2026년 개인정보관리 전문기관 지정 심사위원 선정자 대상으로 진행한 심사위원 양성교육에 다녀왔다.
의무교육은 아니었지만 작년 양성교육에 일정상 참여하지 못해 실제 심사에 나가기 전에 불안감을 많이 느꼈었기 때문에 올해는 꼭 참석하겠다는 마음을 가지고 있었고 현장 분위기도 파악할 목적으로 교육을 수강하고 왔다.
개인정보관리 전문기관 지정 심사위원은 개인정보 보호법 제35조의3(개인정보관리 전문기관)과 동법 시행령 제42조의11(개인정보관리 전문기관의 지정요건 세부기준) 등의 위임을 받은 '개인정보 전송 및 개인정보관리 전문기관 지정 등에 관한 고시'에서 근거를 찾을 수 있으며, 쉽게 말해 개인정보관리 전문기관으로 지정받으려는 기관ㆍ법인 또는 단체의 지정을 심사하는 인력 Pool이라고 보면 된다.
○ 개인정보관리 전문기관 지정심사제도 설명 : https://www.pipc.go.kr/np/default/page.do?mCode=D030020030
○ 개인정보 전송 및 개인정보관리 전문기관 지정 등에 관한 고시
| 제8조(지정심사위원회 구성 등) ① 지정권자는 제5조제1항에 따른 지정 신청을 받은 경우 법 제35조의3제2항 및 영 제42조의11제1항에 따른 개인정보관리 전문기관의 지정요건별 세부기준을 충족하는지 여부를 개인정보관리 전문기관 지정심사위원회(이하 "지정심사위원회"라 한다)를 구성하여 심사해야 한다. ② 지정심사위원회는 개인정보 보호, 정보보호, 회계 및 지정권자가 정하는 관계 분야 등 지정요건에 관하여 학식과 경험이 풍부한 전문가로 구성하되, 7명 이상 15명 이하로 한다. ③ 지정심사위원회는 제7조제1항에 따른 종합심사를 수행한 후 그 심사결과를 지정권자에게 보고해야 한다. |
2024년부터 연 1회 신청을 받아 선발하고 있으며, 올해부터는 보건의료 분야 개인정보관리 전문기관 지정 심사위원 Pool은 한국보건산업진흥원에서 별도로 관리하게 되었다. 올해부터는 에너지 분야의 전문기관도 생길 예정이기 때문에 (미래를 위해)제도가 안착되기 전에 발을 들여놓고자 관심 있게 지켜보고 있는 중이다.
교육은 '마이데이터 표준 절차 프로세스'와 '지정요건 및 세부 심사기준' 설명을 커리큘럼으로, 약 4시간 진행되었다.
첫 번째 교육은 지정심사 진행에 필요한 배경지식을 알려주기 위해 기획되었으며 마이데이터 서비스의 개요부터 기술 및 보안 표준,표준 전송 절차, 보건의료 분야 전송 절차에 대해 배울 수 있는 기회였고,
두 번째 교육은 심사 방법, 심사 항목 개정사항, 세부 심사 항목을 설명해주는 시간이었다. 아직 공개되지 않은 따끈따끈한 변경된 심사항목을 알려주신점, 실제 심사 시 어떤 포인트를 봐야 하는지를 짚어서 말씀해 주셨기 때문에 개인적으로 많은 도움이 되었다.
참고할 만한 내용을 간단히 정리해 보면 다음과 같다.
- 사업계획서 '서비스 개요' 심사 시 특화서비스 인지, 차별성이 있는지를 심사하는 게 아니다.
→ 서류 심사에서는 사업계획서 구체적이고 실현 가능성이 있는지, 현장심사에서는 실제 계획서대로 구현되어 있는지를 평가하는 것이다. - 특수전문기관 심사는 의료법을 공부할 필요가 있다.
- 특수전문기관 심사 시 서비스의 성격상 개인정보처리방침에 '민감정보의 공개 가능성 및 비공개를 선택하는 방법'을 포함해야 하는지, 해야 한다면 포함되어 있는지를 확인해야 한다.
- 특수전문기관은 일반전문기관과 달리 mTLS가 적용되어 있지 않고 심사 시 허용하는 내용이다.
- 심사 신청기관에서 관리해야 하는 자산목록은 공통 템플릿을 사용중이다.
- 파기관련 심사 항목에서 접근 토큰이 폐기되고 있는지도 확인이 필요하다.
- 내부관리계획, 기타 증적 등이 전문기관 업무와 관련한 별도의 문서나 증적이 아닌 경우 전문기관 심사 범위까지 포함하는지, 심사항목을 반영하고 있는지를 확인해야 한다.
예) 전사 공통 위기대응 매뉴얼을 수립해 뒀다면 전문기관 관련 시스템이 포함되어 있는지 확인 필요, 내부관리 계획에 '전문기관 관리 책임자의 지정에 관한 사항'이 규정되어 있어야 함 - 전송이력 기록·보관 및 조회할 수 있는 시스템을 갖추고 있는지 확인하는 항목에서 별도의 백오피스를 구축하지 않고 DB에 접속해 조회를 하는 것도 허용하는 범위다.
- N년간 처럼 보존기간이 정해져 있는 기록들은 제대로 보관되고 있는지 뿐만 아니라 실제 N년간 보관할 수 있는 시스템을 갖추고 있는지 확인할 필요가 있다.
예) 용량 확장이 가능한 상태인지 확인
'교육 및 세미나 참석' 카테고리의 다른 글
| 개인정보 정책 설명회 참석 후기 (0) | 2025.12.18 |
|---|---|
| 2025년 가명정보 전문가 풀 활동 사례 공유 워크샵 참석 후기 (0) | 2025.11.29 |
| 2025 가명정보 전문가 풀 보수교육 후기 (1) | 2025.09.21 |
| 정보보호제품 성능평가자 양성교육 후기 (1) | 2025.09.19 |
| 개인정보 처리 통합 안내서 설명회 참석 후기 (5) | 2025.08.09 |
