개인정보 비식별 조치 가이드라인 제정됐지만...
비식별화 또는 익명화 개념과 재식별 가능성 놓고 논란

[보안뉴스= 이주연 김·장 법률사무소 변호사] 최근 빅데이터, 사물인터넷(IoT) 등으로 대변되는 4차 산업혁명의 물결 속에서 각종 정보에 대한 처리 규모와 방식이 무궁무진하게 증가하고 있다. 그러나 한편으로는 이와 함께 개인정보의 침해 내지 오· 남용에 대한 우려도 높아지고 있다. 그리고 각종 정보의 처리 과정에서는 개인정보보호법 등에서 개인정보 수집·이용, 제공 등의 경우 정보주체의 사전 동의를 원칙으로 하는 등의 규제로 인하여 각종 활용에 있어 제약이 가해지기도 한다.


‘개인정보의 비식별 조치 가이드라인’의 제정
개인정보보호법은 ‘개인정보’를 ‘살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)’라고 정의하면서 개인 식별 가능성을 그 개념 요소 중 하나로 규정하고 있다. 그리고 개인정보에서 개인 식별 가능성을 제약하거나 제거하여 특정 개인을 식별할 수 없도록 하는 일련의 조치를 우리는 ‘개인정보의 비식별화’라고 부른다.

개인 식별요소의 전부 또는 일부를 삭제하여 개인을 알아볼 수 없도록 적정하게 비식별 조치한 정보, 즉 비식별 정보는 개인정보가 아닌 것으로 추정되어 개인정보에 관한 각종 규제에서 자유로워지기 때문에 개인정보의 비식별 조치 기준이 무엇인지 명확히 제시될 필요가 있다.

이러한 필요에 의해 지난해 6월 말 국무조정실, 행정안전부, 방송통신위원회, 금융위원회, 과학기술정보통신부, 보건복지부 등 관계부처기 합동으로 마련한 ‘개인정보의 비식별 조치 가이드라인(이하 가이드라인)’에서는 개인정보의 비식별 조치 기준과 비식별 정보의 활용 범위 등을 명확히 제시하고자 했다.

가이드라인에서는 개인정보를 적정하게 비식별 조치하여 이용·제공하려는 사업자가 반드시 준수해야 할 조치 기준을 ① 개인정보 해당 여부를 검토하는 사전 검토 단계 ② 가명처리, 통계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹 등의 비식별 조치기법을 적용하는 비식별 조치 단계 ③ 비식별 조치 적정성 평가단을 운영하고 k-익명성 모델을 활용하는 적정성 평가 단계 ④ 사후 관리 단계 등 총 4단계로 제시했다. 가이드라인이 마련됨에 따라 비식별 조치의 기준과 비식별 조치를 통해 개인정보를 안전하게 활용할 수 있는 지원 및 관리체계의 초석이 마련됐다.

비식별 조치의 적정성 판단 및 재식별 가능성
그러나 업계에서는, 가이드라인에 따르면 적정성 평가단의 도움 없이는 사업자가 자체적으로 비식별 조치의 적정성을 확실하게 담보할 방법이 사실상 없기 때문에 가이드라인이 자유로운 정보의 활용을 촉진하거나 장려하기보다는 오히려 사업자의 책임 소지를 강화한 측면이 있다는 지적이 있다. 개인정보의 정의에 대한 모호한 판단기준도 해소되지 못했다는 얘기다.

한편, 재식별 가능성과 관련해 가이드라인은 사업자로부터 정보를 제공받은 자와 향후 정보를 처리할 예정인 자도 포함하여 개인을 알아볼 수 있는 주체로 명시하고 있다. 이에 대해 업계에서는 결과적으로 사업자가 자체적으로 비식별 조치를 다하였더라도 다른 곳에서 식별이 된다면 재식별 된 것으로 취급될 수밖에 없게 된다며 현실적인 어려움을 토로하기도 한다.

비식별 조치를 통하여 식별 가능성이 완전하게 제거됐다면 그 정보는 더 이상 개인정보가 아님은 분명하다. 그러나 재식별 가능성과 관련해서는, 당장은 재식별이 불가능해 보이더라도 향후 기술의 발전에 따라 재식별되는 상황이 있을 수도 있는 등 재식별 가능성을 영원히 완벽하게 제거하는 것은 관념적으로 그리고 현실적으로도 어려운 부분이기도 하다.

물론 그렇기 때문에 가이드라인에서 재식별 가능성에 대한 정기적인 모니터링을 수행할 것을 요구했으나, 이 또한 법령에서 요구하는 보호조치의 수준을 벗어난 것이라는 목소리도 있다. 재식별 가능성을 완벽하게 제거하기 위한 과정에서 정보 본연의 유용성이나 가치가 제거 혹은 변질될 가능성도 배제할 수 없다.

결국 비식별화된 정보의 개인정보성 인정 여부는 개인정보의 정의에 관한 합리적 해석, 특히 개인 식별 가능성에 대한 규범적 판단과 불가분의 관계에 있는 것으로 보인다. 개인 식별 가능성에 대한 판단 기준을 정립하는 과정에 있어서 비식별화 조치의 적정성에 관한 가이드라인의 내용과 지금까지 논의되고 있는 비식별화에 대한 각종 쟁점들이 함께 고려돼야 하는 이유가 바로 여기에 있다.

개인정보의 비식별화와 익명화 이슈, 입법 불가피 의견도
올해 5월 발표된 국회입법조사처의 ‘NARS 현안보고서’에서는 비식별화 기준을 제시하는 수단으로 현재와 같은 가이드라인을 통한 방식도 있지만 EU, 일본과 같이 입법조치를 통한 방식도 있다면서 장단점을 분석했다. 이 과정에서 향후에는 어떤 방식으로든 개인정보보호법제에 비식별화나 익명화에 관한 사항이 포함되는 방향으로 입법이 불가피할 것이라는 의견이 제시되기도 했다. 참고로 비식별화와 관련해 제19대 국회와 제20대 국회에서 각각 5개의 법률안이 발의된 상태다.

빅데이터는 ‘21세기의 원유(原油)’라고 부르기도 한다. 그만큼 4차 산업혁명의 시대에 정보가 가지는 중요성과 동태성을 인식하면서, 그로 인한 부작용을 최소화하기 위해 여러 이해관계인들의 중지를 모아 개인정보의 활용과 보호 사이에서 균형점을 찾아 나가야 할 것으로 본다.  
[글_ 이주연 김·장 법률사무소 변호사]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>