개인정보 영향평가(PIA, Privacy Impact Assessment)는 개인정보를 대규모로 처리하거나 새로운 시스템을 도입할 때 사전에 프라이버시 위험을 점검하는 제도입니다. 공공기관은 법적 의무이고, 민간기업도 특정 조건에서 실시해야 합니다.
이 글에서는 영향평가 의무 대상 판단 기준부터 실제 실시 방법, 비용까지 정리합니다.
개인정보 영향평가란?
영향평가는 개인정보 처리 시스템을 구축·변경할 때 다음을 미리 점검하는 절차입니다:
- 처리하는 개인정보의 종류와 양이 정보주체의 권리에 미치는 영향
- 침해 가능성과 심각도
- 위험을 줄이기 위한 보호 조치
EU GDPR의 DPIA(Data Protection Impact Assessment)와 유사한 개념입니다.
의무 대상: 공공기관
개인정보보호법 제33조에 따라 공공기관은 아래 경우 영향평가를 반드시 실시해야 합니다.
의무 실시 기준 (공공기관)
| 기준 | 내용 | |------|------| | 대상자 수 | 5만 명 이상의 개인정보를 처리하는 시스템 신규 구축 | | 민감정보 포함 | 민감정보·고유식별정보를 처리하는 시스템으로 5만 명 이상 대상 | | 연계 시스템 | 100만 명 이상 정보를 처리하는 시스템과 연계하는 경우 | | 기존 시스템 변경 | 위 기준에 해당하는 시스템을 '중요하게' 변경하는 경우 |
공공기관이 영향평가를 실시하지 않으면 과태료 최대 3,000만 원이 부과될 수 있습니다.
의무 대상: 민간기업
민간기업은 법적 의무 대상이 제한적이지만, 아래 경우에는 사실상 실시가 필요합니다.
민간기업 영향평가가 필요한 경우
1. ISMS-P 인증 기업 ISMS-P 인증을 받은 기업은 인증 요건에 영향평가 관련 조항이 포함됩니다. 대규모 개인정보 처리 시스템 변경 시 내부 영향평가가 사실상 필수입니다.
2. 대형 플랫폼 (100만 명 이상 회원) 개인정보보호법 시행령에서는 대규모 플랫폼의 경우 영향평가 권고 대상으로 명시하고 있습니다.
3. 금융·의료·통신 규제 업종 금융감독원, 보건복지부 등 업종별 규제기관이 영향평가를 요구하는 경우가 있습니다.
4. 해외 사업자 (국내 대리인 지정 대상) 국내에 주소나 영업소가 없는 해외 사업자로서 국내 이용자 100만 명 이상을 대상으로 서비스하는 경우 국내 대리인 지정과 함께 영향평가가 필요합니다.
영향평가 실시 절차 (5단계)
1단계: 평가 계획 수립 (2~4주)
- 평가 범위 설정: 어떤 시스템·처리 활동을 평가할지 결정
- 평가팀 구성: 개인정보보호 책임자(CPO), IT 담당자, 법무팀 포함
- 공공기관은 PIPC가 지정한 전문기관에 외부 평가를 의뢰해야 함
2단계: 개인정보 처리 현황 분석 (2~3주)
평가 대상 시스템에서 처리하는 개인정보를 매핑합니다:
수집 항목 → 처리 목적 → 저장 위치 → 접근 권한 → 파기 방법 → 제3자 제공 여부
데이터 플로우 다이어그램(DFD)을 작성하면 이 단계가 훨씬 수월해집니다.
3단계: 위험 요소 식별 및 평가 (2~3주)
주요 평가 항목:
| 영역 | 평가 항목 | |------|----------| | 수집·이용 | 최소 수집 원칙 준수 여부, 동의 적법성 | | 보안 | 암호화, 접근통제, 취약점 관리 | | 제3자 제공 | 제공 근거, 계약 적정성 | | 파기 | 보유기간 준수, 파기 방법 적정성 | | 정보주체 권리 | 열람·정정·삭제 요청 처리 절차 |
위험도는 가능성 × 심각도 매트릭스로 평가합니다 (1~5 척도).
4단계: 개선 조치 도출 (1~2주)
위험 수준에 따라 조치를 분류합니다:
- 필수 조치: 평가 완료 전 반드시 이행
- 권고 조치: 일정 기간 내 이행 계획 수립
- 장기 과제: 다음 예산 주기에 반영
5단계: 보고서 작성 및 제출 (1주)
공공기관은 평가 완료 후 PIPC에 결과 보고서를 제출해야 합니다. 민간기업은 내부 보고서로 보관하고, 필요 시 PIPC 조사에 대응하는 용도로 활용합니다.
평가 비용과 기간
공공기관 외부 평가 기준
| 시스템 규모 | 예상 비용 | 기간 | |------------|---------|------| | 소규모 (처리 항목 50개 이하) | 2,000~5,000만 원 | 2~3개월 | | 중규모 (50~200개) | 5,000~1억 원 | 3~5개월 | | 대규모 (200개 이상) | 1억 원 이상 | 5~8개월 |
민간기업 자체 평가
의무 대상이 아닌 민간기업은 자체적으로 간이 영향평가를 실시할 수 있습니다. 표준 프레임워크(ISO 29134)를 활용하면 외부 기관 없이도 체계적인 평가가 가능합니다.
스타트업을 위한 간이 PIA 체크리스트
의무 대상은 아니지만, 사전에 다음을 점검해두면 향후 분쟁이나 조사 시 유용합니다:
수집·이용
- [ ] 서비스에 꼭 필요한 데이터만 수집하고 있는가?
- [ ] 각 수집 항목의 처리 목적이 문서화되어 있는가?
- [ ] 민감정보(건강, 종교, 정치적 견해 등)를 처리하는가?
보안
- [ ] DB에 저장된 개인정보가 암호화되어 있는가?
- [ ] 개인정보에 접근할 수 있는 직원 목록이 관리되고 있는가?
- [ ] 로그인 이상 감지(다중 로그인 시도 등)가 설정되어 있는가?
제3자 제공
- [ ] 외부 서비스(분석툴, CRM, 광고 픽셀)에 개인정보가 전달되는가?
- [ ] 해당 제공이 처리방침에 기재되어 있는가?
파기
- [ ] 탈퇴 후 개인정보를 언제 삭제하는가?
- [ ] 삭제 실행이 자동화되어 있는가, 수동인가?
영향평가와 PipaGuard
PipaGuard의 무료 진단은 위 체크리스트를 포함한 PIPA 핵심 요건을 10분 안에 점검할 수 있도록 설계되어 있습니다. 정식 영향평가 전 사전 점검 도구로 활용해보세요.