개인정보보호법 제정°œ인정보보호법_제정.pdf ·...
TRANSCRIPT
-
「개인정보보호법」제정
2010.
행정안전부
-
Ⅰ. 개인정보보호법 제정 필요성 ··········· 1
Ⅱ. 법제정 추진경과 ·································· 2
Ⅲ. 개인정보보호법 정부안 ····················· 3
1. 구성 체계
2. 주요 내용
Ⅳ. 의원님 발의안 ······································ 9
1. 이혜훈의원님 발의안
2. 변재일의원님 발의안
개인정보보호법 제정으로 현재와 달라지는 점
개인정보보호법 정부안과 의원안 비교
목 차
-
- 1 -
Ⅰ 개인정보보호법 제정 필요성
□ 각급 기관, 사업자 등의 끊임없는 개인정보 침해사고 발생
❍ GS칼텍스 1,100만건 개인정보 유출 등 해킹, 내부직원유출, 담당자
부주의등으로 ‘07~’10년간 8,000만건침해사고발생(한국인터넷진흥원)
‣ 인터넷쇼핑몰 등 2,000만건 유출(‘10.3), GS칼텍스1,100만건유출(‘08.9), 옥션1,084만건
해킹(‘08.2), SK 콜센터연예인등2만건유출(’09.9), 청계천헌책방15만건판매(‘10.1)
‣ 병무청 홈페이지 3만건 유출(‘08.7), 대학․시도교육청 61,000건 유출(’07~‘09)
❍ 최근의 개인정보 침해는 대형화․지능화․다양화 추세
♣개인정보란? : 생존하는개인의성명, 주민번호, 전화번호, 영상, 지문, 소득등개인식별정보
□ 개인정보 유출은 국가사회 전반에 걸쳐 심각한 피해 초래
❍ (국가) 전자정부의 신뢰성 하락 및 프라이버시 라운드의
대두에 따른 IT산업의 수출애로 , 국가브랜드 하락등을 야기
❍ (기업) 기업의 이미지 실추, 소비자단체의 불매운동 및
다수 피해자에 대한 집단적 손해배상시 기업경영에 큰 타격
※옥션, GS칼텍스등 60여건소송제기, 19만4천명소송참가, 소송청구액 2.,100억원
❍ (국민) 정신적 피해뿐만 아니라 명의도용, 보이스피싱에 의한
금전적 손해 및 유괴 등 각종 범죄에 노출 우려
➡ ‘05~’07년개인정보침해피해규모는총10조7000억원으로추정(한국인터넷진흥원)
-
- 2 -
□ 현행 개인정보보호 법제․체계는 개인정보 유출 대응에 한계
❍ 개인정보보호에 대한 일반법이 없어 법적용의 사각지대가 발생
하고, 개별법간 처리기준 등이 상이하여 국민의 혼란 초래
- 공공기관(공공기관개인정보보호법), 정보통신사업자(정보통신망법) 등 개별법
체계로법원등헌법기관, 오프라인사업자, 비영리기관등은법적용배제
※ ‘09년개인정보침해사고신고건수 32,422건중법적용제외사업자가 68.1%(22,067건)
공공부문 민간부문
행정안전부
관계 중앙행정기관장(공공기관개인정보보호법)
방통위 정보통신 (정보통신망법)
행안부 백화점ㆍ호텔ㆍ여행사등(정보통신망법)
금융위 금융‧신용(신용정보이용및보호법 등)
심의기구공공기관개인정보심의위원회(공공기관개인정보보호법)
피해구제(민간부문)
개인정보분쟁조정위원회(정보통신망법)
Ⅱ 법제정 추진경과
❍ ‘08.11.28 개인정보보호법 정부안 국회 제출
- 국회제출에 앞서 법제정을 위한 2회 공청회 개최(‘’08.6/‘08.8)
※ 이혜훈 의원안 발의(‘08.8), 변재일 의원안 발의(’08.10)
❍ ‘09.2.20 / 2.23 국회 행안위 상정, 법안심사소위 상정
❍ ‘09.4.23 행안위 주관 공청회 개최
개인정보 보호법제 및 체계
-
- 3 -
Ⅲ 개인정보보호법 정부안
1 구성 체계 : 본문 8장 64조, 부칙 7조
-
- 4 -
2 주요 내용
용어의 정의 및 보호위원회 등
□ 용어의 정의
○ (개인정보) 생존하는 개인에 관한 정보로 성명, 주민등록번호 및
영상 등을 통하여 개인을 식별할 수 있는 정보
○ (개인정보파일) 개인정보를 쉽게 검색할 수 있도록 일정한
규칙에 따라 체계적으로 배열 또는 구성한 개인정보의 집합물
※ 전자적으로 처리하는 데이터베이스뿐만 아니라 서류 기록도 포함
○ (개인정보처리자) 업무상 목적으로 개인정보파일을 운영하는
공공기관, 법인, 단체, 사업자 및 개인 등
※ 법원․국회 등 헌법기관, 영리․비영리법인, 오프라인 사업자까지 포함
◈ ‘업무상 목적’은 직업 또는 사회생활상의 지위에 기하여 계속적으로
종사하는 사무나 사업의 일체를 말함(대법원 판례)
□ 개인정보보호위원회
○ (구성) 국무총리소속 심의 위원회, 위원장 포함 15인 이내
- 고위공무원, 시민사회단체ㆍ소비자단체ㆍ사업자단체 추천자 등
- 위원장(민간인) 및 위원은 국무총리가 위촉
○ (기능) 기본계획 및 시행계획, 제도 및 법령 개선, 개인정보
이용ㆍ제공, 법령해석, 시정조치 권고 등 주요 정책 사안 심의
□ 다른 법률과의 관계
○ 일반법이므로 다른 법률(정보통신망법, 신용정보보호법, 위치정보
보호법 등)에 특별한 규정이 있는 경우 외에는 동 법률을 적용
-
- 5 -
개인정보의 처리원칙
□ 개인정보의 수집·이용, 제3자 제공 및 파기
○ (수집ㆍ이용) 정보주체의 동의, 법률 규정 등 일정한 경우에만
개인정보를 수집하도록 하고, 수집목적 범위 안에서 이용 가능
- 동의 획득 시에는 ①개인정보의 수집·이용목적 ②수집 항목,
③개인정보의 보유 및 이용 기간 등을 명확히 고지
※ 수집ㆍ이용 동의 원칙의 예외 : 공공기관이 법령 등에서 정하는 소관
업무 수행을 위해 불가피한 경우, 계약 체결 및 이행을 위해 불가피한 경우,
정보주체 및 제3자의 이익을 위한 경우로 사전 동의가 곤란한 경우 등
○ (제3자 제공) 개인정보의목적외 이용ㆍ제공은 원칙적으로 금지
- 동의를 얻거나 법률의 규정이 있는 경우, 범죄수사, 법원의
재판 업무 수행 등을 위한 경우는 예외 허용
○ (파기) 개인정보의 처리목적 달성 등으로 불필요하게 된 때
에는 지체 없이 해당 개인정보를 파기
□ ‘동의’를 받는 방법
○ 개인정보의 목적외 이용ㆍ제공, 고유식별정보 등에 대한
동의 절차 강화
- 계약의 체결 등을 위한 필수 동의 사항과 선택 사항을 구분
하도록 하여 정보주체의 자기정보결정권 보장
< 필수 동의와 선택 동의 예시 >
o (필수 동의) 고객이 증권사에서 체크카드 발급 시 증권사는 체크카드업무를 취급하지 않으므로 제휴사인 은행에 개인정보 제공이 필수
o (선택 동의) 서비스 제공과 무관한 마케팅 목적의 이용에 대한 동의, 부가
서비스 제공(포인트 적립, VIP우대 등)을 위한 제휴사간 개인정보 공유 등
-
- 6 -
개인정보의 처리제한
□ 고유식별정보의 처리제한
○ 주민등록번호 등 법령에 따라 부여된 개인의 고유식별정보는
원칙적으로 처리를 금지
- 인터넷 홈페이지 회원가입을 위해 본인확인이 필요한 경우
대체수단(I-PIN 등)을 반드시 제공하도록 의무화
< 고유식별정보 처리의 예외적 허용 >
①정보주체의별도동의, ②법령에따라처리가허용된경우, ③공공기관이법률에서
정하는소관업무수행을위하여불가피한경우로서대통령령이정하는경우
□ 개인정보 처리의 위탁
○ 개인정보처리 위탁하는 경우 수탁자 및 위탁 업무 내용을
인터넷 홈페이지 등에 ‘공개’하도록 의무화
○ 마케팅 목적으로 개인정보 처리를 위탁하는 경우 서면, 전자
우편, 전화 등을 통해 정보주체에게 반드시 ‘고지’ 하도록 의무화
○ 위탁자의 수탁자에 대한 감독 의무 및 배상책임 규정
○ 수탁자는 위탁받은 업무 범위를 초과하여 개인정보를 이용
하거나 제3자에게 제공 금지
- 안전성 확보조치 등 개인정보처리자로서의 의무 이행
영상정보 처리기기의 설치 제한
○ 범죄 예방 및 수사, 화재 예방 등 특정 목적을 위한 경우
공개된 장소에 영상정보처리기기 설치를 허용
○ 목욕실, 화장실, 탈의실 등에는 설치․운영 금지
- 다만, 교도소·정신보건시설 등 구금 또는 보호시설은 예외
○ 안내판 설치 의무화, 임의조작, 녹음기능 사용 금지
-
- 7 -
개인정보의 안전한 관리
□ 기술적ㆍ관리적 보호 조치 강화
○ 개인정보의 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손 방지를 위한
안전성 확보 의무 부과
○ 개인정보 처리목적, 위탁ㆍ제공 현황, 정보주체의 권리 등을
기재한 ‘개인정보처리방침’을 수립ㆍ공개 의무화
○ 개인정보 처리 현황 수시 점검, 개선 조치 등을 수행하는
‘개인정보관리책임자’를 지정 의무화
○ 개인정보처리자는 개인정보 유출 사실을 인지한 경우 지체
없이 해당 정보주체에게 관련 사항을 통지하도록 의무화
□ 공공기관의 특례
○ 공공기관이 보유하는 개인정보파일은 목적ㆍ근거ㆍ기간 등 일정
사항을 행안부장관에게 등록하고, 행안부장관은 이를 공개
○ 공공기관은 개인정보파일 운용으로 정보주체의 개인정보 침해가
우려되는 경우 개인정보영향평가를 의무적으로 수행
정보주체의 권리
○ 개인정보 열람, 정정ㆍ삭제 및 처리정지 요구권 보장
- 개인정보처리자가 보유 중인 개인정보의 정확성 및 최신성을
담보하고, 정보주체의 자기정보결정권을 강화
-
- 8 -
개인정보분쟁조정위원회
○ (기능) 개인정보에 관한 분쟁의 조정
- ①침해행위 중지 ②원상회복·손해배상 ③재발방지조치에
관하여 조정안을 작성 (민사상 화해 효력)
○ (구성) 20명 이내 위원, 공공ㆍ민간 분야별 조정부 운영
- 개인정보보호 업무 관장하는 중앙행정기관 공무원, 변호사,
시민단체·소비자단체 추천자, 사업자단체 임원 등으로 구성
보칙 및 벌칙
○ (법적용 예외) 국가안전보장, 언론ㆍ종교ㆍ정당 등의 고유활동
○ (지도․점검) 행안부장관및관계중앙행정기관장의지도ㆍ점검 권한
- 개인정보처리자에게 처리실태 개선 권고 및 조치 결과 보고
- 개인정보 침해사실 신고․접수 및 자료제출 요구․검사
- 침해행위의중지등 시정조치, 고발․징계권고및 결과의공표등
○ (벌칙) 법률 위반에 따른 제재
- 업무 방해 목적의 개인정보 변경ㆍ말소, 민감정보 무단 처리, 개인
정보의 무단 이용ㆍ제공 등 중대 법익 침해 ⇒ 징역․벌금형
- 개인정보 관리책임자 미지정, 개인정보취급방침의 미공개 등
절차적 의무 위반 ⇒ 과태료 부과
-
- 9 -
Ⅳ 의원님 발의안
1 이혜훈 의원님 발의안
□ 공공ㆍ민간을 포괄하여 개인정보처리원칙 규정
○ 정보주체의 동의, 법령의 근거 , 생명ㆍ신체ㆍ재산상 이익
보호, 계약의 체결 및 이행 등을 위해 필요한 경우 처리 허용
○ 필수정보와 선택정보를 분리하여 동의 획득
○ 민감정보, 고유식별정보의 처리 제한
□ 국무총리소속으로 「개인정보위원회」 설치
○ (구성) 위원장 1인, 상임위원 1인 포함 9인
- 위원장과 상임위원 : 국무총리 제청ㆍ대통령 임명
- 비상임위원 : 위원장 추천, 국무총리 임명
○ (기능) 위원회는 법제도 및 정책연구, 제도개선, 상담 및 피해
구제, 교육ㆍ홍보, 기술 개발 및 지원 등의 기능 수행
- 위원회에 자료제출요구권, 실태조사권, 방문조사권, 시정명령,
고발 및 징계권고권 등의 권한을 부여
□ 개인정보위원회에 개인정보분쟁조정위원회를 두고, 집단분쟁
조정제도를 도입, 조정 결정에 재판상 화해 효력 부여
-
- 10 -
□ CCTV, RFID, 전자우편감시시스템 등 개인정보처리장치의
설치ㆍ운영에 대한 기준ㆍ방법ㆍ절차 등 마련
□ 영리목적으로 개인정보를 이용ㆍ제공하는 사업(마케팅 등
대행사업, 개인정보제공사업)은 개인정보위원회에 등록, 관리
□ 개인정보 유출 방지를 위한 기술적ㆍ관리적 조치, 개인정보
보호책임자 지정, 개인정보 누출 통지 및 신고 의무화
□ 정보주체의 열람 및 정정청구권, 이용 및 제공 정지 청구권,
파기ㆍ삭제 청구권 등 규정
□ 개인정보파일 등록제, 개인정보영향평가제, 개인정보파일의
연동ㆍ연계 심사제도 등 공공기관에 대한 특례규정 마련
○ 위원회는 개인정보영향평가ㆍ인증기관 지정 및 관리ㆍ감독
□ 법률 적용의 예외
○ 개인ㆍ가족의 이용, 통계ㆍ연구 등 목적으로 개인정보를
수집ㆍ처리하는 경우 법 적용 제외
○ 취재 및 보도, 종교활동, 정치 및 정당활동 목적으로 개인
정보를 처리하는 경우 일부 적용 제외
-
- 11 -
2 변재일 의원님 발의안
□ 공공ㆍ민간 전체에 적용되는 개인정보 처리기준 제시
○ 정보주체의 동의, 법률 규정 등에 따라 개인정보 처리 허용
○ 개인이나 가사 목적, 국가안전보장을 위하여 긴급히 필요한
경우 등에 법 적용 예외 인정
○ 필수정보와 선택정보를 명확하게 구분하여 동의 받도록 규정
□ 대통령 소속으로「개인정보보호위원회」 설치
○ (구성) 국회 선출(3인), 대통령 지명(3인) 대법원장 지명(3인) 등
9인을 대통령이 임명, 위원장은 위원 중에서 대통령이 임명
○ (기능) 위원회는 정책개발 및 시행, 제도개선, 법제도 연구, 고충
처리, 분쟁조정 및 피해구제, 교육·홍보 등의 기능 수행
- 자료제출요구권, 방문조사권, 의견제시 및 개선권고, 시정명령,
고발 및 징계권고권, 개인정보보호기준 제정권 등 권한 부여
□ 개인정보보호위원회에 개인정보분쟁조정위원회를 두고,
집단분쟁조정제도 도입, 조정결정에 재판상 화해 효력 부여
□ 개인정보 데이터베이스 마케팅사업 도입
○ 개인정보DB를 텔레마케팅 대행, 대여 등에 이용하고자 하는
자는 위원회에 등록하여 관리·감독을 받도록 함
-
- 12 -
□ CCTV, RFID, 전자우편감시시스템 등 자동정보처리장치를
이용한 감시ㆍ추적의 절차ㆍ방법 규율
□ 주민등록번호 등 법령에 의하여 부여된 고유식별정보는 원칙적
으로 해당 법령에서 정한 목적으로만 이용
□ 개인정보 안전한 관리를 위한 조치 의무
○ 기술적ㆍ관리적 보호 조치 의무화
○ 개인정보보호책임자 지정, 수탁자 관리ㆍ감독 의무 부여
○ 개인정보 누출사실통지 및 신고 의무화
□ 정보주체의 열람ㆍ정정, 처리정지ㆍ중단 요구권 등 규정
□ 공공기관에 대한 특례 규정 마련
○ 범죄수사, 재판 등 정보주체의 동의를 얻는 것이 업무수행에
현저한 지장을 미칠 우려가 있는 경우, 동의 예외를 인정
○ 개인정보파일 등록제, 개인정보영향평가제, 개인정보파일의
연동ㆍ대조 시 협의제도 등 도입
- 위원회는 개인정보영향평가ㆍ인증기관 지정 및 관리ㆍ감독
□ 재산적 손해의 구제와 권리침해행위의 중단ㆍ정지를 위한
개인정보단체소송제도의 도입
-
- 13 -
참고1 「개인정보보호법」제정으로 현재와 달라지는 점
구분 현행 제정(안)
규율대상
o 공공기관, 정보통신사업자, 신용정보
제공·이용자 등 분야별 개별법이 있는
경우에 한하여 개인정보보호의무 적용
o 공공·민간 통합규율로 법적용대상 확대
- 현행법 적용을 받지 않던 오프라인
사업자, 의료기관, 협회·동창회 등
비영리단체, 국회·법원·헌법재판소·
중앙선거관리위원회 등으로 확대
보호범위o 공공기관은 컴퓨터등에 의해 처리되는
개인정보파일만을 보호대상으로 함
o 동사무소 민원신청서류 등 종이문서에
기록된 개인정보도 보호대상에 포함
수집·이용 및
제공기준
o 공공, 정보통신 등 분야별 개별법에
따른 처리기준 존재
o 공공·민간을 망라하는 개인정보 처리
원칙과 기준제시
고유식별정보
처리 제한
o 주민등록번호 등 고유식별정보의 민간
사용을 사전적으로 제한하는 규정 없음
o 원칙적 처리금지
- 정보주체의 별도 동의, 법령의 근거가
있는 경우 등은 예외 허용
o 인터넷상에서 주민등록번호 외의
회원가입방법 제공 의무화
(정보통신서비스제공자 한정)
o 인터넷상 주민등록번호 외의 회원가입
방법 제공 의무화 대상 확대
(정보통신서비스제공자 → 공공기관, 일부
민간분야 개인정보처리자)
※ 대통령령에서 의무화대상 규정
o 주민등록번호 등 고유식별정보 처리시
암호화 등 안전조치 확보의무 명시
영상정보
처리기기
규제
o 공공기관이 설치·운영하는 폐쇄회로
텔레비전(CCTV)에 한하여 규율
- 범죄예방 및교통단속 등 공익을 위하여
필요한 경우 전문가 및 이해관계인
의견 수렴을 거쳐 설치
- 녹음기능, 임의조작 금지
o 공개된 장소에 설치·운영하는 영상
정보처리기기 규제를 민간까지 확대
- 공개된 장소인 백화점·아파트 등 건물
주차장, 상점 내·외부 등에 영상정보
처리기기를 설치할 때에는 법령, 범죄
예방·수사, 시설안전 및 화재예방,
교통단속 등을 위해서 설치 가능
o 규율대상을 기존 ‘폐쇄회로텔레비전
(CCTV)’에서 네트워크카메라도 포함
o 공중 화장실·목욕탕·탈의실 등 사생활
침해우려가 큰 장소는 설치 금지
-
- 14 -
구분 현행 제정(안)
텔레마케팅
등 규제
o 「정보통신망법」에 따라 정보통신서비스
제공자에 한하여 규제
- 마케팅 목적으로 개인정보취급을 위탁
하는 경우 정보주체 동의를 받아야 함
o 마케팅을 위해 개인정보처리에 대한
동의를 받을 때에는 다른 개인정보
처리에 대한 동의와 묶어서 동의를
받지 않도록 명시적으로 규정
- 정보주체가 알기 쉽도록 고지하고
동의를 받아야 함
o 모든 개인정보처리자는 마케팅 업무를
위탁시, 정보주체에게 위탁업무 내용
및 수탁자를 고지해야 함
(정보통신서비스제공자 → 모든 개인
정보처리자로 규제대상 확대)
개인정보파일
등록·공개 및
영향평가
o 공공기관이 개인정보파일 보유시
행정안전부장관과 사전협의
o 공공기관이 개인정보파일 보유시
행정안전부장관에게 등록
o 행안부장관은사전협의파일관보 공고 o 행안부장관은 등록사항 공개
o 공공기관 대규모 개인정보파일 구축
등 침해위험이 높은 경우에는 사전
영향평가 실시 의무화(민간은 자율
시행)
유출 통지 o 관련 제도 없음 o 개인정보 유출사실 통지 의무화
위원회
o 국무총리 소속 공공기관개인정보보호
심의위원회
- 공공부문 정책 심의
o 국무총리 소속 개인정보보호위원회 설치
- 공공·민간부문 개인정보보호정책을
심의하는 기구
o 개인정보분쟁조정위원회
- 민간분야 분쟁조정
o 개인정보분쟁조정위원회 기능 확대
- 공공·민간 분쟁조정
-
- 15 -
참고2 개인정보보호법 정부안과 의원안 비교
정부안 이혜훈의원안(한나라당) 변재일의원안(민주당)
추진
체계
o 국무총리소속 개인정보보호
위원회(제9조~제10조)
- 정책 심의기능 수행
※ 정책수립·집행은 행안부 및
관계부처 담당
o 국무총리소속 개인정보
위원회(제34조~제40조)
- 정책 수립·집행기능 수행
※ 조사, 시정명령등규제권행사
o 대통령소속 개인정보보호위
원회(제40조~제46조)
- 정책 수립·집행기능 수행
※조사, 시정명령등규제권행사
처리
기준
o 개인정보 수집·이용(제15조),
제공(제17조) 기준 차등화
- 제공시 더욱 엄격히 보호
o 개인정보 수집 및 처리시
동의원칙 명시
- 예외 사유 규정(제8조)
o 개인정보 수집, 이용, 제공 등
처리기준 동일(제7조)
o 공공기관은 법령 등에서
정하는소관 업무수행을위해
불가피한 경우 수집·이용
o 법령상 소관사무 수행 등
예외 인정(제30조)
o 공공기관은 법률에서 정하는
업무수행을 위해불가피한 경우로
대통령령이정하는경우등처리
업무
위탁
o 업무위탁시 정보주체에 대한
공개 또는 고지의무(제25조)
o 공개 또는 고지의무 없음
- 수탁자 관리·감독, 손해배상
책임 등만 규정(제15조)
o 공개 또는 고지의무 없음
- 수탁자 관리·감독, 손해배상
책임 등만 규정(제23조)
CCTV
등
o 영상정보처리기기 설치·운영
기준 및 관리책임(제24조)
o 개인정보처리장치 설치·운영시
게시, 고지 등(제14조)
o 자동정보처리장치 설치·운영시
고지 등(제18조)
DB
마케팅-
o DB마케팅 사업 위원회 등록
및 관리·감독(제17조)
- 제3자제공시 고지의무완화
o DB마케팅사업 위원회 등록
및 관리·감독(제17조)
- 제3자제공시 고지의무완화
유출
통지
o 개인정보 유출시 통지(제32조) o 개인정보 누출·공개·도용(누출
등) 통지 및 신고(제20조)
o 개인정보 누출·공개·도용(누출
등) 통지 및 신고(제25조)
공공
기관
특례
o 개인정보파일 등록(제30조)
o 개인정보영향평가(제31조)
o 개인정보파일 등록(제31조)
o 개인정보영향평가(제32조)
o 파일연계·연동시 협의(제33조)
o 개인정보파일 등록(제13조)
o 개인정보영향평가(제36조)
o 파일연계·연동시 협의(제14조)
피해
구제
o 개인정보분쟁조정위원회
별도 설치
o 개인정보위원회 內 개인
정보분쟁조정위원회 설치
o 개인정보보호위원회 內 개인
정보분쟁조정위원회 설치
o 조정결정에 민사상 합의
효력 부여(제44조)
o 조정결정에 재판상 화해
효력 부여(제58조)
o 조정결정에 재판상 화해
효력 부여(제62조)
o 집단분쟁조정 미도입 o 집단분쟁조정 도입(제60조) o 집단분쟁조정 도입(제64조)
o 단체소송 미도입 o 단체소송 미도입 o 단체소송 도입(제67조~제73조)
기타 -
o 표준개인정보처리방침등록(제7조)
o 평가·인증기관 지정(제52조)
o 표준개인정보처리방침등록(제33조)
o 평가·인증기관 지정(제38조)