가명정보처리에 대한 모든 것

2020년부터 기업들은 법에서 허용한 범위 내에서 '가명정보'를 처리하는 것이 가능해졌습니다.

 

'가명정보'는 개인정보를 가명처리함으써,

원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보인데요.

가명정보 처리에 대한 규제는 '개인정보보호법 제3절, 가명정보의 처리에 관한 특례'에서 다루고 있습니다.

 

 

가명정보를 업무 상 활용하기 위해 분석했던 주요 포인트를 공유드리겠습니다.

 

- '가명처리'와 '가명정보 처리'는 어떻게 다를까?

- 가명정보는 개인정보가 아니니까, 동의 없이 활용해도 될까?

- 가명정보와 추가정보에 대한 안전성 확보조치는 어떻게 해야할까?

- 가명정보가 개인정보보다 더 관리하기 용이해야하는거 아니야?

 

---

'가명처리'와 '가명정보 처리'는 다르다.

가명처리 : 개인정보의 일부를 삭제하거나 일부 또는 전체를 대체하여 특정인을 식별하지 못하도록 하는 과정(가명화)입니다. 

 

개인정보보호위원회에서 발간한 '가명정보 처리 가이드라인'에 따르면

개인을 식별하지 못하도록 하는 과정은 아래와 같은 5단계에 따라 처리해야합니다.

가명정보 처리 가이드라인 p10

 

가명정보 처리 : 가명처리를 통해 생성된 가명정보를 1)이용, 2)제공, 3)결합 등 활용하는 행위 입니다.

가명정보를 처리하는 과정에서 가명성을 유지해서 재식별성이 없는 상태로 아래 사항을 유의해야합니다. 

구분	상세
이용	- 특정 개인을 알아보기 위한 목적으로 가명정보를 처리 금지 - 처리과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우, 즉시 처리를 중지하고 지체없이 회수 및 파기 - 원래의 상태로 복원하기 위한 추가정보를 별도로 분리하여 보관, 관리하는 등 안전성 확보에 필요한 조치 - 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리내용을 관리하기 위한 기록을 작성하여 보관
제공	- 가명정보를 제공할 때에는 추가정보로 인해 개인을 식별해서는 안되므로, 재식별 금지에 대한 조항을 계약서에 작성 - 불특정 제3자에게 제공하는 경우에는 '익명정보'로 처리
결합	- 타사가 소유한 가명정보와 결합할 때에는 '데이터 전문기관'에서만 수행

 

---

가명정보는 개인정보가 아니니까, 동의 없이 처리해도 될까?

 

 

동의 없이 가명정보를 처리할 수 있는 경우

1) 통계 작성 : 집합적인 데이터로 특정 개인에 관한 정보가 포함되어있지 않았을 때

  - 판매 상품을 구입한 회원의 연령, 성별, 선호색상, 구입처, 기능 및 가격 등에 관한 통계를 작성하는 경우

  - 상업적 목적과 비상업적 목적 모두 가능 (개인정보보호법령 해설실무교재 p19)

 

 

2) 과학적 연구 : 기술의 개발, 실증, 기초연구, 응용연구 및 민간 투자연구 (개인정보보호법령 해설실무교재 p173)

 - 새로운 기술, 제품, 서비스 개발 등 산업적 목적을 위해서도 가능하며, 민간 투자연구도 가능

 - 사회의 여러 현상, 사례를 체계적으로 분석하여 어떠한 결과를 도출하는 연구도 과학적 연구에 해당(가명정보 처리 가이드라인 p135)

 - 사례분석, 설문조사 등을 통해 어떠한 결과를 도출하는 것도 '과학적 방법'에 해당(가명정보 처리 가이드라인 p135)

 - 건강관리용 모바일앱을 통해 수집한 생활습관, 위치정보, 성별 등을 가명처리하여 데이터 비교, 분석에 사용하는 경우

- OO 서비스 성능개선을 위해 개인별 특성 설문조사를 토대로 개인별 특성과 성능요인의 연관성에 대한 과학적 연구 수행(가명정보 처리 가이드라인 p14)

- 법에서 허용하는 목적 범위로 제공하면서 대가를 받는 것(유상판매)는 가능(가명정보 처리 가이드라인 p134)

가명정보처리가이드라인 p19

3) 공익적 기록 보존 목적 : 민간기업/단체 등이 일반적인 공익을 위하여 기록을 보존하는 경우도 인정

 - 현대사 연구과정에서 수집한 정보 중 사료가치가 있는 생존 인물에 대한 정보를 기록, 보관하고자 하는 경우 등

 

---

Q. 이 경우에도 가명정보를 처리할 수 있을까?

처리목적이 설정되지 않은 상황에서 개인정보를 가명처리하여 보관하는 경우

- 위 3가지 케이스(통계 작성, 과학적 연구, 공익적 기록보존 목적)에 해당하지 않음

 

자사의 회원정보를 가명처리한 뒤, 자사의 새로운 서비스 개발 목적으로 분석하는 경우, [과학적 연구]로 해석할 수 있을까?

- 가명정보는 원칙적으로 가명처리를 수행한 당시의 목적과 처리환경에 따라 이용해야 함

- 가명정보를 당초 처리목적과 다른 목적으로 사용하는 경우에는 목적달성을 위해 꼭 필요한 항목으로만 구성해야 하며, 처리환경이 달라지는 경우, 추가 가명처리 과정을 거쳐야 함(가명정보처리가이드라인 p10)

- '가명성'을 보장한다면 가능한 것으로 보입니다. [편집자의 의견]

 

수탁받은 개인정보를 가명처리한 뒤, 자사의 새로운 서비스 개발 목적으로 분석하는 경우, [과학적 연구]로 해석할 수 있을까?

- 수탁사의 자체 서비스 개발 목적이라면 수탁업무 범위 밖이므로 제3자 제공에 해당

- 제3자로부터 제공받은 다른 제3자에게 재제공하는 행위는 금지되어 있음

 

 

 

 

---

 

---

가명정보와 추가정보의 안전성 확보조치

1) 내부관리계획 수립, 시행

- 개인정보 내부관리계획 대비, 아래와 같은 내용이 추가되었습니다.

가명정보 처리 가이드라인 p60

 

2) 수탁자 관리, 감독 의무

- 개인정보 수탁자 관리, 감독 의무에서 '재식별 금지, 재식별 시 통지 및 책임'조항을 추가하는 것을 권고하고 있습니다.

가명정보 처리 가이드라인 p61