검색
세종

개인정보보호위원회, ‘가명정보 처리 가이드라인’ 통합본 발간

미국변호사

[2020.09.28.] 


2020년 8월 5일 시행된 데이터 3법은 가명정보 개념을 도입하여 개인정보 활용 가능성을 높였습니다. 기업들은 가명정보 결합을 통해 IT, 금융, 의료 등 서로 다른 산업분야의 데이터를 활용하여 다양한 부가가치를 창출할 수 있을 것으로 기대됩니다.


이와 관련하여 개인정보보호위원회는 2020년 9월 24일 ‘가명정보 처리 가이드라인’ 통합본을 발간하였습니다. 위 가이드라인은 개인정보처리자가 자신이 보유한 개인정보를 가명처리하여 활용하려는 경우에 관한 ‘가명처리편’과 다른 개인정보처리자가 보유한 가명정보와 결합하여 활용하려는 경우에 관한 ‘가명정보 결합·반출편’으로 구성되어 있으며, 주요내용은 다음과 같습니다.



1. 가명처리 편의 주요내용

* 가명처리는 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’을 의미하므로, 가명처리 시 가명정보 자체만으로 특정 개인을 알아볼 수 있는 지와 추가정보 또는 다른 정보의 결합가능성을 고려할 필요가 있음


※ 추가정보는 개인정보의 전부 또는 일부를 대체하는 데 이용된 수단이나 방식(알고리즘 등), 가명정보와의 비교·대조 등을 통해 삭제 또는 대체된 개인정보를 복원할 수 있는 정보를 (매핑 테이블 정보, 가명처리에 사용된 개인정보 등) 등을 의미함


* 가명처리 절차는 아래와 같이 총 4단계로 분류될 수 있음


SJ_2020.09.28_(2)_1.jpg


① 사전준비 단계로 가명처리 대상 항목 및 처리수준을 정의하기 위하여 가명정보 활용 목적을 명확화·구체화하고, 필요한 서류를 작성함. 이때 제3자 제공의 경우에는 계약체결 관련 서류를 마련할 수 있음.


② 가명처리 단계로 가명처리 방법을 정할 때에는 처리 목적, 처리(이용 또는 제공)환경, 처리 유형(내부 활용, 제3자 제공 등), 정보의 특성 등을 종합적으로 고려하여야 하며, 가명처리 단계는 세부적으로 (ⅰ) 대상선정, (ⅱ) 위험도 측정, (ⅲ) 가명처리 수준정의, (ⅳ) 가명처리를 하는 4가지 단계로 세분화됨.


③ 적정성 검토 및 추가 가명처리 단계로 가명처리한 결과물을 이용해 목적을 달성할 수 있는지, 적절한 수준으로 가명처리가 이루어졌는지, 특정인을 식별할 수 있는 재식별 가능성은 없는지 등을 점검하여야 함. 그 결과 필요하다고 판단한 경우 2단계부터 다시 진행할 수 있음.


※ 특히, 항목별 위험도를 바탕으로 가명처리한 경우에도 ‘특이정보’를 통해 개인식별이 가능할 수 있으므로 특이정보의 경우에는 추가로 가명처리를 할 필요가 있음


④ 활용 및 사후관리 단계로 적정성 검토 결과 적합하다고 판단한 경우 가명정보를 본래 활용 목적을 위해서 처리할 수 있으며, 처리과정에서 재식별 위험이 없는지를 지속적으로 확인해야 함.


※ 특정 개인이 식별되는 경우 즉시 처리중지, 회수, 파기 등 위와 같은 위험을 제거하기 위해 적절한 조치를 수행하여야 함



2. 가명정보 결합 및 반출 편의 주요 내용

* 가명정보를 결합하여 활용하려는 자(결합신청자)는 가명정보 보유 기관과 사전에 협의하여 가명정보 제공 동의를 얻은 뒤 법령에 따라 총 4단계에 걸쳐 결합을 진행할 수 있음


 

SJ_2020.09.28_(2)_2.jpg

 

① 사전준비 및 결합신청 단계로 결합신청자는 사전에 결합신청자 간의 협의를 통해 가명처리를 수행하거나 결합신청서를 작성하는 등 가명정보 결합에 대한 사전 준비를 수행하고, 결합전문기관에 결합을 신청함


② 결합키 생성 및 정보 송신 단계로 결합신청자는 결합전문기관과 결합 일정, 전송 방법 등을 협의하고, 결합키관리기관으로부터 결합키 생성에 이용되는 정보를 수신하여 결합키를 생성한 후 결합 관련 정보를 송신함


※ 결합신청자는 결합키관리기관과 결합전문기관에 필요한 정보를 전송할 때, ‘가명정보 결합 종합지원 시스템’을 통해 결합키관리기관에 “결합키+일련번호”를 전송하고 결합전문기관이 제공하는 전송방법을 활용하여 결합전문기관에 “결합대상정보+일련번호”를 전송


③ 추가처리 및 반출요청 단계로 결합신청자는 결합된 정보를 반출 하기 전 결합전문기관 내에 설치된 별도의 공간에서 추가 가명·익명처리를 할 수 있으며, 반출을 요청하기 위하여는 결합전문기관 반출심사위원회의 반출심사를 받아야 함


※ 결합신청자는 결합된 정보를 결합전문기관의 내에 설치된 별도의 공간에서 반출을 위한 추가 가명·익명처리를 하여야 하며 익명정보로도 목적달성이 가능한 경우, 익명처리하여 반출하여야 함


④ 반출 및 사후관리 단계로 결합신청자는 반출된 가명정보를 당초 결합을 신청한 목적에 따라 처리할 수 있으며, 가명정보 처리에 대한 안전조치를 준수하여야 함



강신욱 파트너변호사 (sokang@shinkim.com)

장준영 파트너변호사 (jyojang@shinkim.com)

황정현 소속변호사 (jhhwang@shinkim.com)

윤호상 소속변호사 (hsyoon@shinkim.com)

종합법무관리솔루션

관련 법조인