올해 초 방송통신위원회가 ‘개인정보 비식별화 조치 법제화’를 추진하고 밝힌 이후 국내에서도 개인정보 비식별화에 대한 논의가 활발히 진행되고 있는 가운데, 어떤 방식으로 비식별화를 할 것인가에 대한 관심이 높아지고 있다.
17일 개인정보보호포럼(준비위원장 염흥열)이 코엑스에서 개최한 개인정보보호 세미나에서 법무법인 민후의 김경환 대표변호사는 유럽과 일본, 미국의 비식별화 조치 현황을 소개했다.

김변호사에 따르면, 일본은 지난해 비식별화된 데이터를 ‘익명 가공정보’로 정의하고, 이를 처리할 수 있도록 개인정보보호법을 개정한 바 있으며, 유럽연합(EU)도 지난해 단일개인정보보호법(GDPR)을 제정해 ‘가명화’에 의한 비식별화 조치로 데이터를 수집, 이용할 수 있도록 했다. 미국은 현재 입법을 추진중인 것으로 알려졌다.
개인정보 비식별화 문제는 국제표준기구에서도 높은 관심을 보이며 표준 제정에 적극 나서고 있다. 이미 국제표준화 기구인 정보보호기술 연구반(ISO/IEC JTC 1/sc27)에서는 지난해 4월부터 ISO/IEC20889를 개발하고 있다.
하지만, 국내에서는 아직 입법화되지 않은 상태이고, 어떤 방식으로 비실명화를 정의할지를 놓고 고민중이어서 귀추가 주목된다.
김변호사는 해외의 경우 비실명화라는 용어에 대해 ‘de-identification’, ‘anonymization(익명화)’, ‘pseudonymization(가명화)’ 등으로 혼용되고 있다고 설명했다. ‘de-identification’은 익명화와 가명화를 위한 하나의 절차라고 보면, 크게 두 가지 개념으로 이해되고 적용되고 있다는 것.
하지만 본질적으로는 개인정보를 구성하는 세가지 요인- 즉, ▲특정 데이터가 한 개인과 대응(single out) ▲특정 데이터와 특정 개인이 연결됨(linkability) ▲특정 데이터로부터 특정 개인을 추론할 수 있음(inference) - 가운데, 일부나 전부를 제거하는 과정이다.
따라서 나라마다 비식별화의 개념이나 요구수준이 다를 수 밖에 없다.
익명화(anonymization)는 이 세가지 요인을 모두 제거하는 개념이며, 가명화(pseudonymization)는 single out은 허용하되, 연결과 추론은 제거하는 개념이다.
따라서, 익명화는 ‘합리적 노력’으로는 재식별화가 불가능한 것이며, 익명화된 데이터는 개인정보에 해당하지 않는 것으로 보는 게 일반적이다. 하지만 가명화는 재식별화가 가능해 가명화된 데이터는 개인정보로 경향이 강하다.
EU의 경우 GDPR에 ‘가명화’를 정의하고 있으며 ‘특정 개인에게 연결되지 않아야 한다’고 밝히고 있다. 이에 따른 데이터는 개인정보로 취급하고 있지만, 기술적 관리적 조치하에 공익 통계 역사적 목적의 활용은 허용하고 있다.
일본은 익명화를 내세우고 있다. 복원불가 하므로 비개인정보로 분류하고 있다. 이 때문에 정보 주체의 동의를 받을 필요도 없고, 제3자 제공도 자유로우나 일정한 기술적 관리적 조치를 취할 의무는 부여하고 있다.
미국은 ‘소비자 프라이버시 권리장전법’ 개정을 통해 ‘de-identification’을 정의하려 입법을 추진중인데, 연결되서는 안되는 범위에 개인 뿐만 아니라 ‘device’까지 포함한 것이 특징이다.
한편, 우리 나라는 가명화 방식의 비실명화 쪽으로 가닥이 잡히고 있지만, 국제 표준 전문가들 아시에서는, 각 방식의 장단점이 존재하므로 정보 주체들의 요구도 수용하는 한편, 서비스 산업 부문별로 안전성 수준을 달리 운영하는 방안도 논의중인 것으로 알려졌다.
박영하 자유기고가 (yhpark@nextdaily.co.kr)