공공기관·지자체 개인정보보호법 가이드: 민간과 다른 의무 총정리

공공기관은 개인정보보호법의 적용을 받는 동시에 민간보다 더 강화된 의무가 있습니다. 국민의 세금으로 운영되고 행정 목적으로 방대한 개인정보를 처리하기 때문입니다.

이 가이드는 중앙부처, 지방자치단체, 공공기관(공기업·준정부기관), 교육기관이 알아야 할 PIPA 핵심 의무를 정리합니다.

공공기관의 특별 의무

민간 기업과 달리 공공기관에는 다음의 추가 의무가 있습니다.

| 의무 | 민간 기업 | 공공기관 | |------|---------|---------| | 개인정보 영향평가 (PIA) | 일부만 해당 | 대부분 필수 | | 개인정보 보호책임자(CPO) 지정 | 일정 규모 이상 | 의무 | | 개인정보 처리 방침 공개 | 공개 의무 | 공개 + 행정안전부 등록 | | 내부 관리계획 수립 | 규모에 따라 | 의무 | | 개인정보 보호 연간 계획 수립 | 권고 | 의무 |

개인정보 영향평가(PIA): 공공기관의 핵심 의무

10만 명 이상의 민감 정보를 처리하거나 50만 명 이상의 고유 식별 정보를 처리하는 새로운 정보시스템을 구축하거나 변경할 때는 영향평가를 의무적으로 실시해야 합니다.

영향평가 실시 기준

의무 대상:
✅ 5만 명 이상 정보 주체의 민감 정보 처리 시스템 신규 구축
✅ 50만 명 이상 개인정보 처리 시스템 신규 구축
✅ 100만 명 이상 개인정보 처리 시스템 중요 변경
✅ 기존 영향평가 이후 중대한 변경 발생 시

권고 대상:
- 1만 명 이상 민감 정보 처리
- 10만 명 이상 개인정보 처리

영향평가 절차

대상 확인: 개발/변경 계획 초기에 영향평가 필요 여부 판단
평가기관 선정: 개인정보보호위원회 지정 평가기관 선정
평가 수행: 개인정보 흐름 분석 → 위험 식별 → 개선 방안 도출
결과 보고: 영향평가 결과를 개인정보보호위원회에 제출
개선 이행: 평가 결과에 따른 개선 사항 적용

주민등록번호 처리 제한

공공기관은 업무상 주민등록번호를 다루는 경우가 많지만, 법령 근거 없이는 수집 불가입니다.

허용 근거 예시:
✅ 주민등록법: 주민등록 관련 업무
✅ 국세기본법: 조세 부과·징수
✅ 사회보장기본법: 복지 급여 지급
✅ 병역법: 병역 의무 이행

금지 사례:
❌ 공공 서비스 회원 가입에 주민번호 수집 (대안: 공인인증, 간편인증)
❌ 통계 목적 수집 후 필요 이상 보관

처리방침 공개와 행정안전부 등록

공공기관은 개인정보처리방침을 행정안전부의 개인정보포털에 등록해야 합니다.

처리방침 필수 포함 항목

1. 개인정보 처리 목적
2. 처리하는 개인정보 항목
3. 개인정보 처리·보유 기간
4. 개인정보 제3자 제공 현황
5. 처리 위탁 현황
6. 고유 식별 정보·민감 정보 처리 여부
7. 개인정보의 파기 절차 및 방법
8. 정보 주체의 권리·의무 및 행사 방법
9. 개인정보 보호책임자 연락처
10. 처리방침 변경 이력

내부 관리계획 수립

공공기관은 전산 시스템을 운영하거나 100인 이상 임직원이 있으면 내부 관리계획을 수립해야 합니다.

내부 관리계획 주요 항목

✅ 개인정보 보호책임자 지정 및 역할
✅ 개인정보 처리 담당자 교육 계획 (연 1회 이상)
✅ 접근 권한 관리 기준 (최소 권한 원칙)
✅ 접속 기록 관리·점검 (정기 점검)
✅ 개인정보의 암호화 범위와 방법
✅ 개인정보 처리방침 수립·변경 절차
✅ 개인정보 영향평가 실시 계획
✅ 개인정보 침해 사고 대응 절차

정보 주체 권리 보장: 공공기관의 특수성

공공기관은 행정 목적의 개인정보 처리에 대해 정보 주체의 열람·정정·삭제 요청을 거부할 수 있는 예외 조항이 있습니다. 그러나 이 예외를 남용하면 안 됩니다.

거부 가능한 경우 (명확한 근거 필요)

- 법령에서 열람이 금지·제한된 경우
- 제3자의 생명·신체를 해칠 우려
- 국가안전보장, 국방, 외교에 관한 사항
- 범죄 수사 또는 재판 진행에 방해가 되는 경우

거부 시 거부 사유와 불복 방법을 서면으로 통지해야 합니다.

행정데이터 공개와 개인정보

공공 데이터를 개방할 때 개인정보 침해 가능성을 사전에 검토해야 합니다.

공공 데이터 개방 시 체크리스트

✅ 직접 식별 정보 제거 (이름, 주민번호, 연락처 등)
✅ 간접 식별 조합 가능성 검토 (나이+지역+직업 등)
✅ 비식별 처리 적정성 검토
✅ 재식별 가능성 사전 평가
✅ 공개 후 재식별 모니터링 체계

CCTV 운영 특수 의무

공공기관은 도시 곳곳에 대규모 CCTV를 설치·운영하므로 공개 장소 CCTV 운영 지침을 준수해야 합니다.

✅ 설치 목적 범위 내 운영 (범죄 예방, 시설 관리 등)
✅ 안내판 의무 설치 (야간에도 식별 가능한 조명 확보)
✅ 영상 보관 기간 준수 (일반적으로 30일 이내)
✅ 영상 열람 요청 처리 체계 구축
✅ 운영·관리 방침 공개
❌ 승인받지 않은 목적으로 영상 활용 (홍보, 연구 등)
❌ 불필요하게 장기 보관

행정 전산 시스템 보안 요건

공공기관의 전산 시스템은 국가정보보안기본지침과 PIPA를 동시에 준수해야 합니다.

전산 시스템 최소 보안 요건

✅ 접근 통제: 접근 권한 최소화, 퇴직자 즉시 권한 회수
✅ 접속 기록: 모든 접속 이력 최소 1년 보관
✅ 암호화: 주민번호·비밀번호 AES-256 이상 암호화
✅ 물리적 보안: 서버실 접근 통제
✅ 네트워크 분리: 인터넷망과 업무망 분리

공공기관 개인정보보호 담당자 실무 팁

연간 계획 수립 (1월)

전년도 위반 사항 검토 및 개선 계획 반영
영향평가 대상 신규 시스템 목록 확인
교육 일정 수립

정기 점검 (분기)

접속 기록 모니터링 결과 검토
불필요한 개인정보 파기 현황 확인
위탁 업체 관리 현황 점검

수시 업무

정보 주체 권리 요청(열람·삭제) 처리 (10일 이내 응답 의무)
개인정보 침해 신고 접수 및 처리
처리방침 변경 시 사전 공지

공공기관의 개인정보 보호 의무 이행은 국민의 신뢰와 직결됩니다. PIPAGuard의 자동화 진단 도구로 현재 준수 현황을 점검하고, 영향평가 준비와 처리방침 개선 항목을 확인해보세요.

이 가이드는 중앙부처, 지방자치단체, 공공기관(공기업·준정부기관), 교육기관이 알아야 할 PIPA 핵심 의무를 정리합니다.

공공기관의 특별 의무

민간 기업과 달리 공공기관에는 다음의 추가 의무가 있습니다.

개인정보 영향평가(PIA): 공공기관의 핵심 의무

영향평가 실시 기준

의무 대상:
✅ 5만 명 이상 정보 주체의 민감 정보 처리 시스템 신규 구축
✅ 50만 명 이상 개인정보 처리 시스템 신규 구축
✅ 100만 명 이상 개인정보 처리 시스템 중요 변경
✅ 기존 영향평가 이후 중대한 변경 발생 시

권고 대상:
- 1만 명 이상 민감 정보 처리
- 10만 명 이상 개인정보 처리

영향평가 절차

대상 확인: 개발/변경 계획 초기에 영향평가 필요 여부 판단
평가기관 선정: 개인정보보호위원회 지정 평가기관 선정
평가 수행: 개인정보 흐름 분석 → 위험 식별 → 개선 방안 도출
결과 보고: 영향평가 결과를 개인정보보호위원회에 제출
개선 이행: 평가 결과에 따른 개선 사항 적용

주민등록번호 처리 제한

공공기관은 업무상 주민등록번호를 다루는 경우가 많지만, 법령 근거 없이는 수집 불가입니다.

허용 근거 예시:
✅ 주민등록법: 주민등록 관련 업무
✅ 국세기본법: 조세 부과·징수
✅ 사회보장기본법: 복지 급여 지급
✅ 병역법: 병역 의무 이행

금지 사례:
❌ 공공 서비스 회원 가입에 주민번호 수집 (대안: 공인인증, 간편인증)
❌ 통계 목적 수집 후 필요 이상 보관

처리방침 공개와 행정안전부 등록

공공기관은 개인정보처리방침을 행정안전부의 개인정보포털에 등록해야 합니다.

처리방침 필수 포함 항목

1. 개인정보 처리 목적
2. 처리하는 개인정보 항목
3. 개인정보 처리·보유 기간
4. 개인정보 제3자 제공 현황
5. 처리 위탁 현황
6. 고유 식별 정보·민감 정보 처리 여부
7. 개인정보의 파기 절차 및 방법
8. 정보 주체의 권리·의무 및 행사 방법
9. 개인정보 보호책임자 연락처
10. 처리방침 변경 이력

내부 관리계획 수립

공공기관은 전산 시스템을 운영하거나 100인 이상 임직원이 있으면 내부 관리계획을 수립해야 합니다.

내부 관리계획 주요 항목

✅ 개인정보 보호책임자 지정 및 역할
✅ 개인정보 처리 담당자 교육 계획 (연 1회 이상)
✅ 접근 권한 관리 기준 (최소 권한 원칙)
✅ 접속 기록 관리·점검 (정기 점검)
✅ 개인정보의 암호화 범위와 방법
✅ 개인정보 처리방침 수립·변경 절차
✅ 개인정보 영향평가 실시 계획
✅ 개인정보 침해 사고 대응 절차

정보 주체 권리 보장: 공공기관의 특수성

거부 가능한 경우 (명확한 근거 필요)

- 법령에서 열람이 금지·제한된 경우
- 제3자의 생명·신체를 해칠 우려
- 국가안전보장, 국방, 외교에 관한 사항
- 범죄 수사 또는 재판 진행에 방해가 되는 경우

거부 시 거부 사유와 불복 방법을 서면으로 통지해야 합니다.

행정데이터 공개와 개인정보

공공 데이터를 개방할 때 개인정보 침해 가능성을 사전에 검토해야 합니다.

공공 데이터 개방 시 체크리스트

✅ 직접 식별 정보 제거 (이름, 주민번호, 연락처 등)
✅ 간접 식별 조합 가능성 검토 (나이+지역+직업 등)
✅ 비식별 처리 적정성 검토
✅ 재식별 가능성 사전 평가
✅ 공개 후 재식별 모니터링 체계

CCTV 운영 특수 의무

공공기관은 도시 곳곳에 대규모 CCTV를 설치·운영하므로 공개 장소 CCTV 운영 지침을 준수해야 합니다.

✅ 설치 목적 범위 내 운영 (범죄 예방, 시설 관리 등)
✅ 안내판 의무 설치 (야간에도 식별 가능한 조명 확보)
✅ 영상 보관 기간 준수 (일반적으로 30일 이내)
✅ 영상 열람 요청 처리 체계 구축
✅ 운영·관리 방침 공개
❌ 승인받지 않은 목적으로 영상 활용 (홍보, 연구 등)
❌ 불필요하게 장기 보관

행정 전산 시스템 보안 요건

공공기관의 전산 시스템은 국가정보보안기본지침과 PIPA를 동시에 준수해야 합니다.

전산 시스템 최소 보안 요건

✅ 접근 통제: 접근 권한 최소화, 퇴직자 즉시 권한 회수
✅ 접속 기록: 모든 접속 이력 최소 1년 보관
✅ 암호화: 주민번호·비밀번호 AES-256 이상 암호화
✅ 물리적 보안: 서버실 접근 통제
✅ 네트워크 분리: 인터넷망과 업무망 분리

공공기관 개인정보보호 담당자 실무 팁

연간 계획 수립 (1월)

전년도 위반 사항 검토 및 개선 계획 반영
영향평가 대상 신규 시스템 목록 확인
교육 일정 수립

정기 점검 (분기)

접속 기록 모니터링 결과 검토
불필요한 개인정보 파기 현황 확인
위탁 업체 관리 현황 점검

수시 업무

정보 주체 권리 요청(열람·삭제) 처리 (10일 이내 응답 의무)
개인정보 침해 신고 접수 및 처리
처리방침 변경 시 사전 공지

공공기관·지자체 개인정보보호법 가이드: 민간과 다른 의무 총정리

공공기관의 특별 의무

개인정보 영향평가(PIA): 공공기관의 핵심 의무

영향평가 실시 기준

영향평가 절차

주민등록번호 처리 제한

처리방침 공개와 행정안전부 등록

처리방침 필수 포함 항목

내부 관리계획 수립

내부 관리계획 주요 항목

정보 주체 권리 보장: 공공기관의 특수성

거부 가능한 경우 (명확한 근거 필요)

행정데이터 공개와 개인정보

공공 데이터 개방 시 체크리스트

CCTV 운영 특수 의무

행정 전산 시스템 보안 요건

전산 시스템 최소 보안 요건

공공기관 개인정보보호 담당자 실무 팁

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

공공기관·지자체 개인정보보호법 가이드: 민간과 다른 의무 총정리

공공기관의 특별 의무

개인정보 영향평가(PIA): 공공기관의 핵심 의무

영향평가 실시 기준

영향평가 절차

주민등록번호 처리 제한

처리방침 공개와 행정안전부 등록

처리방침 필수 포함 항목

내부 관리계획 수립

내부 관리계획 주요 항목

정보 주체 권리 보장: 공공기관의 특수성

거부 가능한 경우 (명확한 근거 필요)

행정데이터 공개와 개인정보

공공 데이터 개방 시 체크리스트

CCTV 운영 특수 의무

행정 전산 시스템 보안 요건

전산 시스템 최소 보안 요건

공공기관 개인정보보호 담당자 실무 팁

지금 바로 PIPA 컴플라이언스 점검하기

관련 글