ITPE Momentum

[정의] 개인정보를 활용하는 정보시스템의 도입이나 변경 시, 프라이버시에 미치는 영향에 대하여 사전에 조사, 예측, 검토하여 개선 방안을 도출하는 체계적인 절차

[OECD 개인정보보호 8 원칙] 
 - 수집제한의 원칙, 데이터 내용의 원칙, 목적명확화의 원칙, 이용제한의 원칙, 안전보호의 원칙, 공개의 원칙, 개인참가의 원칙, 책임의 원칙

[개인정보 영향평가 대상자] 업무목적으로 개인정보 처리하는 모든자에 대하여 적용

[개인정보 영향평가 시기 및 절차]

- 사전분석 : 신규(시행 또는 변경)사업에 대한 개인정보 영향평가 필요성 여부 결정
- 영향평가 수행주체 선정 : 신규 사업 주관 부서, 개인정보 소유 부서, 시스템 운영 부서, 개인정보
관리책임자, 기업 내 최고 의사결정권자, 외부 전문가 등으로 영향평가팀 구성
- 관련법규 및 사업내용 검토 : 개인정보 관련 내부 정책 및 조직체계 검토, 개인정보보호 관련 법규 및
가이드라인 조사, 신규 사업 내용 검토
- 정보흐름분석 : 신규 사업에서 취급하는 개인정보 및 이를 포함하는 자산 식별, 개인정보 종류 및 처리
단계, 접근 권한 등을 도표, 보안 시스템을 포함한 정보시스템구조도 분석
- 침해요인 분석 및 위험평가 : 주요 개인정보 자산에 대해 영향평가 점검표를 바탕으로 침해요인 분석,
침해요인에 대한 위험평가 실시
- 개선계획 수립 및 위험관리 : 관리되어야 할 위험과 잔여 위험을 분리하고 관리되어야 할 위험에 대한
통제 방안 마련