개인정보 영향평가, 비IT 담당자가 반드시 확인할 8가지 체크리스트

개인정보 영향평가(PIA, Privacy Impact Assessment)를 실시하기 전에 반드시 확인해야 할 사항들이 있습니다. 핵심만 말씀드리겠습니다. 영향평가는 IT 부서만의 업무가 아닙니다. 법무, 인사, 마케팅 등 비IT 부서가 실질적인 개인정보 처리 주체인 경우가 대부분이며, 평가 과정에서 이들 부서의 역할이 결과를 좌우합니다.

개인정보 보호법 제33조에 따르면, 공공기관은 일정 규모 이상의 개인정보 파일을 운용할 때 영향평가를 의무적으로 실시해야 하고, 민간기업도 대규모 개인정보 처리 시 자율적으로 실시하는 것이 사실상 표준이 되었습니다. 2024년 기준 개인정보보호위원회에 따르면, 영향평가 미실시로 인한 과태료 부과 사례는 전년 대비 약 32% 증가했습니다.

아래 8가지 항목을 평가 착수 전에 점검하면, 불필요한 재평가나 법적 리스크를 상당 부분 줄일 수 있습니다.

평가 착수 전 필수 확인 체크리스트

1 평가 대상 여부를 정확히 판단했는가

모든 개인정보 처리가 영향평가 대상은 아닙니다. 공공기관의 경우 5만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보 처리, 50만 명 이상의 정보주체에 관한 개인정보 파일 등 구체적 기준이 있습니다(개인정보 보호법 시행령 제35조). 민간기업은 의무 대상이 아니더라도, 10만 건 이상의 고객 데이터를 처리하거나 민감정보를 대규모로 수집하는 경우 자율 평가를 강력히 권장합니다.

2 평가 범위를 명확히 설정했는가

영향평가의 범위가 모호하면 평가 기간이 늘어나고 비용이 급증합니다. 결론부터 말하면, 평가 대상 시스템뿐 아니라 해당 시스템과 연동되는 업무 프로세스 전체를 범위에 포함해야 합니다. 예컨대 인사시스템 영향평가라면 채용 접수부터 퇴직자 정보 파기까지의 전 과정이 대상입니다. 범위를 사전에 문서화하지 않으면 평가 중 추가 범위가 계속 발생해 일정이 2~3개월 이상 지연되는 경우가 흔합니다.

3 현업 부서의 개인정보 처리 현황을 파악했는가

IT 부서가 시스템 구조를 설명할 수 있어도, 실제 데이터가 어떻게 수집되고 활용되는지는 현업 담당자만 압니다. 마케팅 부서의 고객 리스트 관리 방식, 인사팀의 이력서 보관 기간, 영업팀의 명함 정보 DB 입력 관행 등을 사전에 파악해 두어야 합니다. 이 단계를 생략하면 평가 결과가 현실과 동떨어져 실효성이 없습니다.

4 개인정보 흐름도(Data Flow Map)를 작성했는가

개인정보가 수집-이용-제공-저장-파기되는 전 과정을 시각적으로 정리한 문서입니다. 비IT 부서에서는 이 작업을 기술 문서로 오해하는 경우가 많지만, 핵심은 '어떤 정보가, 누구에게, 왜, 어디로 흘러가는가'를 정리하는 것입니다. Excel 한 장이면 충분합니다. 이 문서가 없으면 평가기관이 현황 파악에만 2~4주를 소모하게 됩니다.

5 위탁 및 제3자 제공 현황을 점검했는가

개인정보 처리를 외부 업체에 위탁하거나 제3자에게 제공하는 경우, 해당 업체의 보안 수준도 평가 범위에 포함됩니다. 실무에서 가장 많이 누락되는 부분이 바로 이것입니다. 급여 대행 업체, 고객 설문조사 용역사, 클라우드 서비스 제공자 등 위탁 계약서의 개인정보 보호 조항이 현행법에 부합하는지 반드시 확인해야 합니다. 위탁 계약 미비 시 수탁자의 위반 행위에 대해 위탁자도 함께 과태료(최대 5,000만 원)를 부과받을 수 있습니다.

6 내부 규정과 동의서 양식을 최신화했는가

영향평가 과정에서 개인정보 처리방침, 수집-이용 동의서, 제3자 제공 동의서 등이 현행 법령 기준에 맞는지 검토됩니다. 2023년 개정 개인정보 보호법은 동의 외의 적법 처리 근거를 확대했으므로, 종전의 동의서 양식을 그대로 사용하고 있다면 이번 기회에 전면 개정하는 것이 효율적입니다. 평가 착수 후에 양식을 수정하면 평가 결과의 일관성이 깨지므로, 반드시 평가 전에 정비해야 합니다.

7 평가 수행 인력과 예산을 확보했는가

공공기관의 의무 영향평가는 개인정보보호위원회가 지정한 평가기관에 위탁해야 하며, 비용은 평가 범위에 따라 약 3,000만 원에서 1억 원 이상까지 편차가 큽니다. 민간기업의 자율 평가도 최소 내부 인력 2~3명이 3개월 이상 투입됩니다. 법무 담당자, 현업 부서 담당자, IT 보안 담당자 최소 3인의 참여가 필수이며, 이 인력이 확보되지 않으면 일정 지연은 불가피합니다.

8 평가 후 개선조치 이행 계획을 수립했는가

영향평가는 보고서를 제출하면 끝나는 것이 아닙니다. 평가 결과 도출된 위험 요소에 대해 구체적인 개선 일정과 담당자를 지정하고, 이행 여부를 추적해야 합니다. 개인정보보호위원회는 공공기관에 대해 개선권고를 할 수 있고(개인정보 보호법 제33조 제5항), 권고 불이행 시 후속 조치가 따릅니다. 민간기업도 영향평가 결과를 방치하면 추후 유출 사고 발생 시 '관리 소홀'의 근거가 되어 손해배상 책임이 가중될 수 있습니다.

비IT 부서가 특히 유의할 점

영향평가는 기술적 보안 점검이 아닙니다. 오히려 개인정보 처리의 적법성과 필요성을 법적 관점에서 검증하는 절차에 가깝습니다. 비IT 부서에서 흔히 간과하는 핵심 사항을 정리하면 다음과 같습니다.

'왜 이 정보를 수집하는가'에 대한 법적 근거를 명확히 설명할 수 있어야 합니다. 관행적 수집은 평가에서 가장 먼저 지적받는 항목입니다.
보유 기간이 경과한 개인정보가 실제로 파기되고 있는지 확인해야 합니다. 시스템에서 삭제 처리가 되어도 백업 파일에 그대로 남아 있는 경우가 빈번합니다.
부서 내 공유 폴더나 개인 PC에 저장된 엑셀 형태의 고객 데이터도 평가 범위에 포함됩니다. 이른바 '섀도우 데이터'를 사전에 파악해야 합니다.
동의 철회 요청이 접수되었을 때 실제로 처리 가능한 프로세스가 갖추어져 있는지 점검해야 합니다.

실무 일정 참고

일반적인 영향평가 수행 기간은 평가 범위에 따라 다르지만, 통상 3~6개월이 소요됩니다. 사전 준비(위 체크리스트 점검)에 약 2~4주, 현황 분석에 4~6주, 위험 분석 및 대책 수립에 4~8주, 보고서 작성 및 검토에 2~3주가 소요되는 것이 일반적입니다. 사전 준비가 부실할 경우 전체 일정이 2배 이상 늘어날 수 있으므로, 위 8가지 항목을 철저히 점검한 후 평가에 착수하는 것이 가장 효율적인 방법입니다.

👤

김인혁 변호사의 코멘트

제 경험상 개인정보 영향평가에서 가장 큰 병목은 IT가 아니라 현업 부서의 데이터 현황 파악 부족입니다. 평가 착수 전 개인정보 흐름도를 작성하고 위탁 현황을 정리하는 것만으로도 평가 기간을 절반 가까이 단축할 수 있습니다. 사전 준비 단계부터 법률 전문가의 검토를 받으시길 권합니다.

이 글의 변호사