금융위 ‘신용정보법’ 개정안, 비식별화 정보 재식별화 금지
정보주체 동의절차 강화하고, 재식별화 불가능하도록 해야
[보안뉴스 김태형] 빅데이터 시대에서 기업이 새로운 정보를 얻기 위해서는 비식별 데이터의 활용이 불가피하다. 이를 위해서는 규제의 해소와 빅데이터 활용 등을 위한 제도 완화가 필요하다. 아울러 정보보안 측면에서의 보안 강화 조치 및 제도가 필수다.
이와 관련해서 금융위원회는 금융사의 빅데이터 이용 근거를 마련하기 위해서 누구인지 알 수 없는 비식별정보를 개인신용정보보호 대상에서 제외하는 등의 내용을 담은 ‘개인신용정보 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)’ 개정안을 입법예고한다고 지난 4월 밝혔다.
이번 개정안은 개인신용정보를 ‘생존하는 개인에 관한 정보로서 신용정보주체를 식별할 수 있는 정보’로 규정했다. 금융위는 이러한 내용의 개정안을 5월 30일까지 입법예고하고 7월 중 국회에 제출한다는 방침이다. 하지만 이러한 비식별정보들이 모이면 개인을 다시 식별할 수 있다는 점에서 논란이 되고 있다.
이에 대해 사회·시민단체 측에서는 “금융위는 현재 규제 완화와 산업 활성화 측면만 강조해 정보보호 기능을 후퇴시키고 있다. 법 개정에 앞서 정보주체의 동의절차를 강화하고 재식별화가 불가능한 모델 마련이 우선”이라는 입장을 밝혔다.
즉, 개인정보를 비식별화하도록 규정하더라도 익명화와는 다르다. 재식별의 위험을 완전히 제거하는 것은 불가능하고, 기업들이 더욱 세밀한 경영이나 마케팅 활용을 위해서 금융소비자 정보를 무단 활용할 가능성이 높다는 것. 비식별화된 신용정보도 여러 개가 합치면 재식별화가 가능하다는 입장이다.
이에 금융업계는 비식별화된 개인신용정보를 이용할 수 있어야 빅데이터 분석이 가능하다는 입장이다. 금융위는 비식별정보의 재식별화를 금지하고, 비식별정보 처리과정에서 개인이 누구인지 알 수 있다는 사실을 알게 된 경우, 즉시 삭제하도록 했다.
또한, 이번 개정안은 금융감독 대상인 금융사, 신용정보회사, 신용정보집중기관만 신용정보법 적용대상으로 한정해 신용정보법과 개인정보보호법의 적용대상을 명확히 구분했다. 비금융사의 상거래는 개인정보보호법과 정보통신망법을 적용하고 금융사가 가진 모든 고객정보는 신용정보에 포함해 개인신용정보를 보호하기로 했다.
아울러 기존 주민등록번호는 신용정보가 아닌 고유식별정보로 분류했지만 이번 개정안에서는 고유식별정보와 신용정보를 구분하지 않고 금융사가 금융거래 등과 관련해 처리하는 모든 정보를 신용정보로 규정했다.
이러한 문제를 해결하기 위해서 최근 미국·일본·유럽 등에서는 비식별정보에 대한 가이드라인을 제정하고 빅데이터 활용 근거를 취하도록 만들어가고 있다는 등 개인정보의 비식별화에 대한 법제화를 추진하고 있다.
특히, 미국은 빅데이터 역량을 강화하기 위해 6개 정부부처와 관련 기관이 총 2억 달러를 투자해 각 분야에서 경쟁력을 끌어올리겠다는 구상을 발표했다. EU는 Big Data Value Association MOU 체결을 통해 2020년까지 25억 유로를 투자해 빅데이터 산업 경쟁력을 강화할 계획이다. 일본은 ‘세계최첨단 IT국가창조선언’을 통해 데이터 이용 활성화를 위한 제도적 정비를 추진하고 있는 것으로 알려졌다.
우리나라는 국가정보화전략위원회에서 빅데이터 분석 및 활용을 위한 비전과 미래 정책방향을 제시했다. 이와 관련해서 방송통신위원회가 지난 2014년 12월 ‘빅데이터 개인정보보호 가이드라인’을 발표했다.
해당 가이드라인에서는 여러 경로를 통해 수집한 데이터를 결합해 빅데이터로 활용할 경우, 특정 개인을 식별할 수 없도록 조치, 즉 비식별화 조치를 해야 한다고 권고하고 있다. ‘개인정보 비식별화’는 데이터값 삭제, 가명처리, 총계처리, 범주화, 데이터 마스킹 등을 통해 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 결합하여도 특정개인을 식별할 수 없는 기술적 조치를 말한다.
이러한 빅데이터를 활용함에 있어서 개인정보가 포함되어 있다면, 기업은 정보주체로부터 목적에 대해 사전 동의를 받아야 한다. 하지만 데이터의 양이 크고 범위가 넓기 때문에 그 처리 목적과 항목에 대해서 정보주체로부터 사전 동의를 받는 것은 현실적으로 어려움이 따른다. 이로 인해 산업현장에서는 이러한 가이드라인이 잘 지켜지지 않는다는 지적이다. 이에 일각에서는 우리나라에서도 해외 사례와 같이 개인정보의 비식별화를 위한 법제화 추진이 필요하다는 지적이 나온다.
이와 관련 법률사무소 비트 최성호 대표 변호사는 “빅데이터에서 수집된 개인정보가 비즈니스에서 잘 활용될 수 있다면 빅데이터에서의 개인정보 수집과 활용에는 찬성이다. 단 적절한 가이드가 마련되어야 한다는 전제 조건이 있어야 한다”면서 “빅데이터 개인정보의 비식별화를 했는데 익명성이 제거되지 않거나 재식별화로 개인이 식별된다면 문제가 될 수 있으니 이에 대한 적절한 규제가 마련되어야 한다고 생각한다”고 말했다.
또한, 법률사무소 연암 김상천 변호사는 “빅데이터와 같은 정보를 활용하면서도 정보주체의 개인정보자기결정권과 같은 기본권을 침해하지 않는 방법이 필요하다. 이에 앞으로 개인정보 관련 논의의 중심에는 비식별화나 익명화가 있을 수밖에 없다”면서 “비식별화와 관련해 많은 기술적·법적 문제가 있지만, 그중 가장 큰 문제는 재식별화 문제다. 재식별화된 정보가 개인식별정보가 된다면 관련 법의 규제대상이 되기 때문이다. 이에 비식별화에 대한 여러 쟁점들에 대해서 어느 정도 기준으로 비식별화를 해야 하는지가 명확하게 정립되어야 한다”고 강조했다.
한편, 오는 6월 9~10일 코엑스 그랜드볼룸에서 개최되는 국내 최대의 개인정보보호 컨퍼런스인 ‘2016 개인정보보호페어(PIS FAIR 2016)’에서 최근 개인정보보호 분야의 최대 이슈가 되고 있는 비식별화 조치에 대한 강연이 진행된다. 파수닷컴의 강봉호 본부장이 ‘효과적인 개인정보 비식별화 및 암호화 방안’을 주제로 발표할 예정이다.
이번 행사의 경우 공공기관 및 기업의 CPO와 개인정보처리자, 보안담당자는 행사 홈페이지(www.pisfair.org/2016/)에서 사전등록시 무료 참관이 가능하다.
[김태형 기자(boan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
정보주체 동의절차 강화하고, 재식별화 불가능하도록 해야
[보안뉴스 김태형] 빅데이터 시대에서 기업이 새로운 정보를 얻기 위해서는 비식별 데이터의 활용이 불가피하다. 이를 위해서는 규제의 해소와 빅데이터 활용 등을 위한 제도 완화가 필요하다. 아울러 정보보안 측면에서의 보안 강화 조치 및 제도가 필수다.
이와 관련해서 금융위원회는 금융사의 빅데이터 이용 근거를 마련하기 위해서 누구인지 알 수 없는 비식별정보를 개인신용정보보호 대상에서 제외하는 등의 내용을 담은 ‘개인신용정보 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)’ 개정안을 입법예고한다고 지난 4월 밝혔다.
이번 개정안은 개인신용정보를 ‘생존하는 개인에 관한 정보로서 신용정보주체를 식별할 수 있는 정보’로 규정했다. 금융위는 이러한 내용의 개정안을 5월 30일까지 입법예고하고 7월 중 국회에 제출한다는 방침이다. 하지만 이러한 비식별정보들이 모이면 개인을 다시 식별할 수 있다는 점에서 논란이 되고 있다.
이에 대해 사회·시민단체 측에서는 “금융위는 현재 규제 완화와 산업 활성화 측면만 강조해 정보보호 기능을 후퇴시키고 있다. 법 개정에 앞서 정보주체의 동의절차를 강화하고 재식별화가 불가능한 모델 마련이 우선”이라는 입장을 밝혔다.
즉, 개인정보를 비식별화하도록 규정하더라도 익명화와는 다르다. 재식별의 위험을 완전히 제거하는 것은 불가능하고, 기업들이 더욱 세밀한 경영이나 마케팅 활용을 위해서 금융소비자 정보를 무단 활용할 가능성이 높다는 것. 비식별화된 신용정보도 여러 개가 합치면 재식별화가 가능하다는 입장이다.
이에 금융업계는 비식별화된 개인신용정보를 이용할 수 있어야 빅데이터 분석이 가능하다는 입장이다. 금융위는 비식별정보의 재식별화를 금지하고, 비식별정보 처리과정에서 개인이 누구인지 알 수 있다는 사실을 알게 된 경우, 즉시 삭제하도록 했다.
또한, 이번 개정안은 금융감독 대상인 금융사, 신용정보회사, 신용정보집중기관만 신용정보법 적용대상으로 한정해 신용정보법과 개인정보보호법의 적용대상을 명확히 구분했다. 비금융사의 상거래는 개인정보보호법과 정보통신망법을 적용하고 금융사가 가진 모든 고객정보는 신용정보에 포함해 개인신용정보를 보호하기로 했다.
아울러 기존 주민등록번호는 신용정보가 아닌 고유식별정보로 분류했지만 이번 개정안에서는 고유식별정보와 신용정보를 구분하지 않고 금융사가 금융거래 등과 관련해 처리하는 모든 정보를 신용정보로 규정했다.
이러한 문제를 해결하기 위해서 최근 미국·일본·유럽 등에서는 비식별정보에 대한 가이드라인을 제정하고 빅데이터 활용 근거를 취하도록 만들어가고 있다는 등 개인정보의 비식별화에 대한 법제화를 추진하고 있다.
특히, 미국은 빅데이터 역량을 강화하기 위해 6개 정부부처와 관련 기관이 총 2억 달러를 투자해 각 분야에서 경쟁력을 끌어올리겠다는 구상을 발표했다. EU는 Big Data Value Association MOU 체결을 통해 2020년까지 25억 유로를 투자해 빅데이터 산업 경쟁력을 강화할 계획이다. 일본은 ‘세계최첨단 IT국가창조선언’을 통해 데이터 이용 활성화를 위한 제도적 정비를 추진하고 있는 것으로 알려졌다.
우리나라는 국가정보화전략위원회에서 빅데이터 분석 및 활용을 위한 비전과 미래 정책방향을 제시했다. 이와 관련해서 방송통신위원회가 지난 2014년 12월 ‘빅데이터 개인정보보호 가이드라인’을 발표했다.
해당 가이드라인에서는 여러 경로를 통해 수집한 데이터를 결합해 빅데이터로 활용할 경우, 특정 개인을 식별할 수 없도록 조치, 즉 비식별화 조치를 해야 한다고 권고하고 있다. ‘개인정보 비식별화’는 데이터값 삭제, 가명처리, 총계처리, 범주화, 데이터 마스킹 등을 통해 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 결합하여도 특정개인을 식별할 수 없는 기술적 조치를 말한다.
이러한 빅데이터를 활용함에 있어서 개인정보가 포함되어 있다면, 기업은 정보주체로부터 목적에 대해 사전 동의를 받아야 한다. 하지만 데이터의 양이 크고 범위가 넓기 때문에 그 처리 목적과 항목에 대해서 정보주체로부터 사전 동의를 받는 것은 현실적으로 어려움이 따른다. 이로 인해 산업현장에서는 이러한 가이드라인이 잘 지켜지지 않는다는 지적이다. 이에 일각에서는 우리나라에서도 해외 사례와 같이 개인정보의 비식별화를 위한 법제화 추진이 필요하다는 지적이 나온다.
이와 관련 법률사무소 비트 최성호 대표 변호사는 “빅데이터에서 수집된 개인정보가 비즈니스에서 잘 활용될 수 있다면 빅데이터에서의 개인정보 수집과 활용에는 찬성이다. 단 적절한 가이드가 마련되어야 한다는 전제 조건이 있어야 한다”면서 “빅데이터 개인정보의 비식별화를 했는데 익명성이 제거되지 않거나 재식별화로 개인이 식별된다면 문제가 될 수 있으니 이에 대한 적절한 규제가 마련되어야 한다고 생각한다”고 말했다.
또한, 법률사무소 연암 김상천 변호사는 “빅데이터와 같은 정보를 활용하면서도 정보주체의 개인정보자기결정권과 같은 기본권을 침해하지 않는 방법이 필요하다. 이에 앞으로 개인정보 관련 논의의 중심에는 비식별화나 익명화가 있을 수밖에 없다”면서 “비식별화와 관련해 많은 기술적·법적 문제가 있지만, 그중 가장 큰 문제는 재식별화 문제다. 재식별화된 정보가 개인식별정보가 된다면 관련 법의 규제대상이 되기 때문이다. 이에 비식별화에 대한 여러 쟁점들에 대해서 어느 정도 기준으로 비식별화를 해야 하는지가 명확하게 정립되어야 한다”고 강조했다.
한편, 오는 6월 9~10일 코엑스 그랜드볼룸에서 개최되는 국내 최대의 개인정보보호 컨퍼런스인 ‘2016 개인정보보호페어(PIS FAIR 2016)’에서 최근 개인정보보호 분야의 최대 이슈가 되고 있는 비식별화 조치에 대한 강연이 진행된다. 파수닷컴의 강봉호 본부장이 ‘효과적인 개인정보 비식별화 및 암호화 방안’을 주제로 발표할 예정이다.
이번 행사의 경우 공공기관 및 기업의 CPO와 개인정보처리자, 보안담당자는 행사 홈페이지(www.pisfair.org/2016/)에서 사전등록시 무료 참관이 가능하다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
