2. - 2 -
개 요
비식별조치 가이드라인의 문제점1.
개인정보보호법 제 조 제 항 제 호의 해석- 18 2 4
문제점 적정성 평가 과정에서 동의 없는 개인정보 제공- 1 :
문제점 정보 결합 과정에서 동의 없는 개인정보 제공- 2 :
문제점 법적 근거 없는 전문기관- 3 :
비식별처리의 개선 방향2.
개선방향 법률 에서의 근거 필요- 1 : ‘ ’
개선방향 가명처리 의 도입 필요- 2 : ' '
개선방향 전문기관 의 법적 근거 필요- 3 : ' '
결어3.
4. - 4 -
개인정보보호법 제 조 제 항 제 호의 해석18 2 4
용어정리 비식별처리 가명처리 익명처리* ( ) (de-idenfication) = (pseudonymization) + (anonymization)
개인정보보호법 제 조 개인정보의 목적 외 이용 제공 제한18 ( · )
제 항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우1②
에는 정보주체 또는 제 자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고3
는 개인정보를 목적 외의 용도로 이용하거나 이를 제 자에게 제공할 수 있다 다3 .
만 제 호부터 제 호까지의 경우는 공공기관의 경우로 한정한다, 5 9 .
통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼4.
수 없는 형태로 개인정보를 제공하는 경우
o 목적요건 통계작성 및 학술연구 등의 목적( ) 통계작성에 대하여 비영리로 제한하:
는 견해도 있으나 의 경우 영리 목적까지 포함함, EU
5. - 5 -
o 형태요건 알아볼 수 없는 형태( ) :
익명처리로 보는 견해 가명처리로 보는 견해
개인정보보호법 제 조 제 호의 개인정보2 1
의 정의는 알아볼 수 있는 정보 인바 본‘ ’ ,
조항의 알아볼 수 없는 은 비개인정보로‘ ’
서 익명처리에 해당함
개인정보보호법 제 조 제 항에 익명처3 7 ‘
리 가 나오는바 본 호는 이와 다른 문언’ ,
으로 규정되어 있기에 익명처리 와 상이‘ ’
한 가명처리로 보아야 함
익명처리로 보더라도 정보처리자는 원본
정보와 쉽게 결합할 수 있기 때문에 개
인정보에 해당할 수 있어 이 규정의 실
익이 있음
익명처리 정보는 개인정보가 아닌바 개,
인정보가 아니라면 이러한 규정을 만들
필요가 없기 때문에 가명처리 임‘ ’
이하는 논리 전개의 편의를 위하여* ‘익명처리 로 보는 견해에 따라 내용을 정리함’
o 적용대상 정보통신서비스제공자 는 개인정보보호법 제 조 제 항 제 호의 적용: ‘ ’ 18 2 4
이 없다는 견해에 의하면 아예 법적 근거가 없음 이견 있음, ( )
6. - 6 -
문제점 적정성 평가 과정에서 동의 없는 개인정보 제공1 :
단계에서 부적정 평가를 받게 된 경우 정보처리자는 익명처리가 안 된 정보를o 3 ,
전문기관에 제공하였기 때문에 개인정보의 동의 없는 제 자 제공에 해당함3
7. - 7 -
문제점 정보 결합 과정에서 동의 없는 개인정보 제공2 :
정보집합물 결합 안내서 임시대체키는 레코드를 유일하게 식별할 수 있는 값이어야 하며 다시* ‘ ’ :
원본 값으로 복원할 수 없어야 함
o 임시대체키로 대체한 정보는 가명처리 정보로서 여전히 개인정보이고 원본정보와 쉽게 결,
합하여 특정 개인을 알아볼 수도 있기에 개인정보를 동의 없이 제 자에게 제공하는 것임, 3
8. - 8 -
문제점 법적 근거 없는 전문기관3 :
전문기관은 법적 근거 없이 익명처리되지 않은 개인정보를 제공받고 또한 결합을o ,
하고 있음
처리 도중에 식별이 되면 전문기관은 법적 근거 없이 개인정보를 보유하게 됨o ,
10. - 10 -
개선방향 법률 에서의 근거 필요1 : ‘ ’
비식별조치 가이드라인 규정은 개인정보보호법 등에 저촉됨 시민단체의 고발o →
법률 단계에서 법적 근거를 만들어야 하는 내용이지 가이드라인으로 해결할 수o ,
있는 사항은 아님
11. - 11 -
개선방향 가명처리 의 도입 필요2 : ‘ ’
비식별조치 가이드라인 가명처리는 비식별조치로 보지 않음o :
기술적으로도 익명처리정보 로는 효율적인 정보 처리나 부가가치 창출이 어려움o ‘ ’
12. - 12 -
일본 개인정보보호법o EU GDPR, : ‘가명처리 의 법적 근거를 신설함’
EU GDPR
제 조 제 항5 1 (b)
일본 개인정보보호법
제 조 제 항36 4 ,
제 조37
우리 개인정보보호법
제 조 제 항 제 호18 2 4
입법 시기
2016. 5.
시행(2018. 5. )
2015. 9.
시행(2017. 5. )
2011. 3.
시행(2011. 9. )
동의 불요 불요 불요
추가처리
목적
공익을 위한 기록보존
목적 과학 또는 역사ㆍ
연구 목적 통계 목적ㆍ
제한 없음 통계작성 및 학술연구 등의 목적
비식별화
정도
가명처리
복원불가능한
가명처리
특정 개인을 알아볼 수 없는 형태
익명처리로 파악( )
처리 항목 처리 전체 제공 제공
13. - 13 -
의o EU GDPR ‘가명처리 의 활용’
개인정보의 수집a) 목적 외의 처리와 관련해서 개인정보를 수집한 목적 이외로,
처리하기 위해서는 암호화 및 가명처리가 포함될 수 있는 적절한 보호수단을
갖추어야 한다 제 조( 6 ).
가명처리를 적용한 경우b) data protection by design 또는 data protection by
의무를 충족한 것으로 본다 제 조default ( 25 ).
컨트롤러와 프로세서는 가명처리 및 암호화를 통하여c) 적절한 보안 수준을 유지
할 수 있다 제 조( 32 ).
d) 공익을 위한 목적 과학 역사 연구의 목적 또는 통계 목적, ㆍ 에서 개인정보 처리
를 할 때 정보주체의 자유와 권리를 보호하기 위하여 가명처리를 통하여 적절
한 안전조치를 확보할 수 있다 제 조( 89 ).
개선방향 개인정보보호법 제 조 제 항 제 호로 부족하고 법률 개정으로 새로o : 18 2 4 ,
이 가명처리 의 법적 근거를 신설해야 함‘ ’
14. - 14 -
개선방향 전문기관 의 법적 근거 필요3 : ‘ ’
o ‘Honest Broker 에 대한 법적 근거가 필요함’
전문기관의 행위 중 위법한 경우o
익명처리되지 않은 개인정보를 제공받은 경우-
가명처리정보를 결합을 한 경우-
처리 과정에서 특정 개인이 식별된 경우-
15. - 15 -
결 어
비식별조치 가이드라인은 법률 로 풀어야 할 것을 가이드라인으로 미봉한 상태o ‘ ’
법률 근거가 필요함에도 법률 근거 없이 가이드라인에 근거한 경우는 위법 소지o
가 발생함
사회적 합의를 통한 법률 개정만이 유일한 해결책임o
이상은 개인정보보호법 제 조 제 항 제 호에 대하여 익명처리 로 보는 견해에 따라 정리한 것으* 18 2 4 ‘ ’
로서 가명처리 로 본다면 본 발표 자료와 다른 결론에 도달할 수 있음, ‘ ’