금융기관은 비식별화된 개인정보를 본인 동의 없이 사용할 수 있도록 되어있으나 개인정보 비식별화의 정의와 방법이 분명하지 않아 어려움을 겪어왔다.
행정자치부는 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 국무조정실 등 관계부처와 함께 ‘개인정보 비식별 조치 가이드라인’을 발간하고, 빅데이터 활용을 통한 새로운 시장 창출을 지원하겠다고 30일 밝혔다.
가이드라인에서는 개인정보를 적정하게 비식별 조치해 이용·제공하려는 사업자가 반드시 준수해야 할 조치 기준이라는 점을 명확히했다.
비식별 조치 단계를 4단계로 나눠, 첫 번째 사전검토 단계에서는 개인정보 해당 여부를 검토한 후 개인정보가 아닌 경우에는 별도 조치없이 활용 가능하다는 사실을 안내했다. 두 번째 비식별 조치 단계에서는 가명처리, 총계처리, 데이터 삭제, 범주화, 데이터 마스킹 등 다양한 비식별 기술을 단독 또는 복합적으로 활용하여 개인 식별요소를 제거하도록 했다.
세 번째, 적정성 평가 단계에서는 비식별 조치가 적정하게 이뤄졌는지 외부 평가단을 통해 객관적으로 평가하도록 했으며, 평가과정에서 객관적이고 계량적인 평가 수단인 ‘k-익명성’을 활용하도록 했다.
k-익명성은 동일한 값을 가진 레코드를 k개 이상으로 하여 특정 개인을 추론하기 어렵도록 하는 것을 말한다. 예를 들어 k값을 5로 정하여 비식별 조치했다면 데이터 셋 내에 개인 식별 요소가 없음은 물론이고, 최소 5개 이상의 레코드가 동일하여 개인식별이 어렵다. 마지막 사후관리 단계에서는 비식별 정보의 안전한 활용과 오남용 예방을 위한 필수적인 보호조치 사항을 명시하였다. 보호조치 사항은 이용목적을 달성했을 때 파기할 것과 접근권한 관리, 접근통제, 재식별 시 처리 중단 및 파기 등을 명시했다.
가이드라인에서는 부처별로 전문기관(공공기관)을 지정해 중소기업과 스타트업을 지원하도록 하는 등 가이드라인 지원체계도 마련했다. 미래부는 언내 중 중소기업 및 스타트업 약 110개사를 선정해 빅데이터 활용 솔루션 적용 및 컨설팅 지원, 전문가 멘토링 등을 지원할 예정이다.
한편 행자부는 ‘개인정보 보호 법령 통합 해설서’도 발간해 개인 식별요소의 전부 또는 일부를 해하여 개인을 알아볼 수 없도록 적정하게 비식별 조치한 정보를 비식별정보로 정의하고, 추가 동의 없이 활용 가능하도록 했다.
