개인정보 비식별조치 가이드라인 발간 소식

빅데이터 시대를 맞이하여 개인정보가 안전하게 보호될 수 있도록 개인정보 비식별 조치에 관한 명확한 기준과 지원․관리체계가 마련되었다.

행정자치부 관계부처 합동*으로 이 같은 내용을 담은 “개인정보 비식별 조치 가이드라인”을 발간한다고 발표하였습니다.

* 행정자치부, 방송통신위원회,금융위원회, 미래창조과학부, 보건복지부, 국무조정실 

 

 

개인정보 비식별조치 가이드라인 발간

그간 업계에서는 개인정보 개념이 모호하고, 또 비식별 조치 기준이 명확히 제시되지 않아 빅데이터 활용에 어려움이 많다고 호소해 왔습니다.

또한, 학계와 언론에서는 빅데이터, IoT(사물인터넷) 등 새로운 IT 기술과 융합 산업의 발전에 따른 데이터 이용 수요에 대응하는데 비식별 조치 가이드라인이 필요하다는 의견을 꾸준히 제기해 왔습니다. 

 

 

이에, 행자부 등 관계부처는 기업의 불확실성을 제거하여 ICT 융합산업의 발전을 도모하는 한편, 데이터 이용과정에서 개인정보 침해 방지를 위해 비식별 조치 가이드라인을 발간하게 된 것입니다.

“개인정보 비식별 조치 가이드라인” 주요내용은 다음과 같습니다.

  

먼저, 본 가이드라인은 개인정보를 적정하게 비식별 조치하여 이용 ․제공하려는 사업자가 반드시 준수해야 할 조치 기준이라는 점을 명확히 하였습니다. 

또한, 비식별 조치 단계를 4단계로 나누어 각 단계별 조치사항과 유의사항을 상세히 안내하였습니다.

  

 - 첫 번째, 사전검토 단계에서는 개인정보 해당 여부를 검토한 후 개인정보가 아닌 경우에는 별도 조치없이 활용 가능함을 안내하였으며,

 - 두 번째, 비식별 조치 단계에서는 가명처리, 총계처리, 데이터 삭제, 범주화, 데이터 마스킹 등 다양한 비식별 기술을 단독 또는 복합적으로 활용하여 개인 식별요소를 제거하도록 하였습니다.

 - 세 번째, 적정성 평가 단계에서는 비식별 조치가 적정하게 이루어졌는지를 외부 평가단을 통해 객관적으로 평가하도록 하였으며, 평가과정에서 객관적이고 계량적인 평가 수단인 ‘k-익명성*’을 활용하도록 하였습니다.

 * 동일한 값을 가진 레코드를 k개 이상으로 하여 특정 개인을 추론하기 어렵도록 함. 예를 들어, k값을 5로 정하여 비식별 조치하였다면 데이터 셋 내에 개인 식별 요소가 없음은 물론이고, 최소 5개 이상의 레코드가 동일하여 개인식별이 어려움

 - 마지막 사후관리 단계에서는 비식별 정보의 안전한 활용과 오남용 예방을 위한 필수적인 보호조치* 사항을 명시하였습니다. 

 * 이용목적 달성 시 파기, 접근권한 관리 및 접근통제, 재식별 시 처리 중단 및 파기 등 

 

부처별로 전문기관*(공공기관)을 지정하여 중소기업과 스타트업을 지원**토록 하는 등 금번 가이드라인의 지원체계도 마련하였습니다.

 * 행정자치부․방송통신위원회(한국인터넷진흥원),금융위원회(한국신용정보원, 금융보안원), 미래창조과학부(한국정보화진흥원),보건복지부(사회보장정보원) 

 ** 미래부는 ‘16년 중 중소기업 및 스타트업 약 110개사를 선정하여 빅데이터 활용 솔루션 적용 및 컨설팅 지원, 전문가 멘토링 등을 지원할 예정(참고3 참조)

  

아울러, 금번 가이드라인과 함께 발간된 “개인정보 보호 법령 통합 해설서”에서는 개인 식별요소의 전부 또는 일부를 삭제하여 개인을 알아볼 수 없도록 적정하게 비식별 조치한 정보(=비식별 정보)는 추가 동의 없이 활용 가능하도록 하였습니다. 

 * 미국, 영국 등의 경우에도 개인을 알아볼 수 없도록 조치한 정보를 ‘비식별 정보(미국)’, ‘익명정보(영국)’ 로 정의하고 자유로운 활용을 보장 

또한, 비식별 정보는 개인정보가 아닌 것으로 추정*하고, 재식별**이 되지 않도록 필요한 보호조치는 반드시 준수토록 하였다.

 * 일단 개인정보가 아닌 것으로 보되, 개인정보라는 반증이 나오면 개인정보로 본다는 뜻

 ** 비식별 정보가 새로운 분석기술 적용이나 다른 추가적인 정보와의 결합 등을 통해 다시 특정 개인을 알아볼 수 있는 정보가 되는 것을 말함

  

현행법에 규정된 제재수단을 안내하여 비식별 정보를 오남용하는 것을 사전에 예방할 수 있도록 하였습니다. 

 

 ※ 비식별 정보를 고의로 재식별하여 이용․제공하는 경우 5년이하 징역 또는 5천만원 이하 벌금

    재식별 된 정보를 즉시 파기하지 않고 보관하는 경우 5천만원 이하의 과태료 부과

   (정보통신망법 적용 사업자는 위반행위 관련 매출액의 3%이내 과징금 부과 가능)

  

이번 ‘비식별 조치 가이드라인’과 ‘법령 통합 해설서’ 발간에 따라 산업계의 빅데이터 활용이 활성화될 것으로 보이며, 빅데이터 이용에 따른 개인정보 침해 우려도 불식될 것으로 기대됩니다. 

특히, 매년 30% 이상 급성장하고 있는 빅데이터 산업에 새로운 전기가 마련될 것으로 보이며, 고급 데이터 분석가 등 IT분야 청년 일자리 창출에도 상당한 기여를 할 것으로 기대됩니다.