국내 개인정보 비식별 조치 현황과 대응 방안

    보안 이야기 2017.10.30 15:25


    지난해 6월 행정자치부 등 관계부처는 개인정보 침해 방지와 안전한 활용을 위해

    개인정보 비식별 조치 가이드라인을 제정하고

    전문기관도 지정해서 개인정보 비식별화 성화 사업을 지원하였습니다. 


    하지만 정보보호에 대한 기업의 책임 강화 뿐만 아니라

    불분명한 점이 많다는 이유로 아직까지는 기업들의 이용이 저조한 편 입니다. 


    4차 산업혁명과 함께 데이터 활용 방안이 크게 떠오르면서

    의미 있는 데이터를 유용하고 안전하게 활용하는 일이 무엇보다 중요해졌는데요,


    소프트캠프가 오늘은 인정보 비식별 조치 국내 현황과 함께 

    해외 사례, 앞으로 나아가야 할 방향에 대해 알려드리겠습니다. 




    비식별 정보란?

     

     

    누구에 대한 정보인지를 확인할 수 없도록 조치한 개인정보, 주민등록번호처럼 특정인을 구분할 수 있는 것을 뺀 데이터로 빅데이터의 원천이 된다. 

    이 같은 정보를 묶으면 은행은 특정 직업군의 대출 연체 현황 등을 파악할 수 있고 카드사는 결제 정보를 활용해 상권분석 컨설팅을 할 수 있다. 

    출처 : 한경 경제용어사전


    예로 들어 32세 홍길동에 대한 정보는 30대 초반 홍XX와 같은 식으로

    애매모호하게 만들거나 알 수 없도록 처리하는 방식이지요.


    개인정보 비식별 조치는 빅데이터, IoT 등 융합기술의 발전으로

    데이터 이용 수요와 활용가치가 크게 늘어나면서 개인정보 유출 가능성을 최소화 하면서

    신상품 개발, 마케팅 전략 수립 등 산업 전반으로 다양하게 활용할 수 있는 방법으로 떠오르고 있습니다. 




    국내의 개인정보 비식별 조치 현황



    정보보호의 아래 자유롭게 데이터를 활용할 수 있기 때문에

    정부는 개인정보 비식별 조치 가이드라인을 배포하는 등 이 사업을 적극적으로 추진했으나

    실제로 활용하는 빈도는 높지 않은 편 입니다. 


    기업이 활용할 수 있는 비식별화된 개인정보 지원의 경우 민간기관 1건에 그쳤으며

    지원센터의 운영 실적도 10건에 불과한 편 입니다. 

    게다가 이 제도 아래 국내 대기업들이 고객의 동의 없이 다량의 개인정보를 교환했다는

    비판이 이어져 개인정보 활용을 원천 차단해야 한다는 극단적인 의견도 나타나고 있는 상황입니다. 


    하지만 무조건적인 개인정보 활용 금지보다는

    안전하게 관리하면서 적극적으로 활용하는 것이 전 세계적인 추세이며

    비식별 정보를 활용해 특정 세대 또는 지역 거주자에게 특화된 복지 혜택 지원 등이 가능해질 수 있으므로

    변화하는 시대의 흐름에 발맞출 필요가 있습니다.




    유럽, 일본, 미국의 개인정보 비식별 조치 사례



    아직까지 한국은 활용보다 보호의 초점에서 개인정보 비식별 조치를 하지만

    유럽, 일본의 경우 시대적 흐름에 맞춰 개인정보 보호와 활용이 가능한 조치들을 추진하고 있습니다. 


    ▲ 유럽 

    EU는 GDPR 채택을 통하여 EU 회원국 전체에 보다 더 일원화되고

    통일된 개인 정보보호 법제를 적용하고 있는데요

    특히 정보 활용성을 매우 강조하고 있습니다. 


    GDPR은 해당 정보가 가명 처리 또는 암호화 등

    안전장치만 확보된다면 목적 외 처리가 가능하며

    동시에 가명처리 정보는 개인정보보호로 보고 GDPR 내 보호 적용 대상으로 규정함으로써

    정보 처리자에게 목적 외 활용의 경우에도 개인정보보호 의무를 다할 수 있도록 하여

    개인정보보호를 충실히 이행하면서 빅데이터 분석/활용 등의 새로운 산업 활성화에 뒷받침 되도록

    개인정보 보호와 활용 두 가지 목적을 조화시키고 있습니다. 


    ▲ 일본 

    일본은 공공/민간 분야별 개별법에서 관리하던 기존 개인정보 보호 법제를 통합해

    2003년 개인정보 보호에 관한 법률을 신규로 채택했습니다.


    또한 2016년 익명가공정보, 익명가공정보 취급사업자

    요배려 개인정보 등을 포함하는 개인정보보호법을 개정하여

    4차 산업혁명시대에 빅데이터, IoT 등 새로운 산업 활성화에 대비하고자

    개인정보 보호와 활용의 균형점을 찾은 것으로 보입니다. 


    특히 개정된 일본 개인정보보호법 중 

    제 36조 제 5항 및 제 38조에서 개인정보취급사업자와 익명가공정보취급사업자에 대하여

    익명가공정보를 다른 정보와 조합하는 행위를 금지하는 규정을 두어 안전성을 확보하고 있습니다. 


    또한, 제 36조 제 3항 및 6항에서는 개인정보취급사업자가 익명가공정보를 작성한 경우에는 

    당해 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하도록 의무화했는데요

    이는 익명가공정보를 활용할 수 있도록 하되

    개인의 개인정보를 자기 결정권도 함께 보장하는 것으로 볼 수 있습니다


    ▲ 미국 

    미국은 일본, 유럽과 달리 의료, 교육 등 각 분야별로 개별적인 개인정보 비식별 법안을 갖고 있습니다. 


    보건복지부(HHS) 소관의 HIPPA(Health Insurance Portability and Accountability Act), 

    프라이버시 규칙(HIPPA Privacy Rule)에 따르면

    비식별 정보로서 '개인을 식별하지 않은 개인정보와 개인을 식별할 수 있게 한다는 합리적인 근거가 없는 건강정보는

    개인 식별이 가능한 건강정보가 아니다'라고 규정하고 있으며

    safe harbor 방식, 전문가 결정방식 2가지 접근법으로 비식별화 방식을 규정하고 있습니다. 


    또한 상무부 산하의 NIST(National Institute of Standards and Technology)는

    비식별 처리 용어, 기법 등을 정리하여 개인정보 비식별화에 관한 보고서를 발표했으며

    FTC(Federal Trade Commission)는 비식별화 관련 내용이 포함된 

    '기업과 정책 담당자를 위한 권고사항 보고서'를 발표하는 등 

    비식별 조치된 정보에 대한 활용을 보장하기 위해 단일화된 일반법이 아닌 

    개별법으로 비식별 정보에 대한 내용을 보장하고 있습니다.




    개인정보 비식별 조치 고려사항 4가지



    다양한 해외 사례에 반해 우리나라는 어떠할까요?


    2016년 6월 개인정보 비식별 조치 가이드라인 및

    비식별 조치를 통한 데이터 결합 및 분석 사례가 나오고 있지만

    개인정보 비식별 조치 찬반논란 및 이해부족, 법적효력에 대한 불확실성, 재식별에 대한 우려 등으로

    제대로 활용되지 못하고 있는 상황입니다. 


    하지만 우리나라 가이드라인은 단순한 식별자 제거는 물론

    프라이버시 모델에 의한 비식별 조치 적정성 평가 및 사후관리 기준까지 제시하고 있어

    가이드라인에 따라 적정하게 비식별 조치하고 관리한다면

    개인정보 노출 위험을 최소화 하면서 빅데이터 분석 등으로 다양하게 활용할 수 있습니다. 


    다만, 몇 가지 고려할 사항이 있는데

    아래에서 자세히 소개하겠습니다. 



    ▲ 활용 목적에 적합한 데이터 선정

    예를 들어, 비식별 조치 대상 데이터는 기업의 비즈니스 목적을 달성할 수 있는

    필요한 데이터만으로 최소화해서 구성하는 것이 좋습니다. 


    불필요한 데이터를 포함할 경우 개인정보 비식별 과정이 복잡해질 뿐만 아니라

    재식별 가능성 또한 높아질 수 있기 때문입니다. 


    ▲ 데이터의 특성을 고려한 비식별 조치 기법 사용

    본 데이터에 비식별 조치 기법 적용 시 데이터 이용도를 최대한 유지하면서

    적정한 비식별 조치가 될 수 있도록 해야 합니다. 


    비식별 조치를 과도하게 할 경우 정보손실이 커지게 되고

    비식별 조치 수준이 낮을 경우 개인정보 침해 우려가 발생할 수 있습니다. 


    이를 방지하기 위해 내부적으로 데이터 분석에 필요한 최소한의 데이터 품질 목표를 정한 후,

    이를 유지하면서 비식별 조치가 적정하게 될 수 있도록 처리하는 것이 중요합니다. 


    ▲ 효율적인 적정성 평가 대첵 수립 및 비식별 정보에 대해 엄격한 사후관리 필요

    적정성 평가를 효율적으로 진행하기 위해서는 비식별 정보에 대해 엄격한 사후관리 대책을 수립하고 

    이를 기초자료에 충실하게 반영/작성해야 합니다. 


    적정성 평가단계는 개인정보를 보호하기 위한 가장 중요한 과정이라고 할 수 있습니다. 


    평가과정에서 가장 이슈가 되는 것은 비식별 조치 수준의 적정성에 대한 이해관계 상충입니다. 

    데이터를 활용하는 입장에서는 데이터의 이용도가 중요하고

    적정성을 평가하는 입장에서는 개인정보 보호가 중요하기 때문입니다. 



    <참고>


    - 도마 오른 개인정보 비식별조치, 저조한 활용 실적 "왜?" / 디지털데일리 / 2017-10-12 

    - 개인정보 빕식별 조치 1년, 활용은? / 아이뉴스24 / 2017-07-23

    - 기업은 동의 없이 개인정보를 교환했나 / 아이뉴스24 / 2017-10-11

    - 개인정보 비식별 조치, 세계 각국은 어떻게 하고 있나요? / 보안뉴스 / 2017-09-20

    - 개인정보 보호 및 활용 위한 개인정보 비식별조치 시 고려사항 / 보안뉴스 / 2017-08-24




    티스토리 툴바