개인정보영향평가(PIA)

대상: 5만명, 50만명, 100만명 조건

---

I. 개인정보영향평가의 개요

가. 개인정보영향평가(PIA)의 정의

   - 개인정보파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리 시스템의 중대한 변경 시 시스템의 구축, 운영, 변경 등이 개인정보에 미치는 영향을 사전에 조사, 예측, 검토하여 개선방안을 도출하는 체계적인 절차

나. 개인정보영향평가의 목적 및 필요성

   - 개인정보 처리가 수반되는 사업을 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선 방안을 수립하여 본 사업 수행 시 개인정보 침해 사고를 사전에 예방

---

II. 개인정보영향평가 대상 및 절차

가. 개인정보 영향평가 대상

기관	대상조건	평가대상
의무대상 (공공기관)	5만명 조건	- 5만명 이상의 정보주체의 민감정보 및 고유식별정보의 처리가 수반되는 개인정보 파일
	50만명 조건	- 공공기관의 내부 혹은 외부의 다른 개인정보파일과 연계하려고 할 때, 연계 결과로서 정보 주체의 수가 50만명 이상의 개인정보 파일
	100만명 조건	- 100만 명 이상의 정보주체 수를 포함하고 있는 개인정보 파일
	운용체계 변경 시	- 시행령 제35조에 근거하여 영향평가를 실시한 기관이 개인정보파일의 운용체계를 변경하는 경우, 변경된 부분에 대해서는 영향 평가를 실시
임의대상 (민감정보)	- 대량의 개인정보나 민감한 개인정보를 수집, 이용하는 기관은 개인정보 유출 및 오.남용으로 인한 사회적 피해를 막기 위해 영향 평가 수행 가능

- 개인정보보호법 제 33조 및 동법 시행령 제 35조에 근거하여 영향평가 수행

나. 개인정보 영향평가 평가 시기 및 절차

- 개인정보영향평가는 개인정보 침해요인을 사전에 분석하는 것, 개발초기단계에 수행하는 것 필요

---

III. 개인정보영향평가 수행체계

- 영향평가는 행정자치부장관이 지정한 영향평가기관에 의뢰하여 영향평가를 수행하고 그 결과를 사업완료 후 2개월 이내에 행정자치부장관에게 제출