가명정보제도의 주요 내용 및 활용

가명정보제도의 주요 내용 및 활용

지난 2020년 8월 「개인정보 보호법」(이하 ‘법’이라 한다)을 비롯한 이른바 데이터 3법(「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」)이 개정·시행되었다. 데이터 3법의 개정은 빅데이터, AI 등 4차 산업혁명 시대의 신성장 동력인 데이터의 활용에 대한 시대적 요구를 반영한 것이다. 특히 융복합 산업에서의 데이터 이용 수요가 급증하고 있는 가운데 데이터 활용의 핵심인 ‘가명정보’의 활용에 대한 법적 근거의 마련은 체계적인 데이터 활용의 기반을 조성했다는 점에서 의의가 크다.

---

가명정보는 개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보를 말한다(법 제2조제1호·제2조제1의2호 참조). 따라서 가명정보는 개인정보를 가명처리한 정보라 볼 수 있다. 가명정보의 개념은 유럽엽합(EU)의 경우에는 2018년 5월 25일부터 GDPR(General Data Protection Regulation)의 발표에 따라 적용하고 있으며, 미국에서는 NIST IR 8053 등 표준화 작업을 통해 활용되어 왔다. 가명정보는 결합을 통하여 이종(異種) 산업간 데이터의 안전한 연계를 통한 새로운 부가가치의 창출이 기대되고 있다.

 

본고에서는 가명정보의 이해를 돕기 위하여 우리나라 개인정보 보호법상 가명정보제도의 주요 내용을 개관하고1), 그 활용 사례에 대하여 간략히 살펴보기로 한다.

 

가명정보의 처리 대상

가명정보는 정보 주체의 동의 없이 개인정보처리자의 정당한 처리 범위 내에서 통계 작성, 과학적 연구, 공익적 기록 보존 등의 목적을 위하여 처리할 수 있다(법 제28조의2). 여기에서의 통계작성에는 시장조사와 같은 상업적 목적의 통계 처리도 포함되고2), 과학적 연구는 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다(법 제2조제8호). 공익적 기록보존은 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 정보를 기록하여 보존하는 것을 의미한다3).

 

개인정보처리자는 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다(법 제28조의2제2항). 여기서 개인정보에 대한 판단기준은 개인정보처리자가 보유한 정보 또는 접근 가능한 권한 등 상황에 따라 달리 판단하여야 한다.

 

가명정보의 결합

통계 작성, 과학적 연구, 공익적 기록 보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 개인정보 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다(법 제28조의3제1항)4). 개인정보처리자 내부에서 보유한 가명정보의 결합은 별도의 외부 결합전문기관을 통하지 않아도 되지만, 안전한 결합을 위하여 결합전문기관의 결합 절차와 유사하게 처리하는 것이 권고되고 있다5).

 

결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 익명정보(법 제58조의2)6)에 해당하는 정보로 처리한 뒤 전문기관장의 승인을 받아야 한다(법 제28조의3제2항). 가명정보의 결합은 예를 들면, 보험사가 보유하고 있는 자동차 운전자의 운전습관 정보를 결합하여 운전습관에 따른 보험요율 산출 등에 활용하는 것과 같이 다른 개인정보처리자들이 보유하고 있는 결합정보들을 결합시키는 것으로써 빅데이터 분석, AI의 딥러닝 등의 발전을 위해 필수불가결한 요소로 이해된다7).

 

가명정보의 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준·절차, 관리·감독, 반출 및 승인 기준·절차 등 필요한 사항은 대통령령으로 정하고 있다(법 제28조의3제3항). 결합전문기관에 가명정보의 결합을 신청하려는 개인정보처리자(이하 “결합신청자”라 한다)는 개인정보 보호위원회가 정하여 고시하는 결합신청서에 ① 사업자등록증, 법인등기부등본 등 결합신청자 관련 서류, ② 결합 대상 가명정보에 관한 서류, ③ 결합 목적을 증명할 수 있는 서류, ④ 그 밖에 가명정보의 결합 및 반출에 필요하다고 개인정보 보호위원회가 정하여 고시하는 서류 첨부하여 결합전문기관에 제출해야 한다(법시행령 제29조의3제1항). 결합전문기관은 가명정보를 결합하는 경우에는 특정 개인을 알아볼 수 없도록 해야 한다. 이 경우 개인정보보호위원회는 필요하면 한국인터넷진흥원 또는 개인정보보호위원회가 지정하여 고시하는 기관으로 하여금 특정 개인을 알아볼 수 없도록 하는 데에 필요한 업무를 지원하도록 할 수 있다(법시행령 제29조의3제2항). 결합신청자는 결합전문기관이 결합한 정보를 결합전문기관 외부로 반출하려는 경우에는 결합전문기관에 설치된 안전성 확보에 필요한 기술적·관리적·물리적 조치가 된 공간에서 결합된 정보를 가명정보 또는 익명정보(법 제58조의2 참조)로 처리한 뒤 결합전문기관의 승인을 받아야 한다(법시행령 제29조의3제3항).

 

 

가명정보의 안전관리

개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관·관리하는 등 해당 정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적·물리적 조치를 하여야 한다(법 제28조의4제1항). 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 한다(법 제28조의4제1항). 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다(법 제28조의5제1항). 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수·파기하여야 한다(법 제28조의5제2항).

 

가명정보의 결합 활용 사례8)

1) ‌지역별, 상권별, 상품별 소비패턴 분석(㈜케이티·롯데멤버스)

가. 추진 배경 및 필요성

소비자의 개인별·지역별 특성에 따른 다양한 수요에 대응한 맞춤형 상품과 서비스를 제공한다면 소비자와 기업 모두 얻을 수 있는 편익이 크지만 각 기업에서 보유한 데이터 분석만으로는 고객의 행태별 소비행태를 분석하는 데에는 한계가 있다.

유통사의 구매정보와 고객 개인 특성 정보를 결합하면 세대의 구성별·지역별·구매금액별 소비패턴을 파악하여 그에 맞는 서비스 판매 전략을 구상하고 이용자들이 원하는 상품을 추천할 수 있다

나. 결합데이터

소비자의 개인별·지역별 특성에 따른 다양한 수요에 대응한 맞춤형 상품과 서비스를 제공한다면 소비자와 기업 모두 얻을 수 있는 편익이 크지만 각 기업에서 보유한 데이터 분석만으로는 고객의 행태별 소비행태를 분석하는 데에는 한계가 있다.

결합기관: 한국지능정보사회진흥원

다. 분석 결과

자녀가 있는 가구는 주로 식품을 구매하고, 1인 가구는 의류·패션잡화, 가전·디지털기기의 구매 비중이 높았다. 또 구매금액 기준 상위 고객은 30대이며, 유·아동 의류와 완구의 구매 비중이 높은 것으로 확인되었다. 이외에도 개인별 관심도가 높은 품목에 대한 구매 비중이 2배 이상 높게 나타났다.

 

2) ‌화물차 개인사업자 신용도 평가모델 연구(한국도로공사·코리아크레딧뷰로㈜)

가. 추진 배경 및 필요성

부정기적 수입으로 신용점수가 저평가되는 화물차 개인사업자의 안전 운행 여부 및 고속도로 이용 횟수, 통행료 납부 정보 등을 개인 신용도 평가에 반영하여 모범 화물차 운전자의 금융서비스 기회를 확대하고자 하기 위함이다. 화물차 개인사업자는 안전 운행 시 신용점수 향상을 통해 금융서비스 기회가 확대되고, 자발적인 안전운전을 유도하여 화물차 미납통행료 및 교통사고 감소의 긍정적 효과가 기대된다.

나. 결합데이터

결합기관: 금융보안원

다. 분석 결과

교통·안전 정보를 활용한 신용평가 서비스 모델의 도출 및 개발을 통해 모범 화물차 운전자의 금융서비스 기회가 확대되었다. 

 

★: 보호법 제11조의2에 따른 결합전문기관의 업무지원 사항으로, 결합신청자는 결합전문기관이 해당 업무를 지원하는 경우 요청할 수 있음. 그림 1. 가명정보 결합 및 반출 세부절차(가명정보처리지침)

 

1) 데이터 3법 개정으로 신용정보의 이용 및 보호에 관한 법률은 개인정보 보호법에 대한 특별법적 성격을 갖게 되었다. 이로 인하여 개인정보 보호법상의 가명정보·가명처리와 신용정보의 이용 및 보호에 관한 법률상의 가명정보·가명처리는 다른 특색이 나타나게 되었다. 이에 관해서는 지면관계상 생략한다. 상세는 신종철, 『개인정보보호법해설』(Jinhan M&B, 2020), 95면 이하. 2) 지자체가 연령에 따른 편의시설 확대를 위해 편의시설(문화센터, 도서관, 체육시설 등)의 이용 통계(위치, 방문자수, 체류시간, 나이대, 성별 등)를 생성·분석하여 적합한 지역에 신규 편의시설을 선정하고자 하는 경우(개인정보보호위원회, 『가명정보 처리 가이드라인』(2020.9), 5면 <예시> 참조). 3) 연구소가 현대사 연구 과정에서 수집한 정보 중에서 사료가치가 있는 생존 인물에 관한 정보를 기록·보관하고자 하는 경우(개인정보보호위원회, 『가명정보 처리 가이드라인』(2020.9), 6면 <예시> 참조). 4) 2022.02. 현재 통계청, 한국도로공사 등 20개의 결합전문기관이 지정되어 있다. 5) 개인정보보호위원회, 『가명정보 처리 가이드라인』(2020.9), 52면. 6) 제58조의2(적용제외) 이 법은 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다. 7) 신종철, 앞의 책, 99면. 8) 가명정보의 결합 활용 사례에 관하여는 개인정보보호위원회, 『2021 가명정보 활용 우수사례집』 참조. 우수사례집에서는 국민생활과 밀접한 선도사례 발굴을 위해 추진하였던 가명정보 결합 5대 분야 시범사례와 가명정보 활용 아이디어·우수사례 경진대회의 수상작품 등 총 17건의 가명정보 결합 사례를 담고 있다.

 

 

박신

한국도로공사
선임연구위원/법학박사

 

 

 

[출처 : 지방공기업 웹진 2022년 봄호(통권 제 37호) 바로가기]