바이오 빅데이터 플랫폼 구축(1단계) 개인정보 영향평가(2년 6천2백5십만원)

바이오 빅데이터 플랫폼 구축(1단계) 개인정보 영향평가

1. 사업 개요

• 사업명: 바이오 빅데이터 플랫폼 구축(1단계) 개인정보 영향평가
• 주관기관: 한국과학기술정보연구원(KISTI)
• 사업기간: 계약 체결일 ~ 2026년 11월 30일
• 사업예산: 62,500,000원 (부가세 포함, 1차년도 43,750,000원, 2차년도 18,750,000원)
• 계약방식: 제한경쟁(협상에 의한 계약)
• 수행방법: 행정안전부 「개인정보 영향평가 수행 안내서」 준수

2. 사업 목적 및 필요성

• 바이오 빅데이터 플랫폼 구축 과정에서 개인정보 침해 가능성 분석 및 개선 방안 도출
• 개인정보보호법 제33조 및 시행령 제35조에 따른 영향평가 수행 의무 준수
• 물리적, 기술적, 관리적 보안 체계 구축을 통해 개인정보 유출 위험 최소화
• 국가 바이오 연구 데이터 보호 및 활용도 제고

3. 주요 수행 내용

① 개인정보 영향평가 수행

• 법령 및 정책 분석: 개인정보보호법, 관련 가이드라인 준수 여부 점검
• 개인정보 흐름 분석: 수집, 저장, 이용, 제공, 파기 단계별 보호 조치 적절성 평가
• 위험 요소 도출: 침해 가능성 높은 부분 분석 및 개선 방안 제시
• 기술적·관리적 보호 대책 수립: 데이터 보안, 접근통제 시스템 검토 및 최적화

② R&D 사업 수행 및 개선 대안 제시

• 개인정보 보호 강화를 위한 데이터 보안 인프라 구축
• 향후 플랫폼 서비스(2단계)와 연계한 보안 체계 개선 로드맵 수립

③ 프로젝트 관리 및 품질 보증

• 사업 수행 조직 및 업무 분장
• 개인정보 보호 교육 및 기술 지원 제공
• 품질 및 보안 관리 체계 확립

4. 수행 일정 (예시)

구분수행 내용일정

1단계	영향평가 계획 수립	계약 후 1개월
2단계	현장 점검 및 인터뷰	계약 후 2~4개월
3단계	개인정보 보호 조치 검토 및 개선방안 도출	계약 후 5~6개월
4단계	최종 보고서 제출 및 평가	계약 후 7~8개월

5. 제안서 작성 및 평가 기준

① 평가 비율

• 기술평가 90%, 가격평가 10%
• 기술평가 점수 85% 미만일 경우 협상 대상에서 제외

② 평가 항목

평가 항목주요 내용배점

사업 이해도	목표 및 문제 파악 능력	15점
개인정보 영향평가	평가 대상 선정, 수행 방안, 인력 구성	30점
사업 관리	수행 조직 구성, 리스크 관리	27점
품질 및 교육	품질 보증, 교육 훈련	15점
경영 역량	신용평가 등급	3점

6. 기대 효과

• 개인정보 보호 강화: 바이오 빅데이터 플랫폼의 보안 수준 향상
• 법적 준수 보장: 개인정보 보호법 및 국내외 규제 충족
• 데이터 신뢰성 확보: 연구자 및 기업의 데이터 활용 신뢰도 증가
• 보안 위험 최소화: 사전 위험 분석 및 침해 대응 전략 강화

본 사업은 바이오 빅데이터 플랫폼의 개인정보 보호 및 보안 체계를 강화하기 위해 추진되며, 개인정보 영향평가를 통해 데이터 보호 및 안전한 연구 환경 조성을 목표로 합니다. 법적 준수, 보안 위험 최소화, 데이터 활용도 제고를 위한 종합적인 평가 및 개선 방안을 마련하는 것이 주요 과업입니다.

---

여기서 개인정보 영향평가에 대해 살펴 보겠습니다.

개인정보 영향평가 (PIA, Privacy Impact Assessment) 는 정보 시스템이 개인정보를 처리할 때, 개인정보 침해 가능성을 사전에 분석하고, 그 위험을 줄이기 위한 조치를 마련하는 과정입니다.

이번 "바이오 빅데이터 플랫폼 구축(1단계) 개인정보 영향평가" 사업에서는 다음과 같은 단계로 진행됩니다.

[개인정보 영향평가(PIA) 수행 단계]

1️⃣ 사전 준비 (계획 수립)
대상 선정: 영향평가가 필요한 시스템(바이오 빅데이터 플랫폼 등)을 선정
평가 범위 결정: 어떤 개인정보를 평가할지 정의(수집, 저장, 처리, 공유, 파기 단계 포함)
관련 법령 및 규정 검토: 개인정보보호법, 바이오 데이터 관련 법령 준수 여부 분석
평가 기준 마련: 개인정보 흐름도, 리스크 분석 기준 정리

2️⃣ 개인정보 흐름 분석
개인정보 라이프사이클 분석

수집: 어떤 데이터를, 어떤 방식으로 수집하는가? (예: 연구 참여자의 유전체 데이터)
저장: 데이터는 어디에, 어떻게 저장되는가? (예: 클라우드, 로컬 서버)
이용: 데이터를 어떤 방식으로 활용하는가? (예: AI 분석, 연구 활용)
공유: 데이터는 누구와, 어떤 조건으로 공유하는가? (예: 연구기관, 제3자)
파기: 불필요한 데이터는 언제, 어떤 방식으로 삭제하는가? (예: 자동 삭제, 보관 기간 명시)
기술적 보호 조치 점검

데이터 암호화 및 접근제어 적용 여부
개인정보 비식별화(가명처리) 여부
네트워크 보안 및 해킹 대응 조치

3️⃣ 개인정보 위험 요소 도출
법적 위반 가능성 분석

현행 법률(개인정보보호법, 생명윤리법 등)과 비교하여 문제점 도출
해외 법규(GDPR, HIPAA 등)도 고려하여 글로벌 준수 여부 평가
기술적 보안 위험 분석

해킹, 데이터 유출, 부적절한 접근 가능성 평가
시스템 내 개인정보 오·남용 가능성 검토
관리적 보안 위험 분석

연구 참여자 동의 절차 적절성 평가
내부 직원 및 연구자의 개인정보 접근 관리 체계 검토

4️⃣ 보호 대책 및 개선 방안 마련
위험 요소별 보호 대책 제시

데이터 접근 통제 강화
안전한 데이터 보관 및 암호화 정책 수립
불필요한 개인정보 수집 최소화 및 보유기간 관리
개선 후 개인정보 보호 체계 설계

보안 시스템 개선 계획 마련
개인정보 보호 교육 프로그램 운영
연구자 및 관련 기관과 협력하여 데이터 공유 및 활용 방안 개선

5️⃣ 최종 보고서 제출 및 지속적 점검
개인정보 영향평가 보고서 작성

평가 결과 및 보완 조치 포함
문제점 개선 방안 제안
향후 2단계 사업(바이오 빅데이터 플랫폼 고도화)과 연계한 보안 전략 제시
사후 모니터링

개인정보 보호 조치가 실제 적용되는지 정기 점검
추가 보완이 필요한 사항 분석 및 개선

[기대 효과]
✅ 개인정보 보호 강화 – 바이오 빅데이터 플랫폼의 보안 수준 향상
✅ 법적 준수 보장 – 개인정보 보호법 및 관련 규제 준수
✅ 데이터 신뢰성 확보 – 연구자 및 기업의 데이터 활용 신뢰도 증가
✅ 보안 위험 최소화 – 사전 위험 분석을 통한 대응 전략 강화

개인정보 영향평가(PIA)는 바이오 빅데이터 플랫폼이 개인정보를 안전하게 처리할 수 있도록 법적, 기술적, 관리적 측면에서 사전 점검하는 과정입니다. 이 평가를 통해 데이터 유출 및 개인정보 침해 위험을 최소화하고, 연구 데이터가 안전하게 활용될 수 있도록 보안 체계를 구축하는 것이 핵심 목표입니다.