국내외 개인정보 영향평가 제도 요약
페이지 정보
작성자 게시판관리자 작성일18-08-15 23:17 조회6,926회 댓글0건관련링크
본문
감사합니다.
국내외의 개인정보 영향평가 제도에 대해서 아래와 같이 간단히 살펴 보았습니다.
국내외 개인정보 영향평가 제도는 2005년 한국정보보호진흥원( KISA)에서 '기업의 개인정보 영향평가 수행을
위한 가이드'를 발표하고, '2006년 이동통신사 개인정보 보호지침'이 시행되면서 시작되었다.
이후, 2007년 공공부분에서의 개인정보 영향평가 의무 도입이 결정되고, 2008년 대량 고객정보 유출에 따른
기업의 이미지 실추와 기업의 존폐 영향, 집단소송 제기 등이 이슈화되면서 개인정보 영향평가의 도입을
민간 기업에서도 적극적으로 고려하기 시작했다.
미국은 2002년에 국민에 대한 정부의 서비스와 행정기과 내부의 행정작용을 개선하고, 정부에 대한 시민들의
참여 기회를 확대하기 위하여 인터넷이나 그 박의 정보기술(IT)의 효율적인 사용을 증진시킬 목적으로
전자정부법(E-Government Act)을 제정하였다. 또한 프라이버시 영향평가를 시행함으로써 연방정부의 각 기관
들이 그러한 조치를 고려할 것을 명문으로 규정하고 2003년9월26일에는 OMB는 프라이버시 관련규정 수행을
위한 가이드라인을 발표하였다.
개인정보 영향평가(PIA, Privacy impact Assessment)는 새로운 정보시스템의 도입과 개인정보의 수집에 앞서
계획하고 있는 시스템이 구축, 운영될 경우 프라이버시에 미칠 영향에 대하여 미리 조사, 예측 검토하는 체계적인
절차를 의미한다.
<개인정보 영향평가 수행은 다음과 같은 절차에 따라 이루어진다 >
1. 사전분석 단계에서는 시행 또는 변경하고자 하는 사업에 대한 영향평가의 필요성 여부를 스스로 결정한다.
2. 영향평가팀을 구성한다.
3. 개인정보 관련정책, 법규 및 사업내용을 검토한다.
4. 정보흐름 분석(Data Flow Analysis)을 실시한다. - 개인정보 자산의 종류 및 처리 단계
5. 개인정보 침해요인을 분석한다.
6. 개선 계획을 수립하고 위험을 관리한다.
7. 영향평가 보고서를 작성하고 보고한다.
8. 이행 단계이다.
※ 위험도산출(Risk Value)= 개인정보 자산의 민감도(Assest Value)+위협의 정도(Threats Value)
+취약정의 정도(Vulnerability Value)
(출처:개인정보 정보보호 현장 실무테크닉)
댓글목록
등록된 댓글이 없습니다.