[바른 한서희 변호사의 테크로우] 가명 처리 데이터 결합 &quot;이렇게 하면 안전&quot;

개인정보보호위원회가 9월 4일 ‘가명정보처리 가이드라인’을 발표했다. 가이드라인은 개인정보를 가명처리해 활용하고자 하는 개인정보처리자(회사)가 가명처리하면서 지켜야 할 사항을 규정하고 있다.

구체적으로 ‘가명정보 처리 목적과 대상’, ‘가명처리 수행절차’, ‘가명정보 결합 및 반출 절차’, ‘가명정보 처리 관련 관리적 기술적 물리적 보호조치’에 대해 규정했다.

가명정보와 개인정보, 익명정보는 지난 컬럼에서 소개했다. 이번 칼럼에는 가명처리와 관련해 구체적으로 살펴보고자 한다.

가명처리는 1단계 사전준비절차, 2단계 가명처리, 3단계 적정성검토 및 추가 가명처리, 4단계 활용 및 사후단계로 구분된다.

사전준비 단계에서는 가명처리 목적을 명확하게 정해야 한다. 예를 들어 ‘신제품 개발을 위한 과학적 연구수행’과 같은 것은 구체적이지 않으므로 부적절하다. ‘00제품의 성능 개선을 위해 개인별 ## 특성에 대한 설문조사를 토대로 개인별 특성과 성능 요인의 연관성에 대한 과학적 연구’와 같이 아주 구체적으로 적어야 한다.

이는 가명처리의 적합성 검토를 위해서다. 사업자는 필요할 경우 처리 위탁시 계약서를 작성해야 한다. 위탁자와는 "가명정보의 재제공을 금지한다. 가명정보의 재식별을 금지한다 가명정보의 처리기록을 작성하고 보관한다, 완벽하게 파기한다." 등의 계약 조항을 두고 이를 위반하였을 때 손해배상청구를 하는 내용으로 계약을 체결할 필요가 있다.

가명정보 처리 단계에서는 최소한의 항목만 처리해야 한다. 목적 달성에 필요한 부분만 가명처리 해야 한다. 가이드라인에서는 가명처리 수준 정의표를 제시하고 있다.

다음으로 적정성 검토 및 추가 가명처리 단계에서는 가명처리 수준에 따라서 적절하게 처리되었는지를 확인해야 한다. 이는 외부전문가로 구성된 적정성 평가단에서 검토해 확인이 가능하다. 만일 가명정보가 활용목적을 달성하지 못하면 가명처리 절차를 다시 수행해야 한다.

마지막은 활용 및 사후관리다. 가명정보처리자는 특정 개인을 알아보기 위한 목적으로 가명정보 처리를 해서는 안된다(법 제28조의 5 제1항). 가명정보처리자는 가명정보 처리과정에서 개인식별가능성이 증가하는지 여부등을 지속적으로 모니터링해야 한다(법 제28조의 5 제2항). 위반시 처벌이 매우 엄격하다. 벌칙조항을 살펴보면 다음과 같다.

사업자들은 가명정보 처리를 통해 데이터를 활용할 수 있는 근거가 생겼지만 가이드라인에 정해진 바를 잘 준수해야 한다. 그리고 이러한 가명정보가 긍정적으로 활용되고 남용되거나 관리 소홀로 인해 잘못 사용되는 경우가 발생되지 않도록 만전을 기할 필요가 있다.

※ 외부필자의 원고는 IT조선의 편집방향과 일치하지 않을 수 있습니다.

한서희 변호사는 법무법인 유한 바른에서 2011년부터 근무한 파트너 변호사다. 사법연수원 39기로 서울대학교 법과대학과 동대학원 공정거래법을 전공했다. 현재 바른 4차산업혁명대응팀에서 블록체인, 암호화폐, 인공지능(AI) 등과 관련된 업무를 하고 있다. 이외에도 공정거래, 지적재산권 전문가다. 한국블록체인산업진흥협회 자문위원, 한국블록체인협회 자문위원, 블록체인법학회 이사, 한국인공지능법학회 이사, 대한변호사협회 IT블록체인 특별위원회 제1소위 위원장 등으로 활동하고 있다.