개인정보 영향평가는 무엇인가요?

개인정보 영향평가는 개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축 · 운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사 · 분석 · 평가하는 체계적인 절차입니다.

 

ISMS(정보보호 관리체계 인증)도 인증 의무대상이 있는 것처럼, 개인정보 영향평가도 의무 평가 대상이 있습니다. 그게 누구일까요?

 

일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축 · 운영 또는 변경하려는 공공기관은 개인정보보호법 제33조(개인정보 영향평가) 및 동법 시행령 제35조(개인정보 영향평가의 대상)에 근거하여 영향평가를 수행해야 합니다.

- (5만명 조건) 5만명 이상의 정보주체의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일

- (50만명 조건) 해당 공공기관의 내부 또는 외부의 개인정보파일과 연계하는 경우로서, 연계 결과 정보주체의 수가 50만명 이상인 개인정보파일

- (100만명 조건) 100만 명 이상의 정보주체 수를 포함하고 있는 개인정보파일

※ 현시점 기준으로 영향평가 대상은 아니나 가까운 시점(1년 이내)에 정보주체의 수가 법령이 정한 기준 이상이 될 가능서이 있는 경우, 영향평가를 수행할 것을 권고

- (변경 시) 영 제35조에 근거하여 영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 변경된 부분에 대해서는 영향평가를 실시
※ 법령상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집·이용하는 기관은 개인정보
유출 및 오·남용으로 인한 사회적 피해를 막기 위해 영향평가 수행 가능

 

그럼 개인정보 영향평가를 수행해야 하는 시기는 언제일까요?

 

● 시스템을 신규 구축 또는 기존 시스템을 변경하는 경우
개인정보처리시스템을 신규로 구축 하거나 기존 시스템을 변경하려는 기관은 사업계획 단계에서 영향평가
의무대상 여부를 파악하여 예산을 확보한 후, 대상 시스템의 설계 완료 전에 영향평가를 수행해야 함. 또한
영향평가 결과는 시스템 설계·개발 시 반영해야 함(「개인정보 영향평가에 관한 고시」 제9조의2)

 

● 기 구축되어 운영 중인 시스템의 경우
개인정보처리시스템을 기 구축·운영 중, 아래의 경우 추가적으로 영향평가 수행 가능
- 수집·이용 및 관리상에 중대한 침해위험의 발생이 우려되는 경우
- 전반적인 개인정보 보호체계를 점검하여 개선하기 위한 경우

 

영향평가를 수행하는 주체에 대해 공공기관은 개인정보보호위원회가 지정한 영향평가기관에 평가를 의뢰하여 수행해야 합니다.

 

영향평가를 수행하고 그 결과 및 요약본을 최종 제출받은 날로부터 2개월 이내에 개인정보보호위원회에 제출해야 합니다.

 

그리고 영향평가를 준비하는 기관은 개인정보 침해요인 분석을 위한 5개 평가영역 27개의 평가분야에 대하여 총 107개의 지표를 기반으로 활용하고, 대상기관이 1년 이내에 이미 평가받은 항목은 그 변경이 없는 때에는 평가항목에서 제외되며 명시되지 않은 특화된 IT기술을 적용하는 경우에는 해당 기술이 개인정보 보호에 미치는 영향에 대해 평가항목을 개발하여 영향평가 시 반영해야 합니다.

 

평가영역	평가분야	세부분야	No	평가항
1. 대상기관 개인정보보호 관리체계	1.1 개인정보 보호 조직	개인정보보호 책임자의 지정	1.1.1	개인정보 보호책임자를 법령기준에 따라 지정하고 있습니까?
		개인정보보호 책임자 역할수행	1.1.2	개인정보 보호책임자에게 법령 등에서 정하는 역할 및 책임에 관한 사항을 정책화하고, 이에 근거해 관련 업무를 수행하도록 하고 있습니까?
	1.2 개인정보 보호 계획	내부 관리계획 수립	1.2.1	개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 필수 사항을 포함하는 내부관리계획을 수립·시행하고 있습니까?
			1.2.2	개인정보 보호책임자는 접근 권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검·관리하고 있습니까?
		개인정보보호 연간 계획 수립	1.2.3	개인정보보호 교육, 실태점검 등 개인정보보호 활동에 대한 연간 수행계획을 수립·시행하고 있습니까?
	1.3 개인정보 침해대응	침해사고 신고방법 안내	1.3.1	개인정보 침해사실을 신고할 수 있는 방법을 정보주체에게 안내하고 있습니까?
		유출사고 대응	1.3.2	개인정보 유출 신고·통지 절차, 긴급 연락체계, 사고 대응 조직 구성 등을 포함한 개인정보 침해사고 대응절차를 수립하여 실시하고 있습니까?
	1.4 정보주체 권리보장	정보주체 권리보장 절차 수립	1.4.1	개인정보 열람, 정정·삭제, 처리정지, 수집출처 통지 등 정보주체의 권리보장과 요구에 대한 처리절차를 수립하여 실시하고 있습니까?
		정보주체 권리보장 방법 안내	1.4.2	정보주체의 요구에 대한 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하고 있습니까?
			1.4.3	개인정보의 이용·제공 내역이나 이용·제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하고 있습니까?
2. 대상시스템의 개인정보보호 관리체계	2.1 개인정보취급자 관리	개인정보취급자 지정	2.1.1	대상시스템에 대해 업무상 개인정보 취급 범위를 최소한으로 제한하고 업무수행에 필요한 최소한의 인원이 개인정보를 처리하도록 개인정보취급자 지정을 계획하고 있습니까?
		개인정보취급자 관리·감독	2.1.2	대상시스템에 대한 개인정보취급자를 대상으로 역할 및 책임 부여, 개인정보보호 교육, 개인정보보호서약서 작성 등 관리·감독을 계획하고 있습니까?
	2.2 개인정보 파일 관리	개인정보파일 대장 관리	2.2.1	대상시스템에서 개인정보파일을 신규로 보유하거나 변경하는 경우, 개인정보파일대장을 작성하거나 변경하도록 계획하고 있습니까?
		개인정보파일 등록	2.2.2	대상시스템에서 개인정보파일을 신규로 보유하거나 기존파일을 변경하는 경우, 개인정보보호위원회에 등록하도록 계획하고 있습니까?
	2.3 개인정보 처리방침	개인정보 처리방침의 공개	2.3.1	대상시스템에 대한 개인정보 처리방침을 수립하거나 변경하는 경우에는 인터넷 홈페이지·관보 등에 정보주체가 알기 쉽게 확인할 수 있는 방법으로 안내하도록 계획하고 있습니까?
		개인정보 처리방침의 작성	2.3.2	대상시스템의 개인정보 처리방침은 법령 등에 따라 포함하여야 할 사항을 적정하게 정하고, 알기 쉽게 작성하며 정보주체가 쉽게 확인할 수 있도록 계획하고있습니까?
3. 개인정보 처리단계별 보호조치	3.1 수집	개인정보 수집의 적합성	3.1.1	개인정보를 수집하는 경우 정보주체의 동의를 받거나, 법령 등에 따라 적법하게 수집하도록 계획하고 있습니까?
			3.1.2	개인정보를 수집하는 경우 목적에 필요한 최소한의 범위에서만 수집하도록 계획하고 있습니까?
			3.1.3	민감정보를 처리하는 경우 다른 개인정보의 처리에 대한 동의와 별도로 구분하여 동의를 받거나, 법령 등에 따라 적법하게 처리하도록 계획하고 있습니까?
			3.1.4	고유식별정보(주민등록번호 제외)를 처리하는 경우 다른 개인정보의 처리에 대한 동의와 별도로 구분하여 동의를 받거나, 법령 등에 따라 적법하게 처리하도록 계획하고 있습니까?
			3.1.5	주민등록번호는 법적 근거가 있는 경우에 한하여 수집하고 있으며, 인터넷 홈페이지에 대해서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있도록 계획하고 있습니까?
		동의받는 방법의 적절성	3.1.6	개인정보를 수집하는 경우 필수항목과 선택항목을 분리하고 선택적으로 동의할 수 있는 사항에 동의하지 아니하여도 서비스 이용이 가능하도록 계획하고 있습니까?
			3.1.7	만14세 미만 아동의 개인정보를 수집하는 경우 법정대리인의 동의를 받고, 법정대리인이 동의하였는지를 확인하도록 계획하고 있습니까?
			3.1.8	개인정보 관련 동의를 서면으로 받을 때에는 중요한 내용을 명확히 표시하여 알아보기 쉽게 하고, 개인정보 수집·이용, 제3자 제공, 목적외 이용 등에 대해 각각 구분하여 동의를 받도록 계획하고 있습니까?
			3.1.9	정보주체의 동의 없이 처리할 수 있는 개인정보의 항목과 그 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법으로 정보주체에게 알리도록 계획하고 있습니까?
			3.1.10	재화 또는 서비스를 제공하는 과정에서 공개되는정보에 민감정보가 포함될 경우 재화 또는 서비스를 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는방법을 정보주체가 알아보기 쉽게 알리도록 계획하고 있습니까?
	3.2 보유	보유기간 산정	3.2.1	개인정보의 보유기간을 법령 기준 및 보유목적에 부합된 최소한의 기간으로 산정하도록 계획하고 있습니까?
	3.3 이용·제공	개인정보 제공의 적합성	3.3.1	개인정보를 제3자에게 제공하는 경우 정보주체의 동의를 받거나, 법령 등에 따라 적법하게 제공하도록 계획하고 있습니까?
			3.3.2	개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최 소한의 항목으로 제한하도록 계획하고 있습니까?
		목적 외 이용·제공 제한	3.3.3	개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우, 정보주체의 별도 동의를 받거나, 법령 등에 따라 적법하게 목적외 이용·제공하도록 계획하고 있습니까?
			3.3.4	개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우 이용목적에 맞는 최소한의 항목으로 제한하도록 계획하고 있습니까?
			3.3.5	개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우 ‘개인정보 목적 외 이용 및 제3자 제공 대장’에 기록·관리하도록 계획하고 있습니까?
			3.3.6	개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우 관련 내용을 관보 또는 인터넷 홈페이지 등을 통해 공개하도록 계획하고 있습니까?
		제공시 안전성 확보	3.3.7	개인정보를 제3자에게 제공하거나 연계하는 경우 암호화 조치, 보유기간 지정 등 안전성 확보를 위해 필요한 조치를 적용하도록 계획하고 있습니까?
	3.4 위탁	위탁사실 공개	3.4.1	개인정보 처리에 관한 업무 위탁시 위탁하는 업무의 내용, 수탁자(개인정보 처리업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함) 등의 사항을 정보주체에게 공개 또는 통지하도록 계획하고 있습니까?
		위탁 계약	3.4.2	개인정보 처리에 관한 업무 위탁 시에 법령 등에 따른 내용이 모두 포함된 문서를 작성하도록 계획하고 있습니까?
		수탁사 관리·감독	3.4.3	개인정보 처리에 관한 업무를 위탁받아 처리하는 자가 위탁받은 개인정보 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받도록 계획하고 있습니까?
			3.4.4	개인정보 처리에 관한 업무를 위탁받아 처리하는 자(수탁자)를 대상으로 개인정보보호 교육, 처리현 황 점검 등 관리·감독 활동을 계획하고 있습니까?
	3.5 파기	파기 계획 수립	3.5.1	개인정보의 보유 목적이 달성되었거나 보유 기간이 경과되었을 때 지체없이 파기되도록 계획하고 있습니까?
		분리보관 계획 수립	3.5.2	다른 법령 등에 따라 개인정보를 보존할 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리하도록 계획하고 있습니까?
		파기대장 작성	3.5.3	개인정보파일을 파기하는 경우 파기 결과 등을 ‘개인정보 파일 파기 관리대장’에 기록·관리하도록 계획하고 있습니까?
4. 대상시스템의 기술적 보호조치	4.1 접근권한 관리	계정 관리	4.1.1	개인정보취급자별로 책임추적성이 확보될 수 있도록 개별 계정을 부여하도록 계획하고 있습니까?
		인증 관리	4.1.2	개인정보취급자 및 정보주체의 인증수단을 안전하 게 적용하고 관리하도록 계획하고 있습니까?
			4.1.3	정보주체가 비밀번호 변경 등 중요 정보 접근 시 비밀번호 재확인 등 추가적인 인증이 적용되도록 계획하고 있습니까?
			4.1.4	대량의 개인정보 또는 민감한 개인정보를 처리하는 개인정보취급자 및 관리자는 강화된 인증방식이 적용되도록 계획하고 있습니까?
			4.1.5	정당한 권한을 가진 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 취하도록 계획하고 있습니까?
			4.1.6	개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무 처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 계획하고 있습니까?
			4.1.7	개인정보처리시스템에 대한 비정상적인 접근을 방지하기 위하여 장기 미접속시 계정 잠금, 동시 접속 제한, 관리자 로그인 알림 등 보호 대책이 적용되도록 계획하고 있습니까?
		권한 관리	4.1.8	개인정보취급자 또는 개인정보취급자의 업무가 변경될 경우 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소하도록 계획하고 있습니까?
			4.1.9	개인정보처리시스템의 접근권한을 부여, 변경 또는 말소한 내역을 기록하고 그 기록을 최소 3년간 보관하도록 계획하고 있습니까?
			4.1.10	개인정보처리시스템에 대한 개인정보취급자의 권한을 조회, 입력, 변경, 삭제, 출력, 다운로드 등 그 역할에 따라 최소한으로 부여할 수 있도록 계획하고 있습니까?
	4.2 접근통제	접근통제 조치	4.2.1	개인정보처리시스템에 대한 불법적인 접근 제한 및 개인정보 유출 시도 탐지·대응을 위한 안전조치를 하도록 계획하고 있습니까?
			4.2.2	개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하도록 계획하고 있습니까?
			4.2.3	인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 등을 통해 개인정보가 노출되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자 컴퓨터, 모바일기기 등에 조치를 계획하고 있습니까?
			4.2.4	개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대한 안전 조치를 적용하도록 계획하고 있습니까?
			4.2.5	개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하도록 계획하고 있습니까?
		인터넷 홈페이지 보호조치	4.2.6	인터넷 홈페이지 취약점으로 인한 개인정보의 유출, 변조, 훼손 등을 방지하기 위하여 웹서버 및 응용프로그램에 대한 취약점점검 및 대응조치를 수행하도록 계획하고 있습니까?
		업무용 모바일기기 보호조치	4.2.7	개인정보를 처리하는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일기기에 비밀번호 설정 등의 보호조치를 계획하고 있습니까?
	4.3 개인정보의 암호화	저장시 암호화	4.3.1	인증정보, 고유식별정보 등 중요 개인정보를 저장하는 경우, 안전한 방식으로 암호화 저장하도록 계획하고 있습니까?
			4.3.2	이용자의 개인정보 또는 이용자가 아닌 정보주체의 고유식별정보를 개인정보취급자 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 안전한 알고리즘으로 암호화 저장하도록 계획하고 있습니까?
			4.3.3	암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하도록 계획하고 있습니까?
		전송시 암호화	4.3.4	인증정보, 고유식별정보 등 중요 개인정보를 정보통신망을 통해 송·수신하는 경우에는 암호화하도록 계획하고 있습니까?
	4.4 접속기록의 보관 및 점검	접속기록 보관	4.4.1	개인정보처리시스템의 접속기록을 식별자, 접속 일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등 필요한 사항이 모두 기록되도록 계획하고 있습니까?
		접속기록 점검	4.4.2	개인정보의 오·남용, 분실·도난, 유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록을 정기적(월 1회 이상)으로 점검하도록 계획하고 있습니까?
		접속기록 보관 및 백업	4.4.3	개인정보처리시스템의 접속기록을 최소 1년 또는 2년 이상 보관하고 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하기 위한 조치를 계획하고 있습니까?
	4.5 악성 프로그램 등 방지	백신 설치 및 운영	4.5.1	악성프로그램 등을 점검, 치료할 수 있는 보안 프로그램을 설치하고 최신업데이트 및 악성프로그램의 주기적 점검 등 대응조치를 실시하도록 계획하고 있습니까?
		보안업데이트 적용	4.5.2	악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용프로그램, 운영체제 소프트웨어 제작업체에서 보안 업데이트 공지가 있는 경우, 이에 따른 업데이트가 지체없이 실시되도록 계획하고 있습니까?
	4.6 물리적 접근 방지	출입통제 절차 수립	4.6.1	전산실, 자료보관실 등 개인정보를 보관하는 물리적 장소에 대한 출입통제 절차를 수립·운영하도록 계획하고 있습니까?
		반출·입 통제절차 수립	4.6.2	개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하고, 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하도록 계획하고 있습니까?
	4.7 개인정보의 파기	안전한 파기	4.7.1	개인정보를 파기할 경우 복구 또는 재생되지 않는 방법으로 파기하도록 계획하고 있습니까?
	4.8 기타 기술적 보호조치	개발환경 통제	4.8.1	개발환경을 통한 개인정보의 유출을 방지하기 위하여 테스트 데이터 생성, 이용, 파기 및 기술적 보호조치 등에 관한 대책을 적용하도록 계획하고 있습니까?
		개인정보 처리화면 보안	4.8.2	개인정보취급자 및 정보주체의 개인정보 처리화면을 통한 개인정보 유·노출 등을 방지하기 위하여 개인정보 마스킹, 웹브라우저 우측 마우스 버튼 제한, 임시 파일 및 캐시 통제, 카드번호 등 중요 정보에 대한 복사·화면 캡쳐 방지 및 키보드해킹 방지 등 보호대책을 적용하도록 계획하고 있습니까?
		출력 시 보호조치	4.8.3	개인정보취급자가 개인정보를 종이로 출력할 경우 출력·복사물에 대하여 출력자ㆍ출력일시 표시 등의 보호대책을 적용하도록 계획하고 있습니까?
			4.8.4	개인정보처리시스템에서 개인정보의 출력(인쇄, 화면 표시, 파일생성 등)시 용도를 특정하여 용도에 따라 출력항목을 최소화하여 출력하도록 계획하고 있습니까?
	4.9 개인정보 처리구역 보호조치	보호구역 지정	4.9.1	개인정보처리시스템 및 개인정보를 보관하고 있는 물리적 장소를 보호구역으로 지정하고 물리·환경적인 위협에 대응할 수 있도록 영상정보처리기기, 출입통제장치, 화재경보기 등 보호설비를 설치·운영하도록 계획하 고 있습니까?
			4.9.2	개인정보처리자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기 대응 매뉴얼 등 대응 절차를 마련하고 정기적으로 점검하도록 계획하고 있습니까?
			4.9.3	개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하도록 계획하고 있습니까?
5. 특정IT 기술 활용 시 개인정보보호	5.1 고정형 영상정보처리기기	고정형 영상정보처리기기 설치 운영계획 수립	5.1.1	고정형 영상정보처리기기 설치 시 법에 정 한 기준에 따라 적법하게 설치·운영하도록 계획하고 있습니까?
		고정형 영상정보처리기기 설치 시 의견수렴	5.1.2	고정형 영상정보처리기기 설치시 관계 전문 가 및 이해관계인의 의견을 수렴하도록 계획하고 있습니 까?
		고정형 영상정보처리기기 설치 안내	5.1.3	고정형 영상정보처리기기 설치 후 정보주체가 이를 쉽게 인식할 수 있도록 안내판을 설치하거나 홈페이지 등을 통해 안내하도록 계획하고 있습니까?
		고정형 영상정보처리기기 사용 제한	5.1.4	고 정형 영상정보처리기기 사용 시 임의조작 및 음성녹음을 사용할 수 없도록 계획하고 있습니까?
			5.1.5	고정형 영상정보처리기기 운영 시 고정형 영상정보처리기기에 대한 운영·관리방침을 수립하도록 계획하고 있습니까?
		고정형 영상정보처리기기 설치 및 관리에 대한 위탁	5.1.6	고정형 영상정보처리기기 관리 위탁 시 개인정보보호에 필요한 전문성 및 역량을 갖춘 기관을 선정하도록 계획하고 있습니까?
	5.2 RFID	RFID 이용자 안내	5.2.1	RFID 태그에 기록된 개인정보를 수집하는 경우 이용자에게 통지하거나 알아보기 쉽게 표시하도록 계획하고 있습니까?
			5.2.2	RFID 태그의 물품정보 등과 개인정보를 연계하는 경우 그 사실을 이용자에게 통지하거나 알기 쉽게 표기하도록 계획하고 있습니까?
			5.2.3	RFID 태그의 물품정보 등과 개인정보를 연계하여 생성된 정보를 수집 목적 외로 이용하거나 제3자에게 제공할 경우 이용자의 동의를 얻도록 계획하고 있습니까?
			5.2.4	RFID 태그에 기록된 개인정보를 판독할 수 있는 리더기를 설치한 경우 설치 사실을 이용자가 인식하기 쉽게 표기하도록 계획하고 있습니까?
		RFID 태그 부착 및 제거	5.2.5	구입 및 제공받은 물품에 RFID 태그가 내장 및 부착되어 있을 경우 부착 위치, 기록정보 및 기능에 대해 표시하도록 계획하고 있습니까?
			5.2.6	RFID 태그가 내장 및 부착되어 있는 경우 판매 혹은 제공하는 자로부터 태그 기능을 제거할 수 있는 방법 또는 수단을 제공하도록 계획하고 있습니까?
			5.2.7	이용자의 신체에 RFID를 지속적으로 착용하지 않도록 계획하고 있습니까?
	5.3 생체인식정보	원본정보 보관시 보호조치	5.3.1	수집된 생체인식 원본정보와 제공자를 알 수 있는 신상정보(성명, 연락처 등)를 별도로 분리하도록 계획하고 있습니까?
			5.3.2	원본정보의 경우 특징정보 생성 후 지체 없이 파기하여 복원할 수 없도록 계획하고 있습니까?
	5.4 위치정보	개인위치정보 수집 동의	5.4.1	개인위치정보 수집 시 정보주체 또는 위치정보 수집장치 소유자에 대해 사전고지와 명시적 동의를 거치도록 계획하고 있습니까?
		개인위치정보 제공시 안내사항	5.4.2	개인위치정보를 정보주체가 지정하는 제3자에게 제공하는 경우에는 개인위치정보주체에게 제공받는 자, 제공일 및 제공목적을 통보하도록 계획하고 있습니까?
	5.5 가명정보	가명정보의 처리	5.5.1	정보주체 동의 없이 가명정보 처리 시 가명정보 처리목적을 통계작성, 과학적 연구, 공익적 기록보존 등 적법하게 처리하도록 계획하고 있습니까?
			5.5.2	가명정보 처리 시 가명정보 처리 등에 관한 사항을 개인정보 처리방침에 공개하도록 계획하고 있습니까?
			5.5.3	가명정보의 이용 또는 제공하기 전에 재식별 위험성 등 적정성 검토를 받은 후 활용하도록 계획하고 있습니까?
			5.5.4	다른 개인정보처리자와 가명정보를 결합하는 경우 결합전문기관 또는 데이터전문기관을 통해 수행하도록 계획하고 있습니까?
		가명정보의 안전 조치의무 등	5.5.5	가명정보 및 추가 정보를 안전하게 처리하기 위한 내부관리계획을 수립·시행하도록 계획하고 있습니까?
			5.5.6	추가 정보는 별도로 저장·관리하거나 삭제하도록 계획하고 있습니까?
			5.5.7	가명정보취급자는 추가 정보에 접근할 수 없도록 접근권한을 분리하도록 계획하고 있습니까?
			5.5.8	가명정보에 대한 처리목적 등을 고려하여 가명정보의 처리기간을 정하도록 계획하고 있습니까?
			5.5.9	가명정보의 처리 내용을 관리하기 위하여 관련 기록을 작성하여 보관하도록 계획하고 있습니까?
	5.6 이동형 영상정보처리기기	영상정보 촬영 및 안내	5.6.1	업무를 목적으로 이동형 영상정보처리기기를 운영하려는 경우 법에 정한 기준에 따라 적법하게 촬영하도록 계획하고 있습니까?
			5.6.2	영상을 촬영하는 경우 불빛, 소리, 안내판, 안내서면, 안내방송 또는 그 밖에 이에 준하는 수단이나 방법으로 정보주체가 촬영 사실을 쉽게 알 수 있도록 표시하고 알리도록 계획하고 있습니까?
		영상정보 촬용 사용제한	5.6.3	영상정보 촬영 시 이동형 영상정보처리기기에 대한 운영·관리방침을 수립하도록 계획하고 있습니까?
		영상정보 촬용 및 관리에 대한 위탁	5.6.4	영상정보 촬영 및 관리 위탁 시 개인정보보호에 필요한 전문성 및 역량을 갖춘 기관을 선정하도록 계획하고 있습니까?
	5.7 자동화된 결정	자동화된 결정에 대한 정보주체의 권리 등	개정 예정