정부가 해외 주요국의 개인정보 비식별처리 법제도 동향 및 국제표준을 소개하는 자리를 마련했다. 5월부터 시행되는 유럽연합(EU) 일반 개인정보보호법(GDPR)에 맞춰 구분되는 국내 법적 개념 체계를 정립하고, 빅데이터 활용 방안을 공유하기 위해서다.
과학기술정보통신부는 행정안전부, 방송통신위원회와 함께 29일 서울 프레스센터에서 이 같은 골자의 '개인정보 비식별처리 기술 세미나'를 개최했다. '개인정보'는 이름과 주민등록번호 등을 통해 누구인지 식별이 가능한 정보이며, '가명정보'는 가명을 사용한 형태로 다른 정보와 결합되면 식별이 가능한 상태를 말한다. '익명정보'는 사용 가능한 모든 수단을 고려해도 식별할 수 없는 통계나 분석 형태의 정보다.
이날 발제자로 나선 이창범 동국대학교 교수는 개인정보 해외 법제도 동향을 소개했다. 이 교수에 따르면 EU과 미국, 일본 등 주요국에서는 개인정보를 가명정보 또는 익명정보로 비식별 처리해 활용하도록 규정하고 있다. 우리나라 역시 최근 개인정보의 개념체계를 개인정보·가명정보·익명정보로 구분하고, 익명정보는 개인정보보호법 적용 대상에서 제외하기로 했다.
이 교수는 "개인정보는 해외와 우리나라가 큰 차이가 없지만, 가명정보와 익명정보는 각 나라별 형태가 다양하다"면서 "비식별 정보 가이드라인이 법적 근거 없다고 하기도 하는데, 일종의 행정 해석이라고 보면 된다"고 설명했다.
EU의 경우 법제화를 통해 가명정보에 대해 추가 정보만 있으면 언제든지 식별이 가능한 개인정보로 간주하고 있으며, 익명정보는 개인정보로 보고 있지 않다. 미국은 재식별하지 않겠다고 공개적으로 약속하거나 세이프 하버(Safe Harbor) 방식을 통해서는 수집과 이용이 가능하다고 명시하고 있다. 일본은 법규를 통해 '익명가공정보'라고 명시하고 있으며, EU과 달리 이용과 제공 목적에 특별한 제한이 없다.
이 교수는 "우리나라는 개인정보보호법, 위치정보법, 신용정보법 등에 가명정보 활용 근거가 마련돼 있으나 절차 및 방법 부재로 사실상 사문화됐다"면서 "비식별 정보는 개인정보보호법의 적용대상이 아니라는 규정을 두고, 입법화 해 투명한 활용을 유도해야 할 것"이라고 강조했다.
김순석 한라대학교 교수는 개인정보 비식별처리 기술에 대한 국제표준과 최근 논의 동향을 소개했다. 비식별처리는 빅데이터 시대가 도래함에 따라 개인정보 처리의 위험성을 제거하는 기법을 말한다. 이르면 올해 안으로 개인정보 비식별처리에 대한 국제 표준 'ISO/IEC DIS 20889'이 완료될 것이라는 전망도 나온다.
김 교수는 "세계 각국에서 비식별처리 기술을 위한 논의가 활발하게 이뤄지고 있다"면서 "데이터의 종류가 저마다 다르듯이 비식별처리 기술도 하나가 아닌 종합적으로 섞어서 사용할 필요가 있다"고 주장했다.
김호성 한국인터넷진흥원(KISA) 개인정보기술단장은 개인정보를 비식별처리하는 과정을 단계별로 설명하고, 공개용 비식별처리 소프트웨어(ARX)와 샘플 데이터를 활용해 실제로 비식별처리 작업과정을 보여줬다.
김 단장은 "비식별처리 기술은 가명처리, 총계처리, 데이터 삭제 등 기법이 있다"면서 "데이터 사용 환경과 이용목적을 고려해 적합한 기술을 선택해 사용하면 된다"고 설명했다.
이 밖에 비식별처리 전문기업인 파수닷컴, 이지서티, 펜타시스템에서는 자사의 솔루션을 소개하고 주요 특징을 설명했다.
양환정 과기정통부 정보통신정책실장은 "개인정보의 안전한 활용을 위한 사회적 논의와 함께 이를 뒷받침할 수 있는 비식별처리 기술개발도 병행되어야 한다"며 "기술개발과 교육 지원을 확대해 나가겠다"고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지