호주 정부 로고와 연결된 데이터를 상징하는 일련의 점들을 선으로 연결한 전국 장애 데이터 자산 (National Disability Data Asset) 로고.

2023 개인정보 보호 영향 평가(Privacy Impact Assessment)에 대한 답변

전국 장애 데이터 자산 (National Disability Data Asset) 및 호주 전국 정보 통합 인프라 (Australian National Data Integration Infrastructure)

사회 복지부는 호주 통계청 (Australian Bureau of Statistics: ABS) 및 호주 보건 복지 연구소 (Australian Institute of Health and Welfare: AIHW)와 협력하여 전국 장애 데이터 자산 (National Disability Data Asset)을 만들고 있습니다. 이 3개의 호주 정부 기관을 호주 연방정부 파트너(Commonwealth Partner)라고 부릅니다.

주와 테리토리 및 장애인 커뮤니티도 장애 데이터 자산 개발에 참여하고 있습니다. 전국 장애 데이터 자산 위원회(National Disability Data Asset Council) (이하 본 위원회)는 장애 데이터 자산의 사용을 감독합니다. 여기에는 정부와 장애인 커뮤니티 전반에 걸친 공유된 의사 결정이 포함됩니다. 장애 데이터 자산은 모든 호주인에 대한 여러 정부 기관의 비식별화된 정보를 통합하여 장애인의 성과를 더 잘 이해할 수 있도록 합니다.

장애 데이터 자산을 지원하는 기반 시스템은 호주 전국 정보 통합 인프라입니다. 이 시스템을 통해 장애 데이터 자산의 데이터를 연결하고 분석할 수 있습니다. 호주 전국 정보 통합 인프라 이사회 (Australian National Data Integration Infrastructure Board) (이하 본 이사회)는 이 시스템의 제공 및 사용을 감독합니다.

전국 장애 데이터 자산의 개인 정보 보호를 포함하여 자세한 내용은 전국 장애 데이터 자산 (National Disability Data Asset) 웹 사이트에서 확인할 수 있습니다.

개인정보 보호 영향 평가(Privacy Impact Assessment)란?

이 문서는 2023 개인정보 보호 영향 평가(PIA)의 권고 사항에 대한 호주 연방정부 파트너 (Commonwealth Partner)들의 답변입니다.

PIA는 프로젝트에 대한 검토와 그 프로젝트가 개인 정보 보호에 어떤 영향을 미칠 수 있는지 검토하는 것입니다. PIA는 개인정보 보호 위험과 영향을 관리, 감소 또는 제거하는 방법을 제안합니다.

Maddocks의 개인정보 보호 전문가들은 장애 데이터 자산과 그 기반 시스템에 대한 PIA를 수행했습니다.

호주 연방정부 파트너(Commonwealth Partner)들과 Maddocks는 2023년 3월부터 7월까지 PIA를 위한 이해관계자들과 협의했습니다. Maddocks는 피드백에 대한 자세한 협의 보고서를 작성했습니다.

PIA 요약본 및 협의 보고서는 전국 장애 정보 자산 웹사이트의 전국 장애 정보 자산에 대한 개인정보 보호(Privacy for the National Disability Data Asset)에 있습니다.

관련 호주 연방정부 파트너(Commonwealth Partner)들은 2025년에 PIA를 업데이트할 계획입니다.

평가 절차

2023 PIA(개인정보 보호 영향 평가)는:

권고사항에 어떻게 대응할 것인가

권고 사항 1: 향후 장애 데이터 자산에 데이터 세트를 추가하기 위한 원칙

Maddocks는 정부가 장애 데이터 자산에 새로운 데이터를 추가하는 방법을 안내하는 일련의 원칙을 개발할 것을 권고합니다. 이러한 원칙들을 추가되는 데이터에 대한 설명과 함께 전국 장애 데이터 자산(National Disability Data Asset) 웹사이트에 게시해야 합니다.

대응 방법

호주 연방정부 파트너(Commonwealth Partner)들은 이에 동의합니다.

우리는 일련의 원칙을 개발할 것입니다. 이들 원칙은 향후 장애 데이터 자산에 데이터 세트를 추가하는 것에 대한 결정을 안내할 것입니다. 데이터 세트는 정보, 기록 및 사실의 모음입니다.

이들 원칙은 새로운 데이터 세트를 추가할 때 다음을 고려할 것입니다.

각 주 및 테리토리 정부, 장애인 커뮤니티 및 연구자들과 함께 원칙들을 개발할 것입니다. 이 일련의 원칙들을 위원회에 전달하여 승인하도록 하겠습니다. 추가되는 데이터에 대한 설명과 함께 이러한 원칙을 해당 웹사이트에 게시할 것입니다.

2024년 12월까지 이를 완료할 예정입니다.

권고 사항 2: 데이터 제공자에 대한 수집 통지

수집 통지는 기관에서 개인 정보를 요청할 때 사람들에게 제공하는 문서입니다. 이 문서에는 해당 정보가 필요한 이유와 그 사용 방법이 설명되어 있습니다. Maddocks는 데이터 제공자가 데이터 수집 통지에 표준 단어를 사용할 것을 권장합니다. 예: 양식 및 웹 사이트에서. 데이터 제공자는 장애 데이터 자산에 포함할 데이터를 제공하는 정부 기관입니다.

본 위원회는 이러한 표준 단어들을 지지해야 합니다. 관련 이사회는 그 단어들을 승인해야 합니다.

시간이 지남에 따라 데이터 제공자는 수집 통지를 신규 표준 단어들로 업데이트해야 합니다. 예를 들어, 이는 데이터 공유 합의서에 포함될 수도 있습니다. 또는 데이터 제공자가 그렇게 하도록 권장해야 합니다. 이는 사람들에게 자신들의 정보가 어떻게 사용되는지 알려주는 모범 사례가 될 것입니다.

대응 방법

호주 연방정부 파트너(Commonwealth Partner)들은 이에 동의합니다.

우리는 호주, 주 및 테리토리 정부 데이터 제공자들에게 표준 단어들로 데이터 수집 통지를 업데이트하도록 요청할 것입니다.

데이터 제공자가 사용할 수 있는 표준 수집 통지를 만들 것입니다. 이는 다음 출처의 단어들을 기반으로 할 것입니다.

관련 거버넌스 그룹 및 데이터 제공자들과 협의할 것입니다.

본 위원회의 지원을 받아 이사회에 이들 표준 단어의 승인을 요청할 것입니다.

2024년 7월까지 이를 완료할 예정입니다.

권고 사항 3: 데이터 재식별 위험 관리 – 절차 검토

Maddocks는 본 위원회가 데이터 재식별 위험이 어떻게 관리되고 있는지 검토하기 위해 정기적인 프로세스를 마련할 것을 권고합니다. 예를 들어, 매년 검토를 실시할 수 있습니다.

본 위원회는 또한 검토가 필요하다고 판단되는 상황을 결정할 수 있습니다. 예를 들어, 데이터 침해가 있거나 사이버 보안 위협에 대한 정부 조언이 있는 경우입니다. 이는 데이터를 비식별화하고 재식별 위험을 관리할 때 모범 사례를 계속 사용할 수 있도록 하기 위한 것입니다. 이는 향후 변화하는 기술과 위험을 고려할 것입니다.

대응 방법

호주 연방정부 파트너(Commonwealth Partner)들은 이에 동의합니다.

우리는 재식별 검토 절차를 진행하도록 이사회에 요청할 것입니다. 이 검토는 재식별 위험을 관리하기 위해 여전히 최선의 방법을 사용하고 있는지 확인할 것입니다. 이 검토에는 다음 사항의 점검이 포함될 수 있습니다.

최소 1년에 한 번 이상 검토 절차가 수행될 수 있도록 지원할 것입니다. 그리고 중차대한 새로운 위험 또는 변경된 위험이 확인될 시 검토 절차를 진행할 것입니다.

다음 사항을 문서화할 것입니다.

이 검토는 관련 거버넌스 그룹에 보고될 것입니다. 여기에는 이사회와 본 위원회가 포함됩니다.

2025년 7월까지 1차 검토를 완료할 예정입니다.

권고 사항 4: 데이터 재식별 위험 관리 – 공유 대상에 대한 규칙

Maddocks는 모든 비식별화 정책 (현재 비식별화 전략이라고 함)이 다음 사항을 명확히 해야 한다고 권고합니다.

본 전략에는 데이터를 사용하는 프로젝트에 적용되는 규칙도 포함되어야 합니다. 다른 데이터 자산에 사용되는 절차와 같은 추가 절차가 필요한지 여부를 고려해야 합니다. 예를 들어, 데이터 분석 결과가 기반 시스템을 떠나기 전에 올바르게 비식별화되었는지 확인하는 절차입니다.

대응 방법

호주 연방정부 파트너(Commonwealth Partner)들은 이에 동의합니다.

우리는 이 권고 사항을 다음에 적용할 것입니다.

2024년 6월까지 이를 완료할 예정입니다.

권고 사항 5: 데이터 침해 관리

Maddocks는 데이터 침해 대응 계획(현재 데이터 침해 및 사고 대응 체계라고 함)이 장애 데이터 자산을 다루는 정부 기관 전반에서 데이터 침해를 처리하기 위한 한 가지 접근 방식을 가질 것을 권고합니다. 이 체계(Framework)는 각 관련 거버넌스 그룹 및 기관이 해야 할 일을 명확하게 설명해야 합니다. 여기에는 ABS(Australian Bureau of Statistics: 호주 통계청)가 데이터를 저장하는 경우가 포함됩니다.

또한 해당 체계에는 다음 대상에게 침해에 대한 통지서를 작성할 책임자가 명시되어 있어야 합니다.

대응 방법

호주 연방정부 파트너(Commonwealth Partner)들은 이에 동의합니다.

우리는 장애 데이터 자산과 그 기반 시스템에 대해 엄격한 보안 절차를 마련하고 있습니다. 모든 시스템은 데이터를 저장하고 사용하기에 안전하고 보안이 유지되는 것으로 승인되어야 합니다.

이 체계를 개발할 때 이러한 권고 사항을 고려할 것입니다. 이 체계는 데이터 침해를 다루기 위한 한 가지 접근 방식을 가질 것입니다. 이를 통해 데이터 침해와 관련된 각 거버넌스 그룹 및 기관이 수행해야 하는 사항을 명확하게 설명할 것입니다. 이는 누가 데이터 침해를 감독하고, 이를 보고하고, 사람들에게 통지할 것인지를 포함할 것입니다.

모든 책임은 다음 사항과 부합할 것입니다.

모든 기관은 데이터 가용성 및 투명성 법에 따라 데이터 서비스를 제공할 수 있는 인증을 받아야 합니다. 공인된 기관은 데이터 침해 위험을 관리하기 위한 자체 정책과 절차를 마련해야 합니다.

국가 데이터 위원회(Office of the National Data Commissioner)는 인증된 기관에 대한 독립적인 점검을 수행할 수 있습니다. 예를 들어, 이들은 어떤 기관의 활동이 데이터 가용성 및 투명성 법에 부합하는 지 여부를 점검할 수 있습니다.

2024년 6월까지 해당 체계(Framework)를 완성할 예정입니다.

권고 사항 6: 규정 준수 체계 개발

Maddocks는 모든 사람이 데이터 공유 합의 내용을 준수하고 있는지 확인하도록 본 이사회가 규정 준수 체계를 개발할 것을 권고합니다. 이 체계는 장애 데이터 자산과 기반 시스템을 포괄해야 합니다. 예를 들어, 장애 데이터 자산과 승인된 시스템을 사용하는 사람들은 매년 다음 담당관들에게 보고할 수 있습니다.

이들 2명의 담당관들은 ABS(호주 통계청) 공무원들입니다. 이들은 장애 데이터 자산과 그 기반 구조를 안전하고 합법적이며 윤리적인 방식으로 관리할 책임이 있습니다. 또한 이들은 누가 해당 시스템에 접근하고 사용할 수 있는지를 승인할 것입니다.

이들 보고서에는 다음에 대한 점검이 포함될 수 있습니다.

대응 방법

호주 연방정부 파트너(Commonwealth Partner)들은 이에 동의합니다.

우리는 장애 데이터 자산과 그 기반 시스템에 대한 규정 준수 체계를 개발할 것입니다. 이 체계는 개인과 기관이 합의 내용 및 보안 의무를 준수하고 있는지 평가하고 보고하는 데 도움이 될 것입니다. 여기에는 대표 합의 및 양자 간 협의서(Head Agreement and Bilateral Schedules) 그리고 다자 간 데이터 공유 합의가 포함됩니다.

이 체계는 또한 다음을 기반으로 구축될 것입니다.

2024년 10월까지 이를 완료할 예정입니다.