1. 개인정보 영향평가(PIA, Privacy Impact Assessment)의 개념
- 개인정보 처리 시스템 구축이나 변경 시 해당 시스템이 정보주체의 개인정보에 미칠 영향을 자선에 분석·평가하는 절차 (개인정보 보호법 제33조 및 시행령 제35조)
2. 의무적으로 시행되는 경우
- 5만명 이상의 정보주체에 관한 민감정보나 고유식별정보의 개인정보파일 구축·운용 시
- 다른 개인정보파일과 연계 시 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일 구축·운용 시
- 100만명 이상의 정보주체에 관한 개인정보파일 구축·운용 시
3. 주요 절차
3.1. 사전 준비 및 범위 확정
- 시스템의 목적, 개인정보 처리 항목, 대상 범위 식별
3.2. 개인정보 흐름 분석
- 수집, 저장, 이용, 제공, 파기 등 개인정보의 처리 흐름도 작성
3.3. 개인정보 침해 위험성 분석
- 개인정보 유출, 오남용, 권리 침해 등 잠재적 위험 식별
3.4. 보호 대책 수립
- 암호화, 접근통제, 접근 로그 관리 등 보호 조치 계획 수립
3.5. 평가보고서 작성 및 검토
- 발견된 위험과 개선 조치를 포함한 PIA 보고서 작성
3.6. 이행 및 사후관리
- 제안된 보완조치를 시스템에 반영 및 정기적인 재평가 수행