개인정보영향평가제도는 개인정보 관련 신규시스템 구축, 또는 기존 시스템 변경시 침해요인 분석 및 사전 예방방법 제시를 위해 만들어진 제도다. 개인정보보호법 제33조에 공공기관에 대해 개인정보 영향평가제 의무화가 명시돼 있다.
 
평가대상은 기존 또는 신규로 개인정보를 수집·이용하는 공공기관이며 민간기업은 자율적으로 수행하도록 권장하고 있다. 대상사업은 신규정보시스템 구축 또는 기존 정보시스템 변경사업이다.
 
영향평가 의무 수행 대상은 100만 명 이상의 개인정보파일을 구축·운용 또는 변경하는 경우, 내·외부 시스템과 연계한 결과 50만명 이상의 정보주체에 관한 개인정보파일을 구축·운용 또는 변경하는 경우, 의료정보 등 민감정보 또는 주민등록번호 등 고유식별정보 포함시 5만명 이상의 정보주체에 관한 개인정보파일을 구축·운용 또는 변경하는 경우가 의무 수행 대상에 해당된다.
 
평가시기는 새로운 시스템 구축 전단계인 시스템 분석·설계 단계에서 실시해야 하며, 시스템 운영 중 중대한 침해 위험 우려시 필요하다.
 
평가기관은 지난해 6개 기관과 이번에 추가 지정된 12개 기관, 총 18개 기관이며 모두 전문성과 역량을 갖춘 전문기관들로 행안부 장관이 지정한 기관들이다.
 
기관명은 다음과 같다. 인포섹, 이글루시큐리티, 한국정보기술단, 롯데정보통신, 씨에이에스, 안철수연구소, 금융결제원(금융정보공유분석센터), 소만사, 케이씨에이, 시큐베이스, 싸이버원, 키삭, 시큐아이닷컴, 에이쓰리시큐리티, 한국IT감리컨설팅, 에스티지시큐리티, LG CNS, 한국IBM 등이다.
 
행안부의 기대효과는 개인정보 유출 피해 최소화 및 침해사고시 복구비용 절감, 중요시스템에 대한 변경작업시 개인정보 유출가능성이 있는 프로그램 설치나 구조변경을 사전에 탐지해 차단할 수 있기를 기대하고 있다.
[데일리시큐=길민권 기자]