개인정보보호위원회(위원장 윤종인)는 개정된 개인정보 보호법 시행에 따른 후속조치로 '가명정보 처리 가이드라인(가명처리편)'을 2일 공개했다. 앞으로 개인정보처리자는 가명정보가 실제 사용되는 환경을 고려해 적정한 수준으로 가명처리한 후 활용할 수 있다.
가이드라인은 가명정보 안전한 활용여건을 마련하기 위해 개인정보처리자가 참고하는 기준을 제시하기 위해 마련했다.
개인정보처리자는 개인정보 처리 기본원칙을 준수하는 범위 내에서 가명처리 전 과정을 진행해야 한다. 개인정보처리자는 가명정보 처리 목적과 처리환경을 고려해 가명처리 방법을 자체적으로 판단한다. 개인을 식별할 가능성이 높은 정보는 삭제하거나 원래 정보로 복원할 수 없도록 처리해야한다. 그 외 정보는 가명정보 처리목적 달성을 위해 적절한 가명처리 방법을 선택해 가명처리해야한다. 보안수준이 낮은 환경에서는 개인정보 침해 우려가 높은 점을 감안해 식별가능성을 낮춰 익명정보에 가깝게 처리하도록 했다.
가이드라인에서는 개인정보처리자가 가명정보 처리 목적에 필요한 최소한 정보만을 처리하고 가명처리 과정에서 재식별 가능성이 없는지를 확인하도록 했다.
이와 같은 사항을 반영하여 가명처리 절차를 총 4단계로 제시했다. 우선 사전준비 단계로 가명정보 활용 목적을 명확화·구체화하고 필요한 서류를 작성한다. 이때 제3자 제공의 경우에는 계약체결 관련 서류를 마련할 수 있다. 두 번째 가명처리 단계로 처리 유형(내부 활용, 제3자 제공 등), 안전조치 수준 등 처리환경과 정보 성격 등을 고려해 가명처리해야 한다. 세 번째 적정성 검토·추가 가명처리 단계로 가명처리한 결과물을 이용해 목적을 달성할 수 있는지 특정인을 식별할 수 있는 재식별 위험은 없는지를 점검해야 한다. 마지막 사후관리 단계로 적정성 검토 결과 적합하다고 판단한 경우 가명정보를 처리할 수 있으며 처리과정에서 재식별 위험이 없는지를 지속 확인해야 한다.
개인정보처리자는 가명정보 처리시 '안전성 확보조치 기준'(개인정보 보호위원회 고시)을 준수해야 하고 재식별을 방지하기 위한 추가 조치도 해야한다.
보호위는 가명처리편에 이어 '가명정보의 결합·반출편'도 마련할 계획이다. 가명처리편은 기업, 공공기관 등 개인정보처리자가 개인정보를 가명처리할 수 있는 방법과 절차에 대한 기준이다. 결합·반출편은 서로 다른 개인정보처리자간 가명정보를 결합하는 방법과 절차를 제시한 것이다.
김지선기자 river@etnews.com