[아이티데일리] 지난 8월 5일 데이터 3법 개정안 시행으로 데이터 경제 활성화의 신호탄이 올라갔다. 데이터 3법은 가명처리한 개인정보를 통계 작성 연구, 공익적 기록보존 목적으로 처리할 수 있도록 허용한 것이 특징으로, 이종 분야 간 가명정보를 결합할 수 있도록 허용해 데이터의 활용범위를 확대했다.

데이터 3법 시행 이후 2개월간 데이터 결합이 활발해지고 있다. 각 부처별 결합전문기관이 지정됨에 따라, 이종 데이터간 결합도 본격화되고 있다. 많은 기업 및 기관들이 결합한 데이터를 활용할 수 있는 방안을 모색하고 있지만, 한편으론 데이터 결합 절차에 어려움을 호소하고 있다. 특히 명확한 가이드라인을 규정해달라는 목소리를 높여 왔다. 이에 개인정보보호위원회는 지난 9월 24일 개인정보처리 가이드라인을 발표, 명확한 기준을 마련했다. 업계에서는 가이드라인이 마련돼, 관련 프로젝트가 활발해질 것으로 기대하고 있다.

개인정보보호위원회, 가명정보 결합 가이드라인 발표

데이터 3법 시행 이후, 기대만큼 데이터 결합이 이뤄지지 않은 것은 시행령, 고시, 가이드라인 등 후속조치가 늦어졌기 때문이다. 업계에서는 구체적인 가이드라인이 있어야 데이터 활용이 본격화될 것이라고 목소리를 높여왔다. 데이터 3법 통과 및 시행령이 예고된 3월 말에는 5월까지 가이드라인이 마련돼야 시행에 맞춰 관련 사업을 진행할 수 있다고 강조했다.

지난 9월 24일 개인정보보호위원회는 ‘가명정보 처리 가이드라인’을 발간했다. 업계에서는 초기 요구한 시기보다는 늦었지만, 가이드라인 발간으로 데이터 결합과 관련된 사업이 본격화될 것으로 기대하고 있다.

이번에 발표된 ‘가명정보 처리 가이드라인’은 가명처리 및 가명정보 결합·반출에 관한 절차와 방법을 구체적으로 안내하고 있다. 먼저 상업적 목적의 통계처리, 새로운 기술·제품·서비스 개발 등 산업적 목적의 과학적 연구 등이 가능하다고 규정, 정보주체 동의 없이 가명정보를 처리할 수 있는 범위를 명확히 했다.

또한 데이터를 결합하기 전 비식별조치(가명처리) 과정을 4단계로 구분하고 있으며, 데이터 결합 과정도 4단계로 나눠 설명하고 있다. 비식별조치는 개인정보를 보유한 기업에서도 진행할 수 있으며, 가명처리된 데이터를 결합하는 것은 결합전문기관을 통해서만 가능하다.

가명처리에 대해서는 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’이라고 규정했으며, 추가정보 또는 다른 정보의 결합가능성 등을 고려해 개인을 특정할 수 없도록 해야 한다고 설명하고 있다.

가명처리는 ▲사전준비 ▲가명처리 ▲적정성 검토 및 추가 가명처리 ▲활용 및 사후관리 등 4단계 절차로 진행된다. ‘사전준비’는 개인정보 처리 목적의 적합성 검토와 가명처리를 준비하는 단계다. ‘가명처리’는 비식별조치를 실행하는 단계로, ①가명처리 대상 선정 ②위험도 측정 ③가명처리 수준 정의 ④가명 처리 순으로 진행된다. 특히 가명처리 단계에서는 처리 목적에 따라 처리(제공)환경과 제공받는 자의 개인정보 보호수준 및 다른 정보 보유여부 등을 검토하고, 항목별 위험도를 측정해야 하며, 가명정보처리자는 ‘가명처리 검토 결과보고서’를 기반으로 가명정보의 활용 목적 달성에 필요한 수준을 고려해 가명처리 수준을 정의해야 한다.

‘적정성 검토 및 추가 가명처리’ 단계에서는 ‘가명처리 수준 정의표’의 기준에 따라 적절히 가명처리가 됐는지 확인하고 가명정보의 활용목적을 달성할 수 있는지와 재식별 가능성이 없는지를 검토해야 한다. 마지막으로 ‘활용 및 사후관리’ 단계에서는 ‘가명정보처리자는 처리 과정에서 개인 식별 가능성 등을 지속적으로 모니터링해야 한다’고 규정하고 있다.

가명처리 시 결합키 생성 항목은 별도로 진행

가명정보 결합 및 반출 절차는 ▲사전준비 및 결합 신청 ▲결합키 생성 및 정보 송신 ▲추가처리 및 반출 요청 ▲반출 및 사후관리 등 4단계로 구성된다.

먼저 ‘사전준비’ 단계는 앞의 가명처리 절차를 포함, 결합 신청서 작성 등 결합에 대한 사전 준비 및 결합전문기관에 결합 신청하는 단계다. 이 때 결합신청자들은 필요한 항목 선정 및 결합률 확인여부, 결합키 생성항목, 가명처리 수준 등을 협의해야 한다. 특히 결합신청자는 일련번호와 결합키 생성을 위한 항목을 제외한 나머지 정보들을 가명처리 해야 하며, 결합키는 결합 신청 후 결합키관리기관인 KISA와 협의해 생성해야 한다. 결합키 생성을 위해 사용되는 항목은 별도로 가명처리해야 한다.

또한 결합신청자들은 결합신청서를 각자 작성하고, 결합전문기관에 제출할 첨부서류를 함께 준비해야 하며, 소관분야의 결합전문기관을 선정한 다음, 개인정보보호위원회의 ‘가명정보 결합 종합 지원 시스템’을 통해 결합신청서를 제출해야 한다. 금융 데이터를 결합하는 경우 데이터전문기관인 금융보안원 또는 한국신용정보원에 신청해야 한다.

‘결합키 생성 및 정보전달’ 단계에서 결합신청자는 결합키관리기관 및 결합전문기관과 협의해 결합키를 생성해야 한다. 결합키는 사전준비 단계에서 결합신청자간 합의한 항목과 결합키전문기관과 협의한 사항을 적용해 생성하며, 이 과정에서 결합키관리기관은 결합키 생성에 이용되는 sat값 및 생성에 관한 기술지원, 사전 결합률 확인 여부 등을 제공한다. 결합전문기관과는 결합일정 및 절차, 전송 파일 형태 등 결합에 필요한 사항을 협의하면 된다. 이후 결합신청자는 ‘가명정보 결합 종합지원 시스템’을 통해 결합키관리기관에 ‘결합키와 일련번호’를 전송해야 하며, 결합전문기관에는 결합전문기관이 제공하는 전송방법을 활용해 ‘결합대상정보와 일련번호’를 전송하면 된다. 전송할 때는 압축 및 암호화, 무결성 검증 등의 보호조치를 수행해야 한다.

결합 과정에서 결합전문기관(금융권의 경우 데이터전문기관)은 결합키를 기준으로 데이터 결합을 수행한 뒤, 추가 가명·익명처리, 적정성 평가를 완료해 의뢰기관에 전달한다. 절차가 완료되면 관련 데이터를 모두 파기한다.

‘추가처리 및 반출심사 요청’ 단계에서 결합신청자는 결합된 정보를 결합전문기관 내 설치된 별도의 공간에서 반출을 위한 추가 가명·익명처리를 해야 한다. 추가 가명처리를 할 수 있는 자는 결합신청자 중에서 결합된 정보를 반출해 활용하고자 하는 자로 제한된다. 반출심사는 결합된 정보를 반출할 자의 처리 목적과 환경 등을 고려해 이뤄진다.

추가처리가 완료되면 반출을 요청할 수 있으며, 이 때 추가 가명 및 익명 처리에 관한 내역을 결합전문기관에 제출해야 한다. 결합전문기관은 반출요청 접수 시, 반출심사위원회를 구성해 심사를 진행한다. 승인이 나면, 결합전문기관과 반출방법을 승인해 데이터를 반출할 수 있으며, 결합전문기관은 결합 및 반출 등에 필요한 비용을 신청자에게 청구할 수 있다. 반출 이후 결합신청자는 특정 개인을 알아보기 위한 목적으로 결합데이터의 재식별 또는 재결합 시도 및 결합 목적 외의 활용을 해서는 안 된다. 단 시계열 분석을 신청해 시계열 분석에 필요한 키를 포함해 정보를 반출한 경우 이전에 반출한 시계열 반출정보와 내부적으로 결합해 분석할 수 있다. 다만 재식별 가능성을 검토해야 하며, 추가 가명·익명처리를 수행해야 한다.

가명정보 결합 절차 등에 어려움 있어…가이드라인으로 해소 기대

가이드라인이 발표되기 이전까지 데이터를 결합하고자한 기업 및 기관들은 결합 절차 등에 어려움을 토로했다. 특히 가명정보 결합을 준비하기 위한 단계에서 내부절차 수립 및 목적범위를 명확히 하는 것, 결합에 필요한 정보를 생성하는 과정(가명처리 등)에서 가명처리 수준을 어느 정도로 정의할 것인가 등의 부분이 특히 어렵다고 이야기한다. 또한 가명정보 결합 절차에서 결합전문기관 및 결합키관리기관에 각각의 정보를 전송해야 하는 것 때문에 절차가 복잡하다는 의견도 나오고 있다. 이외에도 결합이 완료된 가명정보를 보호 및 관리하는데 어려움이 있다고 말하고 있다.

한편으론 데이터 결합률을 높이기 위해 최적의 결합키 생성방식을 찾는 것이 중요 이슈로 부각되고 있으며, 결합전문기관 및 KISA는 이를 위해 결합률 사전통지 서비스 등을 제공하고 있다.

기업들이 어려워하는 요소들을 구체적으로 살펴보면, 가명처리 행위규칙 및 가명정보 보호조치에 대한 요구사항이 많다. ▲추가정보를 삭제하지 않는 경우, 추가정보를 가명정보와 분리된 저장소에 암호화해 저장해야 하며 ▲가명정보와 추가정보에 접근 가능한 직원을 분리하고 접근 기록을 보관하는 등 통제시스템을 마련해야 한다. ▲가명정보 취급직원이 추가정보에 접근하는 경우 관련 기록을 3년간 보관해야 하며 ▲추가정보가 가명정보를 재식별하는 데 사용되지 않도록 월 1회 이상 주기적으로 점검해야 한다.

이외에도 ▲가명정보 처리시 처리목적, 방법, 일시 등을 가명정보가 파기된 이후 3년 이상 보관하고, 처리 기록을 월 1회 이상 주기적으로 확인·감독 ▲가명정보 오남용에 대한 자체 제재기준 마련 ▲가명정보 및 추가정보에 대한 접근 관리, 시스템 및 단말 보호조치, 접근기록 보관 및 점검, 보유 및 파기, 사후관리 등을 포함하는 내부 관리계획을 수립 및 시행 ▲가명정보 및 추가정보 취급자에 대한 가명정보보호교육을 연 1회 이상 수행 등이 요구된다.

이와 같이 준수해야 하는 항목이 많을뿐더러 내부적으로 관련 체계 및 규정을 마련하기 위한 의사결정에 많은 시간이 소요되기 때문에 기업에게는 어려운 요소가 되고 있다. 결합전문기관은 결합 신청 전에 반드시 이 부분을 고려해야 한다고 당부하고 있다.

기업들의 애로사항은 이번 가이드라인 발표로 대부분 해소될 것으로 보인다. 하지만 결합전문기관 및 결합키관리기관에 각각의 정보를 전송해야 한다는 복잡함은 감수해야 한다.

심동욱 KISA 데이터안전활용단장은 “결합전문기관 및 결합키관리기관에 각각의 정보를 전송해야 하는 것을 불편하게 생각하는 경우가 있다. 하지만 하나의 결합전문기관에서 정보를 모두 받아 처리한다면, 개인정보를 식별할 수 있는 위험성이 존재한다. 개인정보보호법에서는 이러한 위험성을 낮추기 위해 결합전문기관과 결합키관리기관을 별도로 지정하도록 규정하고 있다”고 설명했다.

이어 “결합키관리기관은 개인정보를 기반으로 생성한 결합키를 받되 속성정보를 받지 못하도록 하고, 결합전문기관의 경우 반대로 속성정보와 일련번호만을 받기에 개인정보 기반 데이터인 결합키를 받을 수 없도록 하고 있다. 이러한 절차를 통해서 두 기관이 정보를 나눠 받아야 데이터의 편중을 피할 수 있으며, 이를 통해 개인정보를 최대한 안전하게 활용하는 환경을 마련한다는 취지다. 조금 불편하지만, 훨씬 안전한 방법으로 생각해주면 될 것”이라고 덧붙였다.

한편 최근 코로나바이러스감염증-19(COVID-19)과 관련해 대면 업무에 대한 우려도 나오고 있다. 데이터 결합 과정에서도 의뢰기관이 결합 대상 데이터를 전문기관에 전달하거나 데이터전문기관이 결합정보를 의뢰기관이 전달하거나, 적정성 평가시 평가위원, 전문기관, 의뢰기관 담당자간 회의는 대면으로 진행되는 경우가 있다. 하지만 이 경우는 소규모로 진행되는 과정으로 코로나19 확산에는 큰 영향이 없을 것으로 보인다.

또한 가명정보 결합은 개인정보보호위원회에서 운영하는 ‘가명정보 결합 종합지원시스템’을 통해 신청 및 정보처리가 가능하도록 온라인 시스템을 구축하고 있어 비대면 업무 처리가 가능하다는 게 결합전문기관 측 설명이다. 특히 금융보안원은 의뢰기관의 편의성을 고려해 대용량 파일 송수신 시스템을 구축, 비대면으로 데이터 전달이 가능하도록 지원하고 있다.