세상 모든 보안 이야기

보안 백과사전

좌우로 움직여보세요

개인정보

가명정보

포스팅 뷰265

가명정보의 정의

가명정보는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 '추가정보'없이는 특정 개인을 알아볼 수 없는 정보로서 개인정보보호법 상 개인정보의 한 종류이다.

  • 가명처리: 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 '추가정보' 없이는 특정 개인을 알아볼 수 없도록 처리하는 것

정부는 4차산업혁명 시대에 '데이터 경제'가 경제의 근간이 될 것으로 보고 2020년 2월 '데이터 3법'(개인정보보호법,신용정보법,정보통신망법)의 개정을 통해 이를 준비했고, 「가명정보 처리 가이드라인」(개인정보보호위원회, 2021.10.)에서 세부적인 가명처리 방법과 가명정보 이용 및 안전한 관리 방법을 제공하고 있다.

국내에서 가명정보는 빅데이터 분석과 클라우드 컴퓨팅이 대중화되면서 대량의 데이터에 포함된 개인정보를 적절히 처리함으로써 개인정보 침해의 위험을 적정한 수준으로 줄이면서 대량의 데이터를 활용할 수 있는 길을 열기 위해 도입되어 전반적으로 활용에 초점을 맞춘 경향이 있다.


가명처리와 익명처리

개인정보에서 식별성을 줄이거나 없애기 위한 비식별처리(De-identification) 방법에는 가명처리(Pseudonymization)와 익명처리(Anonymization)가 있다. 「가명정보 처리 가이드라인」부록에서 가명·익명처리 기술과 예시를 설명하고 있다.

개인정보보호법에서 익명정보를 명시적으로 규정하지 않았으나 “시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보"(제58조의2(적용제외))는 개인정보보호법을 적용하지 않는다는 이 조문에서 결과적으로 익명정보를 정의하였다고 본다. 


가명정보에 대한 보호장치

가명처리 기술에 따라서는 가명정보를 가명처리 이전의 개인정보로 복원할 수 있다. 따라서 법적으로 가명정보에 대한 보호장치가 다음과 같이 구성되었다.

  • 가명정보의 안전한 처리 환경 확보

  • '추가정보'없이는 특정 개인을 알아볼 수 없도록 처리하는 가명처리 기술

  • 원래의 개인정보 복원 시도 금지와 복원 시도 시 전체 매출액 3% 이하의 과징금이라는 강력한 제재 부과



가명처리 제재 예외사항

"통계작성, 과학적 연구, 공익적 기록보존 등" 법에서 명시한 목적으로는 수집한 개인정보를 별도 의 동의 없이 가명처리 또는 가명정보를 처리할 수 있다.

  • 업계에서는 이 세가지 목적 중 주로 '과학적 연구' 목적으로 가명처리를 하고 있다.

  • '과학적 연구'는 '과학적 방법: 체계적이고 객관적인 방법으로 검증 가능한 질문에 대해 연구하는 것을 말함)



가명정보 활용 시 유의사항

  • 가명정보는 개인정보의 일종이라는 것을 항상 염두에 두고, 개인정보보호법과 「가명정보 처리 가이드라인」에서 제시한 방법과 절차를 반드시 준수하여 ▲처리 환경의 안전성 확보 ▲적정한 가명처리 기술 적용 ▲복원 위험 최소화의 기본 전제를 충족하며 가명처리가 수행되어야 한다.
  • 가명처리를 통해 발생한 ‘추가정보’는 꼭 필요하지 않다면 삭제하는 것이 기본이다. 필요해서 보관한다면 가명정보와 결합되지 않도록 별도로 분리 보관하여야 하고, 유출·훼손되지 않도록 개인정보와 동일하게 안전성 확보에 필요한 기술적·관리적 조치를 취해야 한다.
  • 개인정보보호법에서는 익명처리가 목적을 달성할 수 없을 때 가명처리를 하도록 못박고 있으므로, 기업에서 가명처리를 하고자 할 때에는 익명처리를 통해 가능한지 먼저 검토해야 한다.
  • 가명처리는 개인정보의 ‘안전한 활용’을 목적으로 도입되었다. 활용에 방점이 찍혀 있다. 그러다 보면 ‘안전한’이 약화될 소지가 있으므로 개인정보보호 담당자는 활용을 지원하는 수준에서 최대한의 안전성을 확보하기 노력해야 한다. 적법한 안전성을 확보하기 어렵다면 가명처리를 하지 말아야 한다.