Personal Information Protection by Privacy Impact Assessment in Information System Audit

정보시스템 감리에서 개인정보 영향평가를 통한 개인정보 보호

  • Received : 2011.02.07
  • Accepted : 2011.03.08
  • Published : 2011.03.28


As the integrated and large-scale information is extended due to an advanced information system, a possibility of leaking out privacy increases as the time passes by. As a result, the necessity of using a privacy impact assessment (PIA) is emphasized because it can analyze and minimize the element of invasion of privacy. However, an essential audit for personal information protection is not fulfilled because most of the information system audit supervises over physical, managerial, and technical security items of system architecture area so that general items are the only things being checked. Consequently, this paper proposes that in order to minimize the invasion of personal information, the privacy impact assessment should be done. It also presents a procedure and method of personal information protection audit according to the result of the assessment. After applying the suggested method to two projects, it was confirmed that the improvements for protecting personal information were drawn from this paper.


Privacy Impact Assessment;Personal Information Protection;Information Protection Audit


  1. 남현수, 개인정보보호의 공법적 실현에 관한 연구, 숭실대학교 대학원 석사논문, 2008.
  2. 심봉권, 개인정보보호 측면에서의 보안감리 방법에 관한 연구, 건국대학교 대학원 석사논문, 2008.
  3. 서석배, 차세대 전자정부 서비스의 개인정보보호 아키텍처 설계 방안에 관한 연구, 건국대학교 대학원 석사논문, 2008.
  4. Ontario, A user's Guide - Privacy Impact Assessment, 2001.
  5. 한국정보보호진흥원, 개인정보 영향평가(PIA) 교육 교재, 한국정보보호진흥원, 2006a.
  6. 송세현, 개인정보보호를 위한 프라이버시 영향평가 (PIA) 모델, 경기대학교 대학원 석사논문, 2004.
  7. 박순희, 이동통신사를 위한 개인정보 영향평가 (PIA) 적용 방안에 관한 연구, 동국대학교 대학원 석사논문, 2006.
  8. 한국정보보호진흥원, 기업의 개인정보 영향평가 수행을 위한 가이드, 2005a.
  9. 한국정보보호진흥원, 정보시스템 구축단계별 정보보호 가이드라인, 2004.
  10. ISO/IEC, International standard ISO/IEC 17799 Information technology Code of practice for information security management, 2000.
  11. 한국정보보호진흥원, 정보보호 거버넌스 개념 도입을 위한 정보보호 관리체계(ISMS) 발전 방안 연구, 2009.
  12. ISO/IEC 27001, International standard - Information technology - Security techniques - Information security management systems - Requirements, 2005.
  13. 한국정보보호진흥원, 정보시스템 구축단계별 정보보호 가이드라인, 2004.
  14. 문승준, 내부정보유출 통제를 위한 보안수준 평가방법 개발에 관한 연구, 조선대학교 경영대학원 석사논문, 2009.
  15. 서세일, 웹상에서 신원도용 및 프라이버시 보호를 위한 사례 연구, 남서울대학원 석사논문, 2007
  16. British Standard Institute, BS ISO/IEC 27001:2005, 2005.