한국인터넷진흥원(KISA)은 소프트웨어(SW) 사업의 일환인 개인정보 영향평가 사업에 대한 적정대가 산정 및 품질 제고를 위해 ‘개인정보 영향평가 대가산정 가이드’를 발표했다고 12월 23일 밝혔다.

개인정보 영향평가는 개인정보보호법 제33조 등에 따라 개인정보파일(시스템) 구축, 변경 시 사전에 정보주체의 개인정보 침해 위험요인 분석 및 개선사항 도출을 위한 제도다.

공공기관 등은 개인정보 영향평가를 수행하기 위해 소요예산을 산정해야 한다. 이를 위해 ‘SW사업 대가산정 가이드’의 정보보안 컨설팅 대가산정 기준을 준용해 산정했으나 개인정보 영향평가 사업의 특수성 미반영 및 평균 투입공수 등 명확한 기준이 제시되지 않아 적정한 대가산정에 어려움이 발생했다.

이에 따라 개인정보 영향평가 사업금액을 낮게 책정해 사업을 추진하는 경우 영향평가 수행품질이 저하되는 문제까지 이어졌다. 

KISA는 이러한 문제를 개선하고자 개인정보 영향평가 사업의 적정대가 기준 및 산정방법을 제시한 ‘개인정보 영향평가 대가산정 가이드’를 마련했다.

해당 가이드는 기존 대가산정 방식인 ‘투입공수 방식’ 외에 영향평가 업무의 가중치, 난이도를 고려해 신설한 ‘컨설팅 업무량 방식’의 내용을 담고 있다.

투입공수 방식은 영향평가 사업의 포괄적인 대가를 산정할 때 활용할 수 있으며, 컨설팅 업무량 방식은 영향평가 수행 업무량 및 시스템 구분별 난이도 값을 기반으로 사업 유형에 따라 세부적으로 대가를 산정할 때 활용할 수 있다.

오용석 KISA 개인정보정책단장은 “2023년부터 공공기관이 영향평가 사업 추진 시 금번 발표된 대가산정 가이드를 적극적으로 활용하여 영향평가 수행품질을 높이고, 더 나아가 영향평가 사업이 더욱 활성화돼 공공기관의 개인정보 관리수준이 더욱 높아지길 바란다”고 말했다.