개인정보의 가명처리 단계, 기존 4단계에서 5단계로 세분화하고 명확화
데이터 위험성 평가항목에 재식별 시 영향도 항목 추가...가명정보 제공 업무 명확화
가명정보 처리 관련 실무서식 문의 다수...가명정보 관리대장 등 다양한 양식 예시로 담아
[보안뉴스 기획취재팀] 2022년 4월 가명정보 결합 및 반출 등에 관한 고시가 개정·시행됐다. 이번 개정은 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률 등 데이터 3법의 개정·시행에 따른 것으로, 4차 산업혁명 시대의 데이터 경제 활성화 추세에 따라 개인정보를 안전하게 활용할 수 있도록 하기 위해 마련됐다.
▲한국인터넷진흥원 박윤식 팀장이 PIS FAIR 2022에서 지난 4월 개정된 가명처리 처리 가이드라인에 대해 설명하고 있다[사진=보안뉴스]
개정된 주요 내용을 살펴보면 개인정보의 가명처리 단계를 기존 4단계에서 5단계로 세분화하고 명확화한 게 특징이다. 지난 3일 국내 최대 규모 개인정보보호 콘퍼런스 PIS FAIR 2022에서 주요 개정사항에 대해 발표한 한국인터넷진흥원(KISA) 박윤식 팀장은 “데이터 위험성 평가항목에 재식별 시 영향도(사회적 파장, 사회통념상 차별 유발 가능 등)에 관한 항목이 추가됐다. 또한, 상세한 가명정보 결합·반출 업무 흐름도 제시를 통해 가명정보 제공과 이용에 따른 업무 구분을 명확화했다”고 밝혔다.
각 단계별로 살펴보면 1단계는 목적 설정 등 사전준비 단계로 가명처리 목적 설정, 처리대상 선정, 목적 적합성 검토, 안전조치, 서류작성 등의 단계를 거치게 된다.
2단계는 위험성 검토 단계로 대상 선정, 식별 위험성 검토, 이용·제공에 따른 검토를 진행한다. 또한, 3단계는 가명처리 단계로 항목별 가명처리 계획을 설정하고, 가명처리를 수행하면 된다. 또한, 추가 정보는 분리해 보관해야 한다.
4단계 적정성 검토 단계에서는 필요서류, 목적 적합성, 식별 위험성, 가명처리 방법·수준, 가명처리, 목적 달성 가능성 등의 다양한 부문에서의 적정성 검토 과정을 거쳐야 한다.
마지막 5단계는 안전한 관리 단계로, 재식별 금지, 재식별 가능성 모니터링, 안전조치 시행, 가명정보 처리기록 작성·보관 등의 과정을 거쳐야 한다.
이와 관련 KISA 박윤식 팀장은 “이번 가이드라인 개정과 관련해 그동안 가명정보 처리 관련 실무 서식에 대한 문의가 많았다. 컨설팅 업체, 전문가 등을 통해 양식을 만들어 작성하는 등 서류 작성에 어려움을 많이 토로해 이번 가이드라인 개정안에는 가명정보 관리대장, 가명정보 접근권한 관리대장, 추가정보 관리대장, 추가정보 접근권한 관리대장, 가명정보 파기대장, 추가정보 파기대장, 이해상층 서약서, 가명정보에 대한 안전조치 이행 확약서, 적정성 검토 종합결과서, 비밀유지의무 서약서 등 다양한 양식을 예시를 들어 반영했다”고 설명했다.
[기획취재팀(sw@boannews.com)]
데이터 위험성 평가항목에 재식별 시 영향도 항목 추가...가명정보 제공 업무 명확화
가명정보 처리 관련 실무서식 문의 다수...가명정보 관리대장 등 다양한 양식 예시로 담아
[보안뉴스 기획취재팀] 2022년 4월 가명정보 결합 및 반출 등에 관한 고시가 개정·시행됐다. 이번 개정은 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률 등 데이터 3법의 개정·시행에 따른 것으로, 4차 산업혁명 시대의 데이터 경제 활성화 추세에 따라 개인정보를 안전하게 활용할 수 있도록 하기 위해 마련됐다.
▲한국인터넷진흥원 박윤식 팀장이 PIS FAIR 2022에서 지난 4월 개정된 가명처리 처리 가이드라인에 대해 설명하고 있다[사진=보안뉴스]
개정된 주요 내용을 살펴보면 개인정보의 가명처리 단계를 기존 4단계에서 5단계로 세분화하고 명확화한 게 특징이다. 지난 3일 국내 최대 규모 개인정보보호 콘퍼런스 PIS FAIR 2022에서 주요 개정사항에 대해 발표한 한국인터넷진흥원(KISA) 박윤식 팀장은 “데이터 위험성 평가항목에 재식별 시 영향도(사회적 파장, 사회통념상 차별 유발 가능 등)에 관한 항목이 추가됐다. 또한, 상세한 가명정보 결합·반출 업무 흐름도 제시를 통해 가명정보 제공과 이용에 따른 업무 구분을 명확화했다”고 밝혔다.
각 단계별로 살펴보면 1단계는 목적 설정 등 사전준비 단계로 가명처리 목적 설정, 처리대상 선정, 목적 적합성 검토, 안전조치, 서류작성 등의 단계를 거치게 된다.
2단계는 위험성 검토 단계로 대상 선정, 식별 위험성 검토, 이용·제공에 따른 검토를 진행한다. 또한, 3단계는 가명처리 단계로 항목별 가명처리 계획을 설정하고, 가명처리를 수행하면 된다. 또한, 추가 정보는 분리해 보관해야 한다.
4단계 적정성 검토 단계에서는 필요서류, 목적 적합성, 식별 위험성, 가명처리 방법·수준, 가명처리, 목적 달성 가능성 등의 다양한 부문에서의 적정성 검토 과정을 거쳐야 한다.
마지막 5단계는 안전한 관리 단계로, 재식별 금지, 재식별 가능성 모니터링, 안전조치 시행, 가명정보 처리기록 작성·보관 등의 과정을 거쳐야 한다.
이와 관련 KISA 박윤식 팀장은 “이번 가이드라인 개정과 관련해 그동안 가명정보 처리 관련 실무 서식에 대한 문의가 많았다. 컨설팅 업체, 전문가 등을 통해 양식을 만들어 작성하는 등 서류 작성에 어려움을 많이 토로해 이번 가이드라인 개정안에는 가명정보 관리대장, 가명정보 접근권한 관리대장, 추가정보 관리대장, 추가정보 접근권한 관리대장, 가명정보 파기대장, 추가정보 파기대장, 이해상층 서약서, 가명정보에 대한 안전조치 이행 확약서, 적정성 검토 종합결과서, 비밀유지의무 서약서 등 다양한 양식을 예시를 들어 반영했다”고 설명했다.
[기획취재팀(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
