빅데이터 관련 개인정보 비식별화 정부 가이드라인 수립 – 미국 등 주요국 가이드라인 비교

1. 들어가면서

우리나라는 공공 정보를 적극적으로 민간에 개방 및 공유하는 투명한 정부, 정부 부처 간 칸막이를 없애 제대로 일하는 유능한 정부, 국민 개개인에 맞춤형 서비스를 제공하는 서비스 정부를 목표로 정부 3.0 사업을 추진하고 있다.1 정부 3.0 및 빅데이터 활용 확산에 따른 데이터 활용가치 증대되고 있고, 개인정보 보호 강화에 대한 사회적 요구가 지속되고 있으며, 개인정보 ‘보호와 활용’을 동시에 모색하는 글로벌 정책 변화에 적극 대응할 필요가 있다. 이를 만족하기 위한 수단이 개인정보 비식별화(de-identification) 기법이다.2 비식별화는 특정 정보 주체와 식별 데이터와의 연관을 제거하는 기법이다. 비식별화 기법은 정보가 특정 정보주체와 연관되는 정도를 줄이기 위해 데이터 집합을 변화하는 방법으로 정의되고 있다.3

본 고에서는 주요국의 비식별화 조치 가이드라인, 표준, 법제도 현황을 살펴보고, 정부 부처 합동으로 마련한 개인정보 비식별화 조치 가이드라인의 주요 내용을 제시한다.

2. 주요국 비식별화 조치 가이드라인

1) 미국

미국 국립표준기술연구소는 2015년 10월 비식별화기법에 대한 표준을 발표했다.4 이 가이드라인의 주요 내용은 다음과 같다.

  • 데이터 비식별화는 수집된 데이터에서 개인정보를 제거하기 위한 수단이다. 비식별화는 하나의 기법이 아니라 여러 다른 방법, 툴, 알고리즘의 집합으로 수행되는 프로세스라고 간주되었다. 비식별화는 특정 정보 주체와 식별 데이터 집합간의 연계를 제거하기 위한 프로세스로 지칭한다.
  • 데이터는 특정 정보주체와 연관되는 데이터(식별 데이터), 데이터가 여러 정보주체와 익명적으로 연결될 수 있는 데이터(k-익명 데이터), 그리고 특정 정보주체와 연결되지 않은 데이터(익명데이터) 로 구분하고 있다.
  • 비식별화 데이터 처리 모델을 제시하고 있고, 비식별화 데이터는 계약에 의해 이용되거나 제삼자에게 공개될 수 있도록 했다.
  • 비식별화 기법은 직접 식별자(주민등록번호, 사회보장번호 등)의 삭제, 가명화, 유사 식별자를 제거하기 위한 삭제, 일반화, 교체, 순서 변경, 샘플링 등의 기법이 제시되고 있다. 또한 의료 분야 등 비식별화 사례를 제시하고 있다.

2) 영국

영국 정보감독청(ICO)은 2012년 11월 익명화(anonymisation) 지침을 발표했다.5 영국 개인정보보호법은 익명화된 데이터에는 적용되지 않는다. 익명화 지침의 주요 내용은 다음과 같다.

  • 지침은 개인정보의 익명화를 통해 기업의 빅데이터 처리 요구를 지원하며, 개인정보를 익명화하기 위한 기업을 지원하며, 효과적인 익명화를 위한 주요 이슈를 식별하고 있다.
  • 익명화는 데이터를 정보주체를 식별할 수 없는 형태로 만들거나 식별이 발생하지 않도록 하는 과정으로 정의되고 있다.
  • 지침에서는 데이터 마스킹, 가명화, 총계 처리 등의 익명화 기법이 소개되고 있다.
  • 재식별화(re-identification) 위험이 없도록 효과적인 익명화를 보장해야 하도록 요구하고 있다.
  • 서로 다른 익명화 정도는 서로 다른 비식별화 위험에 비례한다. 익명화된 데이터의 제한된 접근은 더 풍부한 데이터의 공개를 허용한다.
  • 조직은 익명화를 위한 효과적이고 완전한 거버넌스 구조를 요구한다. 조직의 경영진은 이 거버넌스 준비를 감독해야 한다.
  • 이 지침에서 익명화는 비식별화와 동의어로 간주된다.

3) EU GDPR(유럽 연합 일반 데이터 보호 규정)

유럽 연합에서는 유럽 내에서 개인 정보보호 규제를 통일화 하고 유럽 차원의 개인정보 보호 수준을 높이기 위해 2016년 4월 일반 데이터 보호 규정을 채택했다.6 이 법제는 2018년 5월 발효될 예정이다. 이 법에서 제시하고 있는 항목은 다음과 같다.

  • 비식별화와 연관되는 가명화에 관한 조항을 도입했다. 가명화는 추가적 정보의 이용 없이 특정 정보주체에 더 이상 연결할 수 없는 방식으로 개인정보를 처리하는 기법을 지칭한다.
  • 가명화 된 데이터는 개인정보로 간주된다. 가명화 된 정보는 별도로 비밀스럽게 보관되어야 하고, 기술적 관리적 보호 조치가 취해져야 한다.
  • 가명화 기법은 데이터가 수집 당시 목적과 다른 목적으로 처리되거나, 개인정보보호 내재화 원칙을 만족하기 위해 하나의 기법으로 이용되거나, 의료, 과학, 연구, 통계 목적으로 이용하고자 하는 경우에 적용된다.

4) 호주

호주 정부는 2014년 4월 정보주체의 프라이버시 침해 없이 공공 데이터를 공개하고 공유하는 것이 가능하도록 비식별화 지침을 발표했다.7 호주의 정보 공개법(1982)에서는 정부 정보가 국가의 자산으로 선언했다. 그러나 정보 자산에 개인정보가 포함되어 있으면, 프라이버시법(1988)의 호주 프라이버시 보호 원칙을 준수해야 한다. 비식별화는 정보의 투명성과 프라이버시 목적을 달성하기 위한 수단으로 인식하고 있다. 지침의 주요 내용은 다음과 같다.

  • 비식별화는 정보주체를 식별하거나 식별할 가능성이 있는 정보를 제거하거나 변경하는 프로세스로 간주했다. 비식별화는 개인 식별자(이름, 주소 등)를 제거하고 개인을 식별할 가능성이 있는 다른 정보(개인특정이 가능한 드문 속성 정보)를 제거하거나 변경하는 두 단계로 구성된다.
  • 조직은 재식별화 될 위험을 평가하고 관리해야 한다. 이러한 평가는 정보자산을 비식별화하기 전과 비식별화 데이터가 공개되고 나서 수행되어야 한다.
  • 비식별화 목적은 연구 목적으로 공공 참여, 정책 개발과 기획을 알리고, 민간 기업의 혁신을 도모하기 위함이다.
  • 모든 집합을 알지 않아도 되거나, 정보가 다른 기관과 공유되어야 하며, 정보가 공개되어야 하는 경우 비식별화는 수행된다.
  • 비식별화 정도는 비식별화 되어 있는 데이터에 포함되는 정보의 유형, 정보 자산에 접근하는 주체와 목적, 정보 자산이 유사 식별자를 포함하는지, 재식별화를 위해 다른 정보가 가용한지, 재식별화 되어 미칠 수 있는 피해 정보를 고려해 결정된다.
  • 비식별화 기법은 유사 식별자 제거(중요 일자, 직업 등), 범주화, 총계처리, 정보 교환, 데이터 삭제 등이다.
  • 사후 조치로 수탁기관이 정보를 재식별화를 시도하지 않도록 하는 계약을 하거나, 비식별화 정보자산의 접근을 제한하거나, 비식별화 데이터를 제공하는 것이 아니라 분석 결과를 제공하는 것이다.

5) 비식별화 관련 국제 표준화 동향

ISO/IEC JTC 1/SC 27/WG 5에서는 2015년 4월 회의에서 프라이버시 보존을 위한 비식별화 기법 (ISO/IEC 20889) 신규워크아이템이 제안되어 2015년 10월 신규워크아이템 제안 투표를 통과해 현재 개발되고 있다. 이 표준의 주요 내용은 다음과 같다.8

  • 데이터 속성의 정의, 재식별화 위험, 비식별화 목적, 비식별화 기법의 선택, 비식별화 데이터의 접근 제한과 재식별화의 통제 등의 조직적 보호조치, 통계적 수단, 암호학적 수단, 삭제 기법, 가명 기법, 일반 기법, 난수화 기법 등을 제시하고 있다. 더해, k-익명성 모델을 제시하고 있다.
  • 다양한 비식별화 기법을 기술하고, 공통의 용어와 비식별화 기법의 종류와 유형을 기술하고 있다.

2016년 9월 ITU-T SG17 회의에서는 비식별화 처리 서비스의 개요, 프레임워크, 관리 요구사항을 기술하기 위한 신규 워크아이템을 합의했다.9 이 표준은 이제 표준의 범위만을 합의했으나, 의도는 여러 기관에서 처리된 비식별화된 데이터를 모아서 더 큰 비식별화 데이터 집합을 만들기 위한 비식별화 처리 서비스를 규정할 예정이다.

[표 1] 주요국의 비식별화 지침 특성 비교
3. 정부 개인정보 비식별화 조치 가이드라인

1) 주요 내용

행자부, 방통위, 금융위, 미래부 등의 개인정보보호 관련 유관 정부부처 합동으로 마련한 개인정보 비식별화 조치 가이드라인을 2016년 6월 30일 발표했다.10 이 가이드라인은 개인정보보호 유관 정부부처가 모두 모여서 정부차원의 일관성 있고 모든 분야에 적용 가능한 비식별화 가이드라인을 마련했다는데 의미가 있다. 비식별화 조치 가이드라인의 주요 내용은 다음과 같다.

  • 개인정보를 비식별 조치하여 이용 또는 제공하려는 사업자 등이 준수 하여야 할 조치 기준을 제시한 것이라고 볼 수 있다.
  • 정보주체를 알아볼 수 없도록 비식별 조치를 적정하게 한 비식별 정보는 개인정보가 아닌 것으로 추정되며, 따라서 빅데이터 분석 등에 활용이 가능합니다. 이는 기존 개인정보보호법에서 개인정보의 정의를 엄격히 해석해 개인정보 처리자에 의한 입수 가능성을 고려한 결과이다.
  • 비식별화 근거는 개인정보보호법 제18조 2항 4호에 근거하고 있다. 통계 작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우에 개인정보의 목적 외 이용제공 가능한 조항에 근거하고 있다.
  • 비식별화 단계는 4단계 (사전검토단계, 비식별화 조치, 적정성 평가, 사후 단계) 로 구성된다. 사전 검토 단계는 개인정보에 해당하는지 여부를 검토 후, 개인정보가 아닌 것이 명백한 경우 법적 규제 없이 자유롭게 활용 가능하다. 비식별화 조치는 정보 집합물(데이터 셋)에서 개인을 식별할 수 있는 요소를 전부 또는 일부 삭제하거나 대체하는 등의 방법을 활용, 개인을 알아볼 수 없도록 하는 조치이다. 적정성 평가는 다른 정보와 쉽게 결합하여 개인을 식별할 수 있는지를 「비식별 조치 적정성 평가단」을 통해 평가하는 단계이다. 사후 단계는 비식별 정보 안전조치, 재식별 가능성 모니터링 등 비식별 정보 활용 과정에서 재식별 방지를 위해 필요한 조치 수행한다.
  • 적정성 평가 시 프라이버시 보호 모델 중 k-익명성을 활용한다. k-익명성은 최소한의 평가수단이며, 필요시 추가적인 평가모델(ℓ-다양성, t-근접성) 활용한다.
  • 각 소관부처 책임 하에 분야별 전문기관을 정하여 운영하도록 했다. 분야별 전문기관의 역할은 비식별 조치 적정성 평가단 풀(비식별 조치 기법 전문가, 법률 전문가 등) 구성운영한다. 산업별로 필수적인 비식별 조치 이행 권고(k-익명성 조치 등)했다. 또한 비식별 조치 적정성 실태 점검 등이다.
  • 전문기관을 통한 기업 간 정보 집합물 결합 지원하도록 했다. 빅데이터 분석에 활용하기 위해 서로 다른 사업자가 보유하고 있는 정보 집합물을 결합하는 경우 개인별로 부여된 식별자가 매칭키로 사용 정보 집합물 간 결합분석을 위해서는 결합 과정에서만 임시로 매칭키 역할을 하는 ‘임시 대체키’를 활용한다. 임시 대체키를 활용한 결합을 허용하는 경우에도 무분별한 결합을 통한 개인정보 침해 소지를 방지하기 위해 전문기관(제3의 공공기관)에서만 결합을 하도록 하는 등 지원 및 관리체계를 제공한다.
  • 비식별 정보를 재식별하여 이용하거나 제3자에게 제공한 경우는 법적 제재를 받는다. 비식별 정보를 활용하여 재식별하고도 즉시 파기 조치하지 않고 보관하고 있는 경우에도 5천만 원 이하의 과태료가 부과된다.

2) 가이드라인 평가 및 향후 과제

개인정보 보호와 활용이라는 두 마리 토끼를 잡기 위한 타협안으로 간주된다. 가이드라인에 근거한 비식별화를 위한 법제화가 필요하다. 비식별화 전문기관 요건과 비식별화 데이터의 정의, 비식별화 데이터 안전성 등의 법적 근거 공고화를 위한 법제화 노력이 필요하다. 비식별화 관련 기술과 프로세스에 대한 국제 표준화에도 적극 참여해야 한다. 글로벌 비즈니스 환경을 고려하면 국제 표준에 근거한 체계, 기술과 프로세스의 적용이 필요하기 때문이다.

——————————————————————————

  1. 정부 3.0, http://www.gov30.go.kr/Intro/Intro.jsp [본문으로]
  2. 정부부처 합동(국무조정실, 행자부, 방통위, 미래부, 금융위 등), 개인정보 비식별화 조치 가이드라인, 2016.6.30. [본문으로]
  3. NISTIR 8053, De-Identification of Personal Information, 2015.10. [본문으로]
  4. NISTIR 8053, 상동 [본문으로]
  5. ICO (UK), Anonymisation: managing data protection risk – code of practice, UK Information Commissioner’s Office, November 2012.11. [본문으로]
  6. EU, General Data Protection Regulation, 2016.4 [본문으로]
  7. Australian government (Office of the information commissioner), De-identification of data and information, 2014.4. [본문으로]
  8. ISO/IEC 2nd WD 20889, Privacy enhancing data de-identification techniques, 2016.09. [본문으로]
  9. ITU-T X.fdip “Framework of de-identification processing service for telecommunication service providers, 2016.09. [본문으로]
  10. 정부부처 합동(국무조정실, 행자부, 방통위, 미래부, 금융위 등), 개인정보 비식별화 조치 가이드라인, 2016.6.30. [본문으로]
저자 : 염흥열

순천향대학교 정보보호학과 교수/한국정보보호학회 명예회장/(전)제16대 한국정보보호학회 회장