법제도/정책
개인정보 영향평가기관 지정 신청 시작
디지털데일리
발행일 2011-10-17 11:03:27
- 정보보호 컨설팅 등 보안업체, 정보시스템 감리업체 대거 신청 예상
[디지털데일리 이유지기자] 개인정보보호법이 시행되면서 공공기관에 의무화된 개인정보 영향평가 수행기관 선정절차가 본격 시작된다.
행정안전부는 지난 9월 30일 공고에 따라 한국정보화진흥원을 통해 17일부터 19일까지 개인정보 영향평가기관 지정 신청을 접수한다.
일정규모의 개인정보를 처리하는 모든 공공기관이 수행해야 하는 개인정보 영향평가 수행기관 지정 신청에 정보보호 컨설팅 관련기업, 정보시스템 감리업체 등이 대거 몰릴 것으로 예상된다. 현재 100곳 이상이 신청할 것이란 관측까지 나오고 있을 정도다.
공공기관은 개인정보파일을 구축·운용, 또는 변경하거나 연계할 때마다 개인정보 침해 위험 요인을 분석하고 개선사항을 도출하는 개인정보 영향평가를 수행해야 하기 때문에 관련수요가 급증할 뿐만 아니라 꾸준한 수요가 형성될 것이라는 점에서다.
개인정보보호법 시행령에 따르면, 공공기관은 5만명 이상의 민감정보나 고유식별정보를 처리해야 하는 개인정보파일을 구축·운용하거나 50만명 이상의 다른 개인정보파일과 연계하는 경우에 영향평가를 수행해야 한다.
또한 100만명 이상의 개인정보파일을 구축·운용·변경하는 경우에도 영향평가를 실시해야 하며, 개인정보 영향평가를 받은 후에 개인정보파일 운용체계를 변경하는 경우에도 변경 부분에 대해서는 다시 받아야 한다.
더욱이 법상 의무화된 것은 아니지만 민간기업 역시 다량의 개인정보가 처리되는 시스템 구축·변경 등의 경우 개인정보보호를 위해 사전에 영향평가 실시가 점차 확대될 것으로 전망되고 있어, 개인정보 영향평가 시장규모가 대폭 확대될 것이란 예측도 나오고 있다.
평가 신청기관은 개인정보보호법 시행령과 관련 고시에 따라 개인정보 영향평가나 정보시스템 구축·감리시 등에서 수행한 정보보호컨설팅 업무 수행 실적이 5년간 2억원 이상 있어야 하고, 전문인력도 10명 넘게 상시 고용하고 있는 법인이어야 한다.
사무실에는 신원 확인, 출입통제, 기록·자료의 안전한 관리를 위한 설비 등을 구비하고 있어야 한다.
행정안전부는 평가기관 지정심사위원회를 구성해 신청기관을 대상으로 현장실사와 종합심사, 인력 신원확인 등을 거친 후 평가기관을 최종 확정하게 된다.
고시에 명시된 수행능력심사 세부평가기준에 따른 심사결과가 총점 75점 이상이면 평가기관으로 지정될 수 있다.
수행능력심사 세부평가는 신청기업·기관의 수행실적, 수행인력 및 전문지식, 설비, 부채비율, 자본요건 등 경험과 전문화 정도, 법인 신뢰도 등을 바탕으로 평가가 이뤄지게 된다.
행정안전부 개인정보보호과 관계자는 “개인정보 영향평가기관 지정을 위해 당연직인 개인정보보호과장을 포함한 15명의 심사위원을 선정했으며, 신청서 접수가 완료된 뒤 위원회를 발족해 심사에 들어갈 것”이라며, “평가기관 지정은 11월 10일경으로 예상하고 있다”고 말했다.
<이유지 기자> yjlee@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지