공공정책 위키(Public Policy Wiki)에 오신 것을 환영합니다
공공기관 개인정보 보호수준 평가
공공기관 개인정보 보호수준 평가 개요
개인정보 보호수준 평가(이하 보호수준 평가)의 경우 개인정보 보호법 개정(제11조의2)에 따라 평가 대상이 확대되고 평가 체계가 강화됐다. 평가 대상은 약 1,400여개로 중앙행정기관, 지방자치단체, 공공기관, 지방공사·공단 외에 중앙행정기관의 소속기관, 시도 교육청 및 교육지원청 등이 포함된다.
보호수준 평가 지표 및 평가 방법은 법적 의무사항 준수 여부 등 정량지표 중심의 자체평가(60점)와 개인정보 보호 업무 추진 내용의 적절성·충실성을 반영한 정성지표 중심의 전문가 심층평가(40점)로 구성된다. 특히, 2024년부터는 기관의 개인정보 보호 수준 향상을 위한 기관장의 노력, 주요 개인정보 정책 등에 대한 심층평가를 강화하기 위해
- 개인정보 보호 인력·조직 및 예산 지표를 강화
- 정보주체의 실질적 권리를 보장
- 개인정보 보호책임자 관련 지표
- 신기술 환경에서의 데이터의 안전한 활용 및 안전조치의 적절성을 평가 지표를 신설(최대 10점까지 가점) 을 부여
할 계획이다.
공공기관 개인정보 보호수준 평가근거
기존 개인정보 보호위원회는 매년 '공공기관 개인정보 관리수준 진단'을 실시하고 있으나, 명확한 법적 근거가 없어 개인정보 관리수준의 진단결과의 신뢰성 확보에 한계가 존재하였다. 하지만 23.3.15일 개인정보보호법 개정을 통하여 제11조의2를 신설하여 '개인정보 보보주순 평가'에 대한 법적근거를 명확하게 하여 24.3.15.부터 시행하였다. 또한 개인정보보호법 시행령을 통하여 평가대상, 평가기준 및 절차, 자료제출의 범위를 구체화 하였다.
공공기관 개인정보 보호수준 평가 주요사항
- 개인정보 보호수준 평가를 수행하기 위한 기준, 평가 시행전 평가계획 통보, 효율적인 평가 실시를 위한 평가단 구성, 운영 등 평가의 세부절차 마련
- 평가 계획에 따라 제출한 자료를 기준으로 평가하고, 필요시 현장방문 또는 대면평가의 방법으로 실시 할 수 있도록 규정
- 자료 제출의 범위, 중앙행정기관 등에 보호수준 향상 지원요청, 세부절차에 대한 고시 위임 규정 마련
개인정보 보호수준 평가대상 (개인정보보호법 제11조의2제1항, 영 제13조의2제1항, 고시제2조제2항)
- 중앙행정기관 및 그 소속기관, 지방자치단체(법 제11조의2제1항)
- 공공기관의 운영에 관한 법률 제4조에 다른 공공기관, 지방공기업법에 따른 지방공사와 지방공단(개인정보보호법 시행령 제13조의2제1항제1호, 2호)
- 그 밖에 영 제2조제4호 및 제5호에 따른 공공기관 중 공공기관의 개인정보 처리 업무의 특성 등을 고려하여 보호위원회가 고시하는 기준에 해당하는 기관(영 제13조의2 제1항제3호)
평가대상 선정 세부기준(고시 제2조제2항)
특별법에 의하여 설립된 특수법인과 고등교육법제2조에 따른 학교 중에 다음 각호의 사항을 종합적으로 고려하여 보후수준 평가가 필요한 기관에 대해 보호위원회가 정함
- 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 경우
- 100만명 이상의 정보주체에 관한 개인정보를 처리하는 경우
- 최근 3년간 개인정보 침해사고가 2회 이상 발생하였거나, 과징금 또는 과태료 처분 등을 1회이상 받은 경우
- 그 밖에 개인정보 처리 및 관리에 있어서 개인정보 침해 우려가 크다고 판단되는 경우
개인정보 보호수준 평가 기준(영 제13조의2제3항)
- 개인정보 보호 정책, 업무 수행실적 및 개선정도
- 개인정보 관리체계의 적정성
- 정부주체의 권리보장을 위한 조치사항 및 이행정도
- 개인정보 침해방지조치사항 및 안정성 확보조치 이행정도
- 그 밖에 개인정보의 처리 및 안전한 관리를 위해 필요한 조치 사항의 준수 여부
각 기준 별 세부 평가지표를 마련하여 평가계획 공개 예정(24년 상반기)
개인정보 보호수준 평가 절차
- 평가계획 수립 및 통보, 평가단 구성, 평가자료 제출, 평가수행, 평가 결과 통지 등의 절차에 따라 실시
- 보호위원회는 개인정보 보호수준 평가를 시행하기 전에 평가대상, 평가기군, 방법 및 평가지표등을 포함한 평가계획을 마련하여 개인정보 보호수준평가 대상기관의 장에게 통보(영 제13조의2제3항)
- 보호위원회는 보호수준 평가에 필요한 아래의 자료를 평가대상에게 요청할 수 있음(영 제13조의2 제5항)
- 평가대상기관이 개인정보 보호수준을 자체적으로 점검한 경우 그 결과 및 증명자료
- 증명자료의 검증에 필요한 자료
- 그 밖에 개인정보의 안전한 관리 여부 등 개인정보 보후수준을 평가하기 위해 필요한 자료
- 제출한 자료를 기준으로 평가 진행 또는 평가대상기관을 방문하여 평가(영 제13조의2 제6항)
- 평가결과는 차년도 상반기에 발표하며, 각 평가대상에게 통지하고 인터넷 홈페이지 등을 통해 공개(법 제11조의2 제3항, 고시 제4조제3항)
개인정보 보호수준 평가결과 환류
- 우수기관 및 그 소속직원에 대하여 포상할수 있음(법 제11조의2 제1항, 고시 제6조)
- 평가 결과에 따라 해당 공공기관의 장에게 개선을 권고할 수 있고, 권고를 받은 공공기관의 장은 그 조치 결과를 보호위원회에 알려야 함(법 제11조의2 제4항)
- 미흡기관에 대해 현장 컨설팅 및 실태점검을 실시할 수 있음(고시 제7조제2항)
- 평가결과가 업무평가 등에 반영될 수 있도록 평가 결과를 제공할 수 있음(고시 제7조 제4항)
- 보호위원회는 중앙행정기관의 장 또는 지방자지단체의 장에게 소속기관등 소관분야 평가대상기관의 평가준비 또는 평가결과에 따른 필요한 사항을지원하도록 요청할 수 있으며, 요청을 받은 기관의 장은 요청에 따른 지원을 하기 위해 노력해야 함(영 제13조의2 제7항)
- 평가 대상 공공기관은 개인정보 보호수준 평가에 필요한 자료를 보호위원회에 제출하여야 하며, 이를 위반할 경우 제75조 제4항 제1호에 따른 과태료 처분을 받을 수 있음
| 위반행위 | 제재내용 |
|---|---|
| 정당한 사유없이 자료를 제출하지 아니하거나 거짓으로 제출한 자
(법 제11조의2제2항 위반) |
1천만원 이하 과태료(법 제75조제4항제1호) |
개인정보관리진단과 개인정보 보호수준 평가비교
| 관리수준진단(~23년) | 보호수준 평가(24년~) | |
|---|---|---|
| 법적근거 | 개인정보보호법 제11조(자료제출 요구 등) 준용 | 개인정보보호법 제11조의2(개인정보 보호수준 평가) |
| 대상 | 중앙행정기관, 광역 및 기초자치단체, 공공기관(공기업, 지방공사, 공단 등) | 중앙행정기관 및 소속기관, 광역 및 기초자치단체, 시도교육청 및 교육지원청, 공공기관(공기업, 지방공사, 공단 등) |
| 추진절차 | 수준진단에 필요한 자료제출 요구 → 자료제출 → 수준진단검증 → 진단결과 보도자료 배포 및 연차보고서 수록 | 평가에 필요한 자료제출 요구 → 자료제출 → 수준평가검증 → 평가결과 연차보고서 및 홈페이지 공개 |
| 결과환류 | 미흡기관 현장컨설팅 및 기획점검 실시 | 평가결과 우수기관 및 우수직원 포상
개선권고 및 조치결과 요구 등 미흡기관 현장컨설팅 및 실태점검 실시 |
| 제재조치 | 없음 | 자료 미제출·부실 제출에 대한 과태료 부과 |