지난 5월 21일, 데일리시큐는 더케이호텔서울에서 국내 최대 '2024 의료기관 정보보안 컨퍼런스(MPIS 2024)'를 전국 국공립 의료기관 및 대학·민간 병원의 개인정보보호 및 정보보안 책임자와 실무자 300여 명이 참석한 가운데 성황리 개최했다.
이번 컨퍼런스에서 한국인터넷진흥원(KISA) 박창민 마이데이터팀 팀장은 '통신, 유통, 의료 등 전분야 마이데이터 시행을 위한 제도현황 및 세부기준'을 주제로 강연을 진행했다.
박 팀장은 강연 서두에서 마이데이터의 정의와 의의에 대해 “마이데이터는 개인이 자신의 데이터에 대한 권리를 가지고, 자신의 통제 하에서 이를 관리하고 처리할 수 있도록 하는 제도다. 이는 단순히 개인정보 유출 피해 방지를 넘어, 국민의 개인정보 자기결정권을 보장하는 적극적 프라이버시 권리로 정의된다. 예를 들어, 건강 검진 데이터, 걸음 수, 운동량, 수면 시간, 식습관 데이터 등을 종합하여 개인 맞춤형 건강 관리 서비스나 건강 기능식품 추천 서비스를 제공하는 형태를 들 수 있다”고 설명했다.
마이데이터 시행을 위해 개인정보 주체가 가지는 권리는 개인정보 전송 요구권으로, 이는 정보 주체가 개인정보 처리자에게 본인 또는 제3자에게 자신의 개인정보를 전송할 것을 요구할 수 있는 보편적 권리다. 개인정보보호법의 2023년 3월 개정을 통해 이 권리가 도입되어 전 분야 마이데이터 추진의 법적 근거가 마련되었다.
이어 박 팀장은 유럽연합의 GDPR(General Data Protection Regulation) 사례를 소개했다. GDPR은 정보 주체가 개인 정보 보호를 제공받을 권리를 부여하며, 기술적으로 가능한 경우 개인 정보가 제3자에게 직접 전송될 수 있는 권리를 포함하고 있다. GDPR은 정보 주체의 동의 또는 계약에 근거하여 자동화된 수단으로 처리된 정보를 이동할 수 있는 권리를 보장하며, 정보 주체가 제공한 정보는 정보 주체가 입력한 정보와 온라인 활동으로 생성된 행태 정보 등을 포함한다.
두 번째로 PSD2(Payment Services Directive 2)에 대해 언급했다. 이는 유럽에서 금융 사업 내 지급 결제 시장 활성화와 데이터 활용 산업을 육성하기 위해 마련된 지침으로, 금융 마이데이터와 유사한 권리를 지원하는 근거로 작용하고 있다.
미국의 CCPA(California Consumer Privacy Act) 사례도 다루었다. CCPA는 소비자가 개인 정보 수집 및 사용 사업자에게 정보 공개와 접근을 요구할 수 있는 권리를 부여하고 있으며, 이는 마이데이터의 개념과 유사한 접근 권리를 보장한다.
한편 국내에서는 신용정보법과 전자정부법의 개정을 통해 금융 및 공공 분야에서 제한적으로 마이데이터가 도입되었다. 2020년 신용정보법 개정을 통해 본인 신용 정보 전송 요구권이 도입되었고, 2021년 전자정부법 개정으로 본인 행정정보 전송 요구권이 도입되었다. 2023년 3월 개인정보보호법 개정을 통해 개인정보 전송 요구권이 보편적 권리로 도입되어 전 분야 마이데이터 도입의 법적 근거가 마련되었다.
한편 신용정보법 개정으로 금융 마이데이터 서비스는 2022년 1월부터 본격적으로 시작되었다. 금융 마이데이터 서비스의 경우, 금융 회사, 전자 금융업자, 한국 거래소 등이 신용 정보를 제공하며, 제공되는 신용 정보는 금융 거래 정보, 국세 및 지방세 납부 정보, 보험료 납부 정보, 통신료 납부 정보 등이 포함된다. 공공 마이데이터 서비스는 2021년 12월부터 시행되었으며, 공공 기관이 보유한 행정정보를 개인이 요구하면 자동으로 이용 기관에 전송할 수 있도록 하는 체계이다.
마이데이터 전송 체계는 정보 전송자와 정보 수신자, 중개 전문 기관으로 구성된다. 정보 전송자는 본인 또는 제3자에게 데이터를 전송하는 주체이며, 정보 수신자는 데이터를 받는 주체로 나뉜다. 중개 전문 기관은 정보 전송자와 정보 수신자 간의 데이터를 중개하는 역할을 한다.
정보 전송자는 본인 대상 정보 전송자와 제3자 대상 정보 전송자로 구분되며, 본인 대상 정보 전송자는 영리를 목적으로 하는 법인 중 중소기업에 해당되지 않는 정보 주체 보유자로, 10만 명 이상의 정보 주체를 보유한 자가 해당된다. 제3자 대상 정보 전송자는 산업 분야별로 대상 기준이 마련되며, 의료, 통신, 유통 분야가 우선적으로 지정될 예정이다.
◆세부 기준 및 전송 정보의 범위
박 팀장은 세부 기준으로 정보 주체가 정보 전송자에게 전송을 요구할 수 있는 정보의 범위를 설명했다. 본인 대상 전송 요구 정보는 정보 주체 본인의 정보로서 컴퓨터 등의 정보 처리 장치로 처리되는 개인정보를 전제로 하며, 정보 주체의 동의를 받아 처리되는 개인정보, 계약 이행을 위해 처리되는 개인정보, 법률 규정 의무 준수를 위해 처리되는 개인정보가 포함된다.
제3자 제공 전송 요구 정보는 의료 분야에서는 진단 내역, 처방 내역, 검체·영상·병리 검사 결과 등이 해당되며, 통신 분야에서는 기간 통신 서비스 가입 정보, 이용 정보, 청구 정보, 납부 정보 등이 포함된다. 유통 분야에서는 주문 정보, 구매 정보, 이용 정보 등이 해당된다.
개인정보 관리 전문 기관은 중개 전문 기관과 정보 수신자로 구분되며, 이들은 개인정보를 관리, 분석하여 통합 조회, 맞춤형 서비스, 연구, 교육 등의 업무를 수행한다. 개인정보 관리 전문 기관의 금지 행위로는 전송 요구를 강요하거나 부당하게 유도하는 행위, 전송 요구 내용을 변경하는 행위, 부당한 이익을 위해 특정 정보 주체의 이익을 해하는 행위 등이 있다. 특수 전문 기관의 경우, 금전적 이익을 조건으로 전송 동의를 유도하는 행위, 차별 행위 등이 금지된다.
◆전송 요구 방법과 데이터 보안
정보 주체는 전송 요구의 목적과 전송받는 자를 특정하여 전송을 요구할 수 있으며, 중개 전문 기관을 통해 안전하고 신뢰할 수 있는 방식으로 정보를 전송받을 수 있다. 전송 요구가 거절되거나 중단되는 사유로는 본인 또는 대리인 여부가 확인되지 않는 경우, 제3자의 기망이나 협박에 의한 전송 요구로 의심되는 경우 등이 있다.
박창민 팀장은 마이데이터의 전 분야 도입을 위한 준비 사항으로 데이터의 구체화와 표준화, 전송 방식의 규격화, 통합 인증과 보안 인프라 마련이 필요하다고 강조했다. 마이데이터 제도의 성공적인 도입을 위해 각 이해관계자들과의 협력이 중요하며, 이를 통해 개인정보보호와 활용의 균형을 맞출 수 있을 것이라고 덧붙였다.
이번 MPIS 2024는 보건복지부, 대한병원정보보안협회 등의 후원으로 개최됐다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
