국내 개인정보 비식별화 평가방식 개선 필요
상태바
국내 개인정보 비식별화 평가방식 개선 필요
  • 김순석 교수
  • 승인 2018.08.08 10:00
  • 댓글 0
이 기사를 공유합니다

우리는 흔히 데이터를 일컬어 4차 산업혁명의 원유라 부른다. 빅데이터 분석이나 IoT 기술 등을 통한 새로운 서비스 창출과 신 산업활성화를 위해 그만큼 데이터의 활용 가치가 전 세계적으로 증가되고 있기 때문이다. 

사실 데이터를 좀 더 들여다보면 활용 못지않게 보호해야할 개인정보들이 내재된 경우가 많다. 이러한 이유로 크고 작은 개인정보 유출 사고가 지속적으로 발생하고 있으며 개인정보 보호를 강화가 필요하다는 사회적인 요구가 계속되고 있다. 지난 2016년 6월 정부에서는 이러한 사회적 요구를 수용하고자 국무조정실 등 관계부처합동으로 빅데이터의 안전한 활용을 위해 개인정보의 비식별 조치 기준과 활용 범위를 제시한 ‘개인정보 비식별 조치 가이드라인’을 발표 바 있다.

즉, 데이터 집합들 내에 개인정보가 있다면 누구인지를 알아 볼 수 없도록 안전하게 처리해 산업계에서 적극 활용하라는 의미이다. 그러나 가이드라인이 발표된 지 2년이 지난 지금 정부의 기대와는 달리 산업계에서의 활용도가 높지 않은 것이 사실이다. 그 대표적인 이유가 보호를 강조하다 보니 데이터에 대한 유용도가 떨어져서 활용이 어렵고, 의료 등 각산업군 별로 데이터의 특성이 달라 이를 일괄적으로 적용하기가 어렵다는 문제점들이 발생하고 있다.

개인정보 보호의 문제는 다른 일반적인 정보보호와는 달리 안전성과 유용성의 절충이 필요하다. 다시 말해 안전성을 지나치게 강조하다 보면 데이터의 손실이 발생해 유용도가 떨어지고 유용성을 집중하면 안전성이 떨어져서 침해가 발생할 수 있는 소지가 늘 상존한다. 이러한 문제는 우리나라에만 국한된 것은 아니다.

지난 2012년 11월 미국 보건사회복지부 인권사무국(Office of CivilRights 이하 OCR)에서는 HIPAA Privacy Rule §164.514-520을 근거로 ‘보호대상 의료정보의 비식별 가이드(Guidance on De identificationof Protected Health Information)’을 발간한 바 있다. 가이드라인에 따르면 전면적인 규율 면제 조건으로 세이프 하버(SafeHarbour) 방식과 전문가 결정(Expert Determination) 2가지 방식을 규정하고 있다.

세이프 하버 방식은 정해진 18개의 개인식별가능 건강정보들을 단순 삭제하는 방식으로 재식별의 안전성을 담보할 수 없다. 따라서 전문가 결정 방식을 선호하고 있는데, 이 방식은 우리나라의 가이드라인에서 말하는 비식별 조치 적정성 평가와 유사한것처럼 보이지만 차이가 있다.

우리나라에서는 개인정보의 위험도를 정량화한 프라이버시 모델이라는 방식에 기준해 비식별 조치의 적정성을 평가하지만, 미국의 경우는 재식별 위험도의 기준을 해당 분야 전문가가 판단할 수 있도록 하고 있다. 여기에는 전문가의 자율성과 함께 전문성의 중요도와 기술 발전에 따른 다양한 기법의 변화에 잘 대응할 수 있도록 돼 있다는 장점이 있다. 또한, 전문가의 자질을 보장하기 위해‘HITRUST’라는 단체를 만들어 교육을 통해 민간 자격증을 부여하고 있다.

개인정보의 비식별 조치에 있어 얼마나 안전하고 적정한지를 평가하는 일은 매우 중요하다. 우리나라의 가이드라인은 줄곧 적정성 평가에 있어 안전성만을 강조하면 유용성에 따른 활용도의 문제가 있어왔다. 안전도 중요하지만 이를 활용할 수 없다면 무용지물일 수밖에 없다. 미국에서 이미 4년 전에 만들어진 전문가 결정 사례가 하나의 해법이 될 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.