지난달 5일 시행된 데이터 3법(개정 개인정보보호법·정보통신망법·신용정보법)에 따라 개인정보를 활용하려면 이름이나 전화번호는 물론, 건강보험번호나 자동차 등록번호 등 개인을 식별할 수 정보를 모두 암호화해야 데이터로서 활용할 수 있다. 감춰진 개인정보가 다른 사람이 복원해 다시 알아보지 못하게 하는 조치까지 이뤄졌다고 판단될 경우에만 사용할 수 있다.
개인정보보호위원회는 2일 이같은 내용의 '가명정보 처리 가이드라인(가명처리편)'을 발표했다. 기업과 공공기관 등 개인정보 처리자가 개인정보를 가명처리하기 위한 방법과 절차를 구체화한 내용이다. 개정 개인정보보호법 시행 후속 조치다.
가이드라인에 따르면 개인정보 처리자는 개인을 식별할 수 있는 정보를 삭제하거나 대체하는 등 방법으로 개인정보를 알아볼 수 없게 한 '가명정보'로 만들어야만 통계 분석 등 다른 작업에 활용할 수 있다.
예를 들면 부동산 임대 소득을 계산하고 인근 지역의 시세 자료를 파악하는 연구를 위해 개인정보를 활용할 때 부동산 소유자 이름과 연락처, 부동산의 형태, 소재지 주소, 면적, 가격 등을 원본 정보에서 추출해 사용해야 한다. 이때 원본 정보에서 구체적인 건물명 등은 제외된다.
또 소유자 이름이나 연락처, 부동산의 지번 등 다른 정보와 결합됐을 때 개인 식별이 가능한 정보는 암호화를 거치거나 삭제해야 한다. 부동산의 보증금 등 다른 주소 정보와 합쳐져 개인을 유추하는 데 쓰일 만한 정보들은 반올림 등으로 범주화(일반화) 처리를 해야 한다.
가이드라인은 이를 위한 가명처리 절차를 4단계로 구분했다. 우선 개인정보를 활용하려는 사람은 우선 가명정보로 무엇을 할지 목적을 구체화한 후 가명 처리 절차를 거쳐야 한다. 개인정보 처리에 필요한 최소한의 정보만 활용될 수 있도록 하기 위해 가명 처리가 필요한 개인정보 항목을 추리는 작업이다.
이후 가명처리한 결과물로 목적을 달성하면서도 특정인을 식별할 수 있는 재식별 위험은 없는지 점검하는 단계를 거친다. 가명 조치가 추가로 필요하다면 다시 가명처리 절차를 거쳐야 한다.
가명처리된 개인정보를 활용할 수 있다고 판단돼도 실제 가명정보를 활용하는 과정에서 재식별 위험이 없는지 사후 관리도 이뤄져야 한다.
개인정보보호위는 특히 보안수준이 낮은 환경에서는 개인정보 침해 방지를 위해 식별 가능성을 더 낮춰 익명정보에 가깝게 처리하도록 했다. 또 개인정보 처리자는 가명정보를 처리할 때 '안전성 확보 조치 기준'을 준수하고 재식별 방지를 위해 가명정보를 원래 상태로 복원하기 위한 '추가정보'는 별도 보관하는 등 조치도 취해야 한다.
개인정보보호위는 이달 중 '가명정보의 결합·반출'에 관한 가이드라인을 포함한 '통합 가이드라인'도 마련한다는 계획이다. 가명정보 결합·반출 가인드라인은 서로 다른 개인정보 처리자가 가명정보를 결합할 수 있는 방법과 절차를 구체화한 내용이 될 전망이다.
박상희 개인정보보호위원회 사무처장은 "가이드라인 통합본이 완성되면 개정된 데이터 3법 시행을 위한 법과 제도적 기반이 완비된다"며 "9월 중 지정할 결합전문기관을 통한 가명정보 결합 등 안전한 데이터 활용이 본격적으로 추진될 것으로 기대된다"고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]