• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

외국, 개인정보 비식별조치 어떻게 규정하고 있나 2018.03.29

EU, 연구목적의 가명화 정보 활용은 목적외 이용에서 예외
미국과 EU은 관리적 측면과 인적보안 강조, 우리나라는 기술적 측면에 치중

[보안뉴스 김경애 기자] 개인정보는 식별가능한 개인정보와 매칭정보를 통해 식별될 수 있는 가명정보, 식별이 불가능한 익명정보로 구분된다. 하지만 비식별조치된 개인정보가 제3자에게 제공되고, 다시 식별될 수 있다는 가능성을 두고 논란이 뜨겁다. 이는 가명화 정보 이용과 통계목적 이용과 관련해서 우려의 목소리가 나오고 있기 때문이다. 이에 따라 선진국 등에서는 비식별조치된 개인정보 활용 및 제한에 대해 법적으로 어떻게 제한하고 있는지에 대해서도 관심이 모아지고 있다.

▲동국대학교 이창범 교수[사진=보안뉴스]


EU, 연구목적의 가명화 정보 활용은 목적외 이용에서 예외
EU는 가명화(Pseudonymisation)의 정의와 가명 조치된 정보의 예외적 처리를 법률에 명시하고 있다. 가명정보는 식별성이 낮지만 매칭 정보를 통해 식별이 가능할 수 있어 개인정보로 간주하고 있다. 하지만 익명정보라고 해도 100% 식별되지 않는다는 보장은 없다. 다만, 합리적인 기술과 시간, 비용, 노력으로는 식별될 수 없기 때문에 개인정보로는 보지 않는다. 이는 활용 측면보단 관리 측면에 중점을 두고 있다는 얘기다.

이에 따라 개인정보를 공적기록, 과학 및 역사연구, 통계 목적으로 가명화해서 이용하거나 제공할 때는 목적외 이용과 제공으로 보지 않는다고 명시(GDPR 제5조 제1항 제89조 제1항)하고 있다. 또한, 가명·익명화된 개인정보에 대해서는 접근권, 정정권, 처리제한권, 정정·삭제 등의 통지의무, 정보이동권, 반대권 등의 적용 배제가 가능하다(GDPR 제89조 제2,3항).

과학연구 목적으로 처리할 수 있는 범위는 기술개발, 기술실증, 기초연구, 응용연구, 민간연구 등이 포함돼 있다. 통계 목적 처리 범위는 상업적 목적의 통계처리부터 공익목적의 통계처리까지 모두 포함하고 있다.

유럽 개인정보보호법(GDPR)은 익명화와 익명정보의 정의, 기준, 방법 등에 대해 규정하지 않고 있다. 주요 해설서와 의견서를 통해 비식별조치의 개념, 기준, 방법 등에 대해 정의하고 있다.

익명성의 판단주체 기준은 개인정보처리자나 임의의 제3자가 편법으로 재결합할 수 있어 식별 가능성에 따른 비용, 시간, 기술 등의 요소를 고려해 판단하고 있다.

미국, 비식별조치 관리 중요성 강조
미국은 FTC 보고서(Protecting Consumer Privacy in an Era of Rapid Change, 2012)에서 합리적인 방법으로 비식별 조치(De-Identification), 홈페이지 등에 비식별조치된 정보를 재식별하지 않겠다고 공개적으로 약속함으로써 제3자에게 비식별 정보 제공시 재식별 행위를 계약으로 금지하도록 명시하고 있다.

또한, 미국 NIST에서는 정부기관 소유 데이터 오픈을 위한 개인정보 비식별조치 절차와 방법, 비식별조치 기술과 함께 관리를 위한 거버넌스의 중요성을 강조하고 있다.

이에 대해 동국대학교 이창범 교수는 개인정보 비식별처리 기술 세미나에서 “미국과 EU는 관리적 조치와 인적보안을 강조하고 있는 반면, 우리나라는 기술적 보안조치에 치중돼 있다”고 지적했다. 또한, 미국은 다수의 비식별조치 전문가가 재식별 가능성이 낮다는 서면인증을 받는 방식인 전문가 결정 방식과 통계에 따르고 있다고 덧붙였다.

일본, 임시식별자 정보 활용 가능
일본은 익명정보를 복원할 수 없도록 처리된 정보로 정의하고 있다.

일본과 우리나라의 비식별조치 가이드라인의 차이점에 대해 이창범 교수는 “우리나라 비식별조치 가이드라인과 유사하나, 일본은 임시식별자의 정보가 복원되지 않는 범위 내에서 활용할 수 있도록 하고 있다. 또한, 어떻게 사용하겠다고 명확히 공개하면 활용이 가능하며, 가공정보라는 개념이 없다. 이는 법 환경 측면에서 필요성을 못 느끼기 때문”이라고 설명했다.

이외에 독일, 이탈리아, 미국 등은 법률에 Anonymisation 또는 De-identification의 개념을 명시하고 있으며 EU, 호주, 영국, 캐나다 등은 프라이버시 원칙 제시와 함께 가이드라인에서 비식별정보를 구분하고 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>