“개인정보 비식별화에 대해 우리나라는 '기술'만 강조합니다. 유럽연합(EU), 미국처럼 비식별화한 정보를 어떻게 관리할 것인가를 주목해야 합니다.”
29일 과학기술정보통신부는 서울 파이낸스센터에서 '개인정보 비식별처리 기술 세미나'를 개최했다. 행사는 개인정보 비식별처리 기술 이해와 안전한 데이터 활용 인식개선을 위해 마련했다.
개인정보 비식별화는 개인 정보 가운데 일부 삭제 또는 범주화로 해당 정보만으로 특정 개인을 알아볼 수 없도록 한 것이다.
이창범 동국대 교수는 해외 비식별 처리 관련 법제도 동향을 소개했다. 이 교수는 “우리나라는 비식별화한 개인정보 거부감이 있지만 개인정보를 보호하는 것은 활용하기 위한 것”이라면서 “우리나라는 법적 리스크가 있어 공공기관에서도 비식별 처리된 데이터를 활용하지 못해 가명정보 법정적의를 명확히 해야 한다”고 말했다.
우리나라는 2016년 개인정보 비식별 조치 가이드라인이 발표됐지만 여전히 법적 문제 등으로 제대로 활용되지 못한다. EU는 개인정보보호법(GDPR) 채택으로 일원화된 개인 정보보호 법제를 적용한다. 유럽은 개인정보가 가명처리, 암호화 등 안전장치를 활용하면 목적 외 처리도 가능하다. 개인정보보호를 충실히 이행하면서 빅데이터 분석과 활용에 최적화하도록 했다.
미국은 의료, 교육 등 영역별로 개인정보 비식별 법안을 갖는다. 세부항목에 차이는 있지만 이들 법안모두 비식별 조치된 정보 활용을 보장하기 위한 방향으로 제정했다.
김순석 한라대 교수는 비식별 처리 국제표준과 최근 논의 동향을 설명했다. EU GDPR를 중심으로 국제표준화기구(ISO)는 개인정보관리체계와 관련해 개인정보보호지침, 개인정보영향평가 가이드라인 등 표준을 개발한다. 4월 최종투표 후 올해 말 표준 최종결과를 발표한다. 국내 개인정보관리체계에도 변화가 예상된다.
김 교수는 “개인정보 비식별화는 연결공격, 추론공격 등을 방지하기 위해 여러 방식을 조합해야 하며 데이터 활용 목적, 용도, 종류를 고려해야 한다”면서 “개인정보보호 가이드라인은 국제적으로 논의 중인 표준과 상이한 부분이 있어 기술적 준비가 필요하다”고 설명했다.
김호성 한국인터넷진흥원 개인정보기술단장은 기록된 개인정보를 어떻게 비식별 조치해 공개하는지 시연했다. 파수닷컴, 이지서티, 펜타시스템에서는 비식별처리 솔루션을 소개하고 특징을 설명했다. 김기태 파수닷컴 부장은 “개인정보 비식별화는 데이터 보호와 동시에 활용하기 위한 방법”이라면서 “적절한 수준의 보호와 활용 경계를 찾는 것이 어렵기 때문에 목적과 활용여부에 따라서 다른 방식의 범주화, 삭제 등을 해야 한다”고 조언했다.
정영일기자 jung01@etnews.com
