2022-11-30 12:25 (수)
[박나룡 보안칼럼] 가명정보 처리, 데이터 경제에 도움인가...허들인가?
상태바
[박나룡 보안칼럼] 가명정보 처리, 데이터 경제에 도움인가...허들인가?
  • 길민권 기자
  • 승인 2022.07.07 13:49
이 기사를 공유합니다

민간분야, 가명처리 수행할 만한 전문 인력 거의 없고...가명처리 수행 시 법률적 리스크 감당 부담 커

데이터 3법이 시행되면서 개인정보의 활용을 보다 폭넓게 지원하기 위해 가명정보의 이용, 데이터 결합 등 데이터 활용을 통한 새로운 기술과 서비스가 창출될 것으로 예상했지만, 현실은 엄격한 가명정보 처리 규정 때문에 데이터 경제의 발목을 잡고 있는건 아닌지 우려하는 목소리가 있다.

가명정보 처리의 핵심은 수집 목적 외에 이용이 불가능했던 개인정보를 법률에서 정한 목적(통계 작성, 과학적 연구, 공익적 기록보존 등) 내에서 정보주체의 동의 없이 이용할 수 있도록 해서 데이터 경제가 활성화되고 나아가 데이터 강국으로 발돋움하는 기회를 만드는데 있지만, 아직까지 긍정적이고 주목할만한 변화를 이끌어내지 못하고 있다.

1. 절차의 복잡성

“가명처리”는 개인정보의 일부를 삭제하거나, 일부 또는 전부를 대체하는 과정이고, “가명정보 처리”는 가명처리를 통해 생성된 가명정보를 이용·제공 등 활용하는 행위로 정의하고 있고, 처리 단계를 ①가명처리 목적 설정 등 사전준비 ②위험성 검토 ③가명처리 수행 ④적정성 검토 및 추가 가명처리 ⑤가명정보의 안전한 관리 단계로 구분하고 있다. 

각 단계별로 살펴보면,

①사전준비 단계는 가명처리 목적 설정, 처리 대상 선정, 목적 적합성 검토, 안전조치, 서류작성 등의 단계가 있다.

②위험성 검토 단계는 대상 선정, 식별 위험성 검토, 이용·제공에 따른 검토를 진행한다. 

③가명처리 수행 단계는 항목별 가명처리 계획을 설정하고, 가명처리를 수행한다.

④적정성 검토 단계에서는 필요서류 검토, 목적 적합성 검토, 식별 위험성 검토, 가명처리 방법·수준 적정성 검토, 가명처리 적정성 검토, 목적 달성 가능성 등 검토 과정을 수행한다.

⑤마지막 단계는 안전한 관리로 재식별 금지, 재식별 가능성 모니터링, 안전조치 시행, 가명정보 처리기록 작성·보관 등을 수행해야 한다.

단계별로 해야 할 업무의 종류와 내용이 복잡하다.

가명정보도 개인정보에 포함되는 상황에서, 굳이 별도의 복잡한 절차를 통해 가명정보를 처리하는 것이 보안 관점에서 효과성과 제도의 목적을 이룰 수 있는 방향인지 고민이 필요한 부분이다.

개인정보를 보호하는 수준을 높이고(예를 들면, ISMS-P인증을 받은 범위), 그 시스템 내에서 적절하게 가명처리를 수행할 수 있도록 유연한 절차를 마련할 수는 없는지 살펴봐야 한다. 

2. 추가 인력 필요

추가정보의 내용을 알고 있는 자가 가명처리의 적정성 검토를 수행하거나 가명정보를 처리(활용)하는 경우 특정 개인을 알아볼 위험을 방지하기 위해 가명처리, 적정성 검토, 가명처리가 완료된 가명정보의 처리를 수행하는 업무담당자를 ‘각각’ 분리하고, 해당 업무별로 접근권한을 분리하여 운영하도록 가이드 하고 있다.

DATA에 접근할 수 없는 인력이나, 비용, 시간 등을 고려하여 개인정보 식별과 관련이 없는 수준이면서 가명처리를 수행할 수 있는 추가 인력을 배정해야 하는 부담이 생길 수 있다.

3. 정보주체의 가명처리 정지 요구 

사업자나 정보주체 관점에서 가명처리 정지 요구를 적용하기가 쉽지 않다.

개인정보처리자는 정보주체가 자신의 개인정보에 대한 가명처리 정지를 요구한 경우 개인정보보호법 37조에 따라 가명처리 대상 정보에서 해당 정보주체의 정보를 제외하고 선정하도록 하고 있으나, 정보주체가 내 정보를 가명처리 하는지, 안 하는지 알 수 있는 방법이 없다.

정보주체가 처리 정지를 요구하려면 내 개인정보를 보유하고 있는 곳에 개별적으로 ‘가명처리 금지’를 별도로 요청해야 한다는 얘기다.

아니면, 사업자가 정보주체의 권리보장 측면에서 회원가입 시나 별도의 단계에서 가명처리에 대한 동의를 따로 받아놔야 하는 것인지 헷갈릴 수 있다. 이럴 경우, 동의 없이 가명처리 할 수 있도록 개정한 법률의 취지와도 맞지 않는 문제가 발생한다.

4. 결합전문기관을 통한 가명정보 결합

가명정보를 결합하여 활용하려는 개인정보처리자는 결합전문기관을 통해 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 가명정보 결합이 가능하다.

이를 위해, 서로 다른 개인정보처리자가 보유한 가명정보의 결합을 지정된 결합전문기관이 수행하도록 하고 있으나, 서로 다른 개인정보처리자 A와 B는 어떤 정보들이 있는지 조차 알기 어렵다.

금융 분야는 데이터전문기관의 역량 등을 통해 정보의 결합이 활성화되고 있지만, 민간 분야는 결합을 원하는 데이터, 기관을 찾아 매칭을 추진하는 사이트(link.privacy.go.kr)를 운영할 뿐, 실제 누구와 어떤 정보를 결합해야 좋은 정보를 얻을 수 있는지도 파악하기 어려운 상황이다. 

결합절차도 금융 분야에 비해 상대적으로 복잡한 편이다. 

금융은 데이터전문기관에서 가명처리와 반출까지 처리가 가능하지만, 민간은 신청자가 가명정보 반출을 위한 추가 가명처리까지 모든 업무를 수행해야 한다.

이러한 복잡성은 현업 담당자에게 부담으로 인식되고, 활성화에 걸림돌로 작용하고 있다.

현장에서는 가명처리를 수행할 만한 전문 인력이 거의 없고, 가명처리 수행 시 발생할 수 있는 법률적 리스크를 감당하기 어렵다고 판단하는 상황에서, 금융 분야와 달리 신청자가 직접 진행해야 하는 현재의 모습은 적극적으로 다가가기 쉽지 않아 보인다.

박나룡 소장
박나룡 소장

데이터의 원활한 활용과 유통을 기반으로, 다양한 부분에서 긍정적인 영향을 만들어 낼 수 있기를 기대한다면 보다 적극적인 개선책 마련이 필요하다.

[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]

★정보보안 대표 미디어 데일리시큐!★