② 전문교육기관의 장은 영향평가 전문인력양성을 위한 교육계획을 수립하여 전문교육을 실시하여야 한다.
③ 전문교육기관의 장은 전문교육 이수자에 대한 평가를 실시하고 그 결과에 따라 개인정보 영향평가 전문인력 인증서를 교부한다.
④ 전문교육기관의 장은 다음 각 호의 1에 해당되는 경우에는 제3항에 따른 전문인력 인증서를 교부받은 자에 대한 계속교육을 실시하여야 하며, 이수 여부에 따라 전문인력 인증서를 갱신하여 교부한다.
1. 인증서를 교부받은 후 매 2년이 경과한 경우
2. 법령 또는 평가기준 등의 개정에 따른 변경사항이 발생하여 교육의 실시가 필요하다고 판단되는 경우
⑤ 제3항 또는 제4항에 따라 전문인력 인증서를 교부받은 자가 전문교육기관의 장이 정하는 기간내에 제4항의 계속교육을 이수하지 아니하여 인증서를 갱신하지 못한 경우 기존 인증서의 효력은 상실된다.
① 평가기관의 영향평가 수행능력심사의 세부평가기준은 별표 2와 같다.
② 행정안전부장관은 영향평가 수행능력심사 세부평가기준에 따른 심사결과가 총점 75점 이상인 경우 신청한 법인을 평가기관으로 지정한다.
① 행정안전부장관은 평가기관이 영 제37조제1항의 평가기관 지정요건을 충족하는 지 여부와 영 제37조제6항에 따른 변경사항을 확인하기 위하여 현장실사, 관련 자료제출 요구 등을 할 수 있다.
② 평가기관은 다음 각 호를 포함한 보호대책을 별표 3과 같이 수립·시행하여야 하며, 행정안전부장관은 그에 대한 준수여부를 점검할 수 있다.
1. 영향평가 수행구역 및 설비에 대한 보호대책
2. 영향평가 수행 인력에 대한 보호대책
3. 문서 및 전산자료에 대한 보호대책
4. 일반 관리적 보호대책
③ 행정안전부장관은 영 제37조 제1항에 따른 평가기관 지정의 유효기간을 정할 수 있으며, 이를 갱신하고자 하는 평가기관은 유효기간 만료일 3개월 전까지 제3조제3항의 서류를 행정안전부장관에게 제출하여야 한다.
④ 행정안전부장관은 평가기관이 영향평가 업무를 부실하게 수행하거나 신고의무를 위반하는 등의 사유가 발생한 경우, 시정 및 보완을 요구할 수 있으며, 기타 필요한 경우 주의, 경고 등의 조치를 취할 수 있다.
대상기관은 사전 분석, 영향평가의 실시, 평가결과의 정리 단계로 영향평가를 수행한다.
영 제38조제1항의 영향평가기준에 따른 평가영역은 별표 4와 같다. 다만, 대상기관이 당해 연도에 다른 정보시스템의 영향평가를 하였을 경우에는 대상기관의 개인정보 보호 관리체계에 대한 평가는 생략할 수 있다.
① 평가기관은 별표 4에 따라 적합한 평가항목을 선정하여 영향평가를 수행하여야 한다. 다만, 대상기관이 당해 연도에 이미 평가받은 항목은 그 변경이 없는 때에는 평가항목에서 제외된다.
② 별표 4에 명시되지 않은 특정 IT기술을 적용하는 경우에는 해당 기술이 개인정보에 미치는 영향에 대한 평가항목을 개발하여 영향평가 시 반영하여야 한다.
영 제38조제2항에 따라 영향평가서를 제출받은 대상기관의 장은 2개월 이내에 평가결과에 대한 내부승인 절차를 거쳐 영향평가서를 행정안전부 장관에게 제출하여야 한다.
행정안전부장관은 영향평가에 필요한 세부기준 및 절차, 평가항목 등을 구체화하는 "영향평가 수행안내서"를 마련하여 제공할 수 있다.
부칙
이 고시는 고시한 날부터 시행한다.
시행일 현재 지정되어있는 평가기관은 소속 전문인력에 대하여 지정된 후 2년 이내에 제6조에 따른 전문교육 및 전문인력 인증서를 받도록 하여야 한다. 단, 이미 전문교육을 이수하여 인증서를 보유하고 있는 인력은 제외한다.
「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 고시 발령 후의 법령이나 현실 여건의 변화 등을 검토하여 이 고시의 폐지, 개정 등의 조치를 하여야 하는 기한은 2015년 12월 31일까지로 한다.
별표 서식 정보
댓글 없음:
댓글 쓰기