김경환 법무법인 민후 대표변호사는 2017년 12월 7일 열린 ‘4차 산업혁명시대에 스타트업 육성을 위한 개인정보보호 개선방안’ 토론회에 참석해 ‘비식별조치 가이드라인의 문제점과 비식별처리의 개선방향’을 주제로 발제했습니다.

1. 비식별조치 가이드라인의 문제점과
비식별처리의 개선방향
법무법인 민후 김경환 변호사

2. - 2 -
개 요
비식별조치 가이드라인의 문제점1.
개인정보보호법 제 조 제 항 제 호의 해석- 18 2 4
문제점 적정성 평가 과정에서 동의 없는 개인정보 제공- 1 :
문제점 정보 결합 과정에서 동의 없는 개인정보 제공- 2 :
문제점 법적 근거 없는 전문기관- 3 :
비식별처리의 개선 방향2.
개선방향 법률 에서의 근거 필요- 1 : ‘ ’
개선방향 가명처리 의 도입 필요- 2 : ' '
개선방향 전문기관 의 법적 근거 필요- 3 : ' '
결어3.

3. - 3 -
비식별조치 가이드라인의 문제점1.

4. - 4 -
개인정보보호법 제 조 제 항 제 호의 해석18 2 4
용어정리 비식별처리 가명처리 익명처리* ( ) (de-idenfication) = (pseudonymization) + (anonymization)
개인정보보호법 제 조 개인정보의 목적 외 이용 제공 제한18 ( · )
제 항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우1②
에는 정보주체 또는 제 자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고3
는 개인정보를 목적 외의 용도로 이용하거나 이를 제 자에게 제공할 수 있다 다3 .
만 제 호부터 제 호까지의 경우는 공공기관의 경우로 한정한다, 5 9 .
통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼4.
수 없는 형태로 개인정보를 제공하는 경우
o 목적요건 통계작성 및 학술연구 등의 목적( ) 통계작성에 대하여 비영리로 제한하:
는 견해도 있으나 의 경우 영리 목적까지 포함함, EU

5. - 5 -
o 형태요건 알아볼 수 없는 형태( ) :
익명처리로 보는 견해 가명처리로 보는 견해
개인정보보호법 제 조 제 호의 개인정보2 1
의 정의는 알아볼 수 있는 정보 인바 본‘ ’ ,
조항의 알아볼 수 없는 은 비개인정보로‘ ’
서 익명처리에 해당함
개인정보보호법 제 조 제 항에 익명처3 7 ‘
리 가 나오는바 본 호는 이와 다른 문언’ ,
으로 규정되어 있기에 익명처리 와 상이‘ ’
한 가명처리로 보아야 함
익명처리로 보더라도 정보처리자는 원본
정보와 쉽게 결합할 수 있기 때문에 개
인정보에 해당할 수 있어 이 규정의 실
익이 있음
익명처리 정보는 개인정보가 아닌바 개,
인정보가 아니라면 이러한 규정을 만들
필요가 없기 때문에 가명처리 임‘ ’
이하는 논리 전개의 편의를 위하여* ‘익명처리 로 보는 견해에 따라 내용을 정리함’
o 적용대상 정보통신서비스제공자 는 개인정보보호법 제 조 제 항 제 호의 적용: ‘ ’ 18 2 4
이 없다는 견해에 의하면 아예 법적 근거가 없음 이견 있음, ( )

6. - 6 -
문제점 적정성 평가 과정에서 동의 없는 개인정보 제공1 :
단계에서 부적정 평가를 받게 된 경우 정보처리자는 익명처리가 안 된 정보를o 3 ,
전문기관에 제공하였기 때문에 개인정보의 동의 없는 제 자 제공에 해당함3

7. - 7 -
문제점 정보 결합 과정에서 동의 없는 개인정보 제공2 :
정보집합물 결합 안내서 임시대체키는 레코드를 유일하게 식별할 수 있는 값이어야 하며 다시* ‘ ’ :
원본 값으로 복원할 수 없어야 함
o 임시대체키로 대체한 정보는 가명처리 정보로서 여전히 개인정보이고 원본정보와 쉽게 결,
합하여 특정 개인을 알아볼 수도 있기에 개인정보를 동의 없이 제 자에게 제공하는 것임, 3

8. - 8 -
문제점 법적 근거 없는 전문기관3 :
전문기관은 법적 근거 없이 익명처리되지 않은 개인정보를 제공받고 또한 결합을o ,
하고 있음
처리 도중에 식별이 되면 전문기관은 법적 근거 없이 개인정보를 보유하게 됨o ,

9. - 9 -
비식별처리의 개선 방향2.

10. - 10 -
개선방향 법률 에서의 근거 필요1 : ‘ ’
비식별조치 가이드라인 규정은 개인정보보호법 등에 저촉됨 시민단체의 고발o →
법률 단계에서 법적 근거를 만들어야 하는 내용이지 가이드라인으로 해결할 수o ,
있는 사항은 아님

11. - 11 -
개선방향 가명처리 의 도입 필요2 : ‘ ’
비식별조치 가이드라인 가명처리는 비식별조치로 보지 않음o :
기술적으로도 익명처리정보 로는 효율적인 정보 처리나 부가가치 창출이 어려움o ‘ ’

12. - 12 -
일본 개인정보보호법o EU GDPR, : ‘가명처리 의 법적 근거를 신설함’
EU GDPR
제 조 제 항5 1 (b)
일본 개인정보보호법
제 조 제 항36 4 ,
제 조37
우리 개인정보보호법
제 조 제 항 제 호18 2 4
입법 시기
2016. 5.
시행(2018. 5. )
2015. 9.
시행(2017. 5. )
2011. 3.
시행(2011. 9. )
동의 불요 불요 불요
추가처리
목적
공익을 위한 기록보존
목적 과학 또는 역사ㆍ
연구 목적 통계 목적ㆍ
제한 없음 통계작성 및 학술연구 등의 목적
비식별화
정도
가명처리
복원불가능한
가명처리
특정 개인을 알아볼 수 없는 형태
익명처리로 파악( )
처리 항목 처리 전체 제공 제공

13. - 13 -
의o EU GDPR ‘가명처리 의 활용’
개인정보의 수집a) 목적 외의 처리와 관련해서 개인정보를 수집한 목적 이외로,
처리하기 위해서는 암호화 및 가명처리가 포함될 수 있는 적절한 보호수단을
갖추어야 한다 제 조( 6 ).
가명처리를 적용한 경우b) data protection by design 또는 data protection by
의무를 충족한 것으로 본다 제 조default ( 25 ).
컨트롤러와 프로세서는 가명처리 및 암호화를 통하여c) 적절한 보안 수준을 유지
할 수 있다 제 조( 32 ).
d) 공익을 위한 목적 과학 역사 연구의 목적 또는 통계 목적, ㆍ 에서 개인정보 처리
를 할 때 정보주체의 자유와 권리를 보호하기 위하여 가명처리를 통하여 적절
한 안전조치를 확보할 수 있다 제 조( 89 ).
개선방향 개인정보보호법 제 조 제 항 제 호로 부족하고 법률 개정으로 새로o : 18 2 4 ,
이 가명처리 의 법적 근거를 신설해야 함‘ ’

14. - 14 -
개선방향 전문기관 의 법적 근거 필요3 : ‘ ’
o ‘Honest Broker 에 대한 법적 근거가 필요함’
전문기관의 행위 중 위법한 경우o
익명처리되지 않은 개인정보를 제공받은 경우-
가명처리정보를 결합을 한 경우-
처리 과정에서 특정 개인이 식별된 경우-

15. - 15 -
결 어
비식별조치 가이드라인은 법률 로 풀어야 할 것을 가이드라인으로 미봉한 상태o ‘ ’
법률 근거가 필요함에도 법률 근거 없이 가이드라인에 근거한 경우는 위법 소지o
가 발생함
사회적 합의를 통한 법률 개정만이 유일한 해결책임o
이상은 개인정보보호법 제 조 제 항 제 호에 대하여 익명처리 로 보는 견해에 따라 정리한 것으* 18 2 4 ‘ ’
로서 가명처리 로 본다면 본 발표 자료와 다른 결론에 도달할 수 있음, ‘ ’