공공기관 개인정보 보호수준 평가

공공기관 개인정보 보호수준 평가 개요

개인정보 보호수준 평가(이하 보호수준 평가)의 경우 개인정보 보호법 개정(제11조의2)에 따라 평가 대상이 확대되고 평가 체계가 강화됐다. 평가 대상은 약 1,400여개로 중앙행정기관, 지방자치단체, 공공기관, 지방공사·공단 외에 중앙행정기관의 소속기관, 시도 교육청 및 교육지원청 등이 포함된다.

보호수준 평가 지표 및 평가 방법은 법적 의무사항 준수 여부 등 정량지표 중심의 자체평가(60점)와 개인정보 보호 업무 추진 내용의 적절성·충실성을 반영한 정성지표 중심의 전문가 심층평가(40점)로 구성된다. 특히, 2024년부터는 기관의 개인정보 보호 수준 향상을 위한 기관장의 노력, 주요 개인정보 정책 등에 대한 심층평가를 강화하기 위해

• 개인정보 보호 인력·조직 및 예산 지표를 강화
• 정보주체의 실질적 권리를 보장
• 개인정보 보호책임자 관련 지표
• 신기술 환경에서의 데이터의 안전한 활용 및 안전조치의 적절성을 평가 지표를 신설(최대 10점까지 가점) 을 부여

할 계획이다.

공공분야 개인정보 보호수준 평가근거

기존 개인정보 보호위원회는 매년 '공공기관 개인정보 관리수준 진단'을 실시하고 있으나, 명확한 법적 근거가 없어 개인정보 관리수준의 진단결과의 신뢰성 확보에 한계가 존재하였다. 하지만 23.3.15일 개인정보보호법 개정을 통하여 제11조의2를 신설하여 '개인정보 보보주순 평가'에 대한 법적근거를 명확하게 하여 24.3.15.부터 시행하였다. 또한 개인정보보호법 시행령을 통하여 평가대상, 평가기준 및 절차, 자료제출의 범위를 구체화 하였다.

개인정보보호법 제11조의2

개인정보보호법 시행령 제13조의2

개인정보 보호수준 평가에 관한 고시[시행 2024.3.15.]

공공분야 개인정보 보호수준 평가 주요사항

- 개인정보 보호수준 평가를 수행하기 위한 기준, 평가 시행전 평가계획 통보, 효율적인 평가 실시를 위한 평가단 구성, 운영 등 평가의 세부절차 마련

- 평가 계획에 따라 제출한 자료를 기준으로 평가하고, 필요시 현장방문 또는 대면평가의 방법으로 실시 할 수 있도록 규정

- 자료 제출의 범위, 중앙행정기관 등에 보호수준 향상 지원요청, 세부절차에 대한 고시 위임 규정 마련

개인정보 보호수준 평가대상 (개인정보보호법 제11조의2제1항, 영 제13조의2제1항, 고시제2조제2항)

• 중앙행정기관 및 그 소속기관, 지방자치단체(법 제11조의2제1항)
• 공공기관의 운영에 관한 법률 제4조에 다른 공공기관, 지방공기업법에 따른 지방공사와 지방공단(개인정보보호법 시행령 제13조의2제1항제1호, 2호)
• 그 밖에 영 제2조제4호 및 제5호에 따른 공공기관 중 공공기관의 개인정보 처리 업무의 특성 등을 고려하여 보호위원회가 고시하는 기준에 해당하는 기관(영 제13조의2 제1항제3호)

평가대상 선정 세부기준(고시 제2조제2항)

특별법에 의하여 설립된 특수법인과 고등교육법제2조에 따른 학교 중에 다음 각호의 사항을 종합적으로 고려하여 보후수준 평가가 필요한 기관에 대해 보호위원회가 정함

1. 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 경우
2. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 경우
3. 최근 3년간 개인정보 침해사고가 2회 이상 발생하였거나, 과징금 또는 과태료 처분 등을 1회이상 받은 경우
4. 그 밖에 개인정보 처리 및 관리에 있어서 개인정보 침해 우려가 크다고 판단되는 경우

개인정보 보호수준 평가 기준(영 제13조의2제3항)

• 개인정보 보호 정책, 업무 수행실적 및 개선정도
• 개인정보 관리체계의 적정성
• 정부주체의 권리보장을 위한 조치사항 및 이행정도
• 개인정보 침해방지조치사항 및 안정성 확보조치 이행정도
• 그 밖에 개인정보의 처리 및 안전한 관리를 위해 필요한 조치 사항의 준수 여부

  각 기준 별 세부 평가지표를 마련하여 평가계획 공개 예정(24년 상반기)

개인정보 보호수준 평가 절차

평가계획 수립 및 통보, 평가단 구성, 평가자료 제출, 평가수행, 평가 결과 통지 등의 절차에 따라 실시