ㅇ 지정분야는 과학기술과 정보통신(ICT) 분야 전반이며, 지정 대상은 공공 및 민간의 법인, 단체 또는 기관이다.

 ㅇ 신청기관은 서면·현장 심사 및 결합테스트를 거쳐 보호위원회가 고시한 조직·인력, 시설·장비, 재정 요건 등의 충족 여부를 심사한 후 결합전문기관으로 지정될 예정이다.

 ㅇ 결합전문기관 지정 절차 및 지정 기준, 접수방법 등에 대한 보다 자세한 사항은 과기정통부 누리집(http://www.mist.go.kr)에서 확인 가능하다.

□ 아울러, 결합전문기관 지정 수요기관의 예측 가능성을 제고하기 위하여 전문기관 지정절차와 별도로 사전컨설팅 절차를 운영할 계획이다.

 ㅇ 신청기관은 지정기준 충족을 위한 계획서를 제출하고, 과기정통부는 별도의 평가단을 통해 계획서 상 지정기준을 충족 가능한지 검토하고 보완사항을 제안한다.

    ※ 사전컨설팅은 법적 효력이 없는 절차로서 컨설팅 결과 적합 판정을 받았어도 결합전문기관으로 지정받는 것은 아니며, 다만 본심사 시 사전컨설팅 검토사항을 참고하여 심사할 수 있음

 ㅇ 결합전문기관 지정 절차가 완료된 이후 사전컨설팅을 위한 별도의 공고를 통해 사전컨설팅 신청기관을 접수받을 예정이다.

 ㅇ (신청 방법) 제출서류를 구비하여 공문, 우편, 이메일 중 하나로 제출(우편의 경우 등기우편 서류제출 마감일 소인까지 인정)

   - 공문과 신청서를 제외한 나머지 제출 서류는 통합하여 PDF파일(파일명 : 지정기관명)로 제출

    ※ 제출 시 과기정통부 빅데이터진흥과(☎044-202-6298)로 접수 확인 필요

 ㅇ (제출 서류) 공문, 지정 신청서, 정관 또는 규약, 증빙자료 목록, 증빙자료 일체

 ㅇ (제출처) 과학기술정보통신부 인공지능기반정책관 빅데이터진흥과

   - (우편) 30121, 세종특별시 가름로 194(어진동), 세종파이낸스센터 2차

   - (이메일) khj1228@korea.kr

4. 심사 절차

 ㅇ (지정심사) 지정심사위원회를 통해 서면·현장심사 및 결합테스트 진행

   - (서면심사) 조직·인력, 시설·장비, 운영 정책·절차, 재정능력 등 서류로 확인 가능한 사항 심사

   - (현장심사) 가명정보 결합, 가명처리등, 반출심사를 할 수 있는 시설·장비 구축 현황과 정상 작동여부 등 심사

   - (결합테스트) 가명정보 및 결합키 연계정보 수신, 가명정보 결합, 결과 반출 등 일련의 절차가 정상적으로 이루어지는지 확인

    ※ 현장심사 전 테스트용 데이터를 제공하고 현장심사 시 결합테스트 결과 확인

   - (입증자료 보완) 심사 중 보완이 필요한 경우 기한 내에 보완 후 결과 제출(보완 요청 시 기한 개별공지)

 ㅇ (지정확정) 지정심사위원회의 심사를 거쳐 과기정통부에서 지정 확정(~11월)

5. 기타 참고사항

 ㅇ 제출된 서류는 일체 반환하지 않으며, 지정확정 기관이라도 점검결과 지정요건에 부합하지 않을 시 지정 취소 가능

 ㅇ 기타 문의사항은 과학기술정보통신부 빅데이터진흥과 김현정 사무관(☎ 044-202-6297)에게 문의

1. 담당 조직의 구성·운영

  가. 결합전문기관 운영을 위해 제2호에 따른 전문가를 포함한 8인 이상의 담당 조직 구성

  나. 담당 조직에 대한 관리책임자 지정

  다. 운영 인력에 대한 교육계획 수립

2. 제1호 가목의 담당 조직 구성 시 다음 각 목의 어느 하나에 해당하는 전문가를 3명 이상 상시 고용(이 경우 기술·법률 전문가가 각 1인 이상 포함되도록 하여야 한다)

  가. 「국가기술자격법」에 따른 정보통신 직무분야의 국가기술자격 중 정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사 자격 취득 후 1년 이상 개인정보 보호 관련 경력이 있는 사람

  나. 정보보호, 정보통신, 정보기술, 개인정보 보호, 데이터 분석, 통계학, 법학 관련 박사학위 취득 후 1년 이상 개인정보 보호 관련 경력이 있는 사람

  다. 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 제14조제1항에 따른 정보보호 및 개인정보보호 관리체계 인증심사원 자격(「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」로 통합 이전 「정보보호 관리체계 인증 등에 관한 고시」와 「개인정보보호 관리체계 인증 등에 관한 고시」에 따른 인증심사원 자격을 포함한다) 취득 후 4년 이상 개인정보 보호 관련 경력이 있는 사람

  라. 「변호사법」에 따른 변호사 자격 취득 후 1년 이상 개인정보 보호 관련 경력이 있는 사람

  마. 정보시스템감사통제협회(Information Systems Audit and Control Association)의 공인정보시스템감사사(CISA) 자격 취득 후 5년 이상 개인정보 보호 관련 경력이 있는 사람

  바. 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 공인정보시스템보호전문가(CISSP) 자격 취득 후 5년 이상 개인정보 보호 관련 경력이 있는 사람

  사. 정보보호, 정보통신, 정보기술, 개인정보 보호, 데이터 분석, 통계학, 법학 관련 석사학위 취득 후 4년 이상 개인정보 보호 관련 경력이 있는 사람

  아. 정보통신기사ㆍ정보처리기사 및 전자계산기조직응용기사, 정보보안기사 자격 취득 후 6년 이상 개인정보 보호 관련 경력이 있는 사람

  자. 정보보호, 정보통신, 정보기술, 데이터 분석, 통계, 가명처리 관련 업무에 10년 이상 종사한 사람

3. 다음 각 목에 따른 공간 및 시설 구축

  가. 결합, 가명정보 또는 법 제58조의2에 해당하는 정보로 처리(이하 ‘가명처리등’이라 한다), 반출심사를 위한 공간 및 시설

  나. 그 밖에 결합전문기관 업무 수행을 위한 공간 및 시설

  다. 가목 및 나목에 대한 물리적 안전조치

4. 다음 각 목의 기능을 수행하는 시스템 구축

  가. 가명정보 결합, 가명처리등, 반출심사에 필요한 기능

  나. 데이터 송신·수신에 필요한 기능

  다. 그 밖에 결합전문기관 업무를 위한 기능

5. 데이터 및 네트워크에 대한 보안조치 마련

  가. 데이터의 유출을 방지하기 위한 조치

  나. 결합, 가명처리등, 반출심사와 관련한 정보 및 시스템에 대한 접근 권한 관리 

  다. 비인가자의 불법적인 접근 차단 및 침해사고 방지를 위한 조치

  라. 개인정보 암호화 및 데이터 송신·수신 시 암호화 적용을 위한 조치

  마. 접속기록 보관 및 위조·변조 방지 조치

  바. 악성프로그램 등 방지 조치

  사. 결합전문기관 업무 수행을 위한 관리용 단말기의 안전조치(해당 경우에 한정함)

  아. 백업 및 복구를 위한 조치

  자. 데이터 파기를 위한 조치

  차. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조제2항에 따른 클라우드 보안인증을 받은 서비스 이용 시 가목부터 자목에 해당하는 보안조치가 포함되어 있는 경우 이를 입증할 수 있는 서류를 검토하여 해당 보안조치를 이행 한 것으로 볼 수 있다.

  카. 결합전문기관으로서 처리하는 정보와 그 밖에 자신이 보유한 개인정보의 분리

6. 정책 및 절차 마련

  가. 결합, 가명처리등, 반출심사(심사위원 구성 방안 포함)를 위한 정책 및 절차

  나. 결합전문기관 업무를 위한 각 공간에 대한 출입 통제 정책 및 절차

  다. 데이터 반출·반입 통제 정책 및 절차

  라. 데이터 파기 및 기록·보관에 대한 정책 및 절차

  마. 개인정보의 안전성 확보조치 기준 제4조제1항제4호부터 제9호까지, 제11호, 제13호(접근권한 관리, 접근 통제, 개인정보 암호화, 접속기록 보관 및 점검, 악성프로그램 등 방지, 물리적 안전조치, 개인정보 유출사고 대응 계획, 재해 및 재난 대비에 관한 사항)에 대한 내부관리계획

7. 자본금 50억원 이상(비영리법인의 경우 기본재산 또는 자본총계 50억원 이상)에 해당하는 재정 능력 충족(법 제2조제6호가목에 해당하는 공공기관은 적용 제외)

8. 최근 3년 이내(결합전문기관 지정 신청일 기준)에 법 제66조에 따라 공표된 적이 없을 것