개인정보보호법 후속조치...개인정보처리자 업무처리 기준 등 담아
결합전문기관 지정도 추진...15일까지 신청 접수 후 이달 중 확정
개인정보보호위원회는 개정된 개인정보보호법 시행에 따른 후속조치로서 '가명정보 처리 가이드라인(가명처리편)'을 2일 공개했다.
이번 가이드라인은 가명정보의 안전한 활용여건을 마련하기 위해, 개인정보처리자가 참고할 수 있는 기준을 제시하기 위해 마련된 것이다.
이에 따르면 개인정보처리자는 개인정보 처리의 기본원칙을 준수하는 범위 내에서 가명처리의 전 과정을 진행해야 한다.
개인을 식별할 가능성이 높은 정보는 삭제하거나 원래의 정보로 복원할 수 없도록 처리하고, 그 외의 정보는 가명정보 처리목적 달성을 위해 암호화나 총계처리·라운딩·일반화 등 적절한 가명처리 방법을 선택해 가명처리 할 수 있다.
특히 보안수준이 낮은 환경에서는 개인정보 침해 우려가 높은 점을 감안해 식별가능성을 낮추어 익명정보에 가깝게 처리하도록 했다.
아울러 개인정보처리자는 가명정보 처리시 안전성 확보조치 기준(개인정보 보호위원회 고시)을 준수헤야 하고, 재식별을 방지하기 위한 추가 조치도 해야 한다.
안전성 확보조치 기준은 ▲기술적 안전성 확보조치로서 접근권한의 관리·접근통제·접속기록의 보관 및 점검·악성프로그램 등 방지 ▲관리적 조치로서 내부관리계획의 수립·개인정보취급자 교육 ▲물리적 조치로서 출입통제 장치 설치와 보조저장매체의 반출·입 통제 등의 조치를 하도록 하고 있다.
보호위는 이번에 마련된 가명처리편에 이어 '가명정보의 결합·반출편'도 마련할 계획이다
가명처리편은 기업과 공공기관 등 개인정보처리자가 개인정보를 가명처리할 수 있는 방법과 절차에 대한 기준이고, 결합·반출편은 서로 다른 개인정보처리자간 가명정보를 결합할 수 있는 방법과 절차를 제시하는 것이다.
이 밖에 개인정보보호위원회는 안전한 가명정보 결합을 목표로, 결합전문기관 지정도 추진한다.
결합전문기관은 개인정보처리자 간 가명정보 결합과 반출심사위원회 심사를 통한 반출여부 결정, 결합결과물의 안전한 가명처리를 위한 지원 등을 담당한다.
개인정보보호위원회는 15일까지 지정기관 신청 접수를 진행한 뒤, 이달 중 결합전문기관을 지정해 고시할 방침이다.
