빅데이터, IoT( 사물인터넷 ) 등새로운 IT 기술과융합산업의출현은 세계최고수준의 IT강국으로자리매김한우리나라에게또다른도약의기회가되고있으나, 한편으로그러한기술활용과정에서발생할수있는개인정보침해우려는신산업발전과개인정보의보호를동시에조화롭게모색해야하는과제를제기하고있습니다.

Similar documents
[ 목차 ]

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

개인정보처리방침_성동청소년수련관.hwp

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

슬라이드 1

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>


비식별화 기술 활용 안내서-최종수정.indd

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침


Microsoft PowerPoint - 6.pptx

2002report hwp

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

120330(00)(1~4).indd

m (-6933, `12.5.2) ( ),,,,.,. 2 2 ( ) 1 2 (( 高 ) M10 110) 2,280, H, H.. - (, ) H, H, H. - ( 引拔 ), H,. (-6933, `12.5.2) ( ),. 3 (2,280), (, ) ( 共

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 )

USC HIPAA AUTHORIZATION FOR

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

암호내지

슬라이드 1

보도자료 2014 년국내총 R&D 투자는 63 조 7,341 억원, 전년대비 7.48% 증가 - GDP 대비 4.29% 세계최고수준 연구개발투자강국입증 - (, ) ( ) 16. OECD (Frascati Manual) 48,381 (,, ), 20

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

2016년 신호등 10월호 내지.indd

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

2018년 10월 12일식품의약품안전처장

<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,


연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교


2-A. 필수개인 ( 신용 ) 정보수집 이용 제공동의서 ( 여신금융거래 ) ( 주 ) 신한저축은행귀중 신한저축은행과의여신 ( 금융 ) 거래와관련하여신한저축은행이본인의개인 ( 신용 ) 정보를수집 이용하거나제 3 자에게제공하고자하는경우에는 개인정보보호법 제 15 조제 1

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

1. 상수도사업본부 개인정보 처리방침(내용_ ).hwp

장애인건강관리사업

슬라이드 1

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

농업정책보험금융원임직원행동강령 제정 개정 개정 개정 개정 개정 개정 제1장총칙

해외유학생보험3단팜플렛1104

Zentralanweisung

목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향

슬라이드 1

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

평택시체육회회장선거관리규정 제정 제 1 장총칙 제1조 ( 목적 ) 제2조 ( 적용범위 ) 제3조 ( 선거관리위원회의설치및운영 ) - 1 -

- 2 -


행정학석사학위논문 공공기관기관장의전문성이 조직의성과에미치는영향 년 월 서울대학교행정대학원 행정학과행정학전공 유진아

2015

내지2도작업

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

활력있는경제 튼튼한재정 안정된미래 년세법개정안 기획재정부


CD 2117(121130)



목 차 Ⅰ


항목

배경 구분 주요내용 2014 년 5 월유럽사법재판소는 잊혀질권리 를인정하는판결로, 구글의 과도한개인정보수집이개인인권과충돌한다는논란촉발 2014 년초프랑스 스페인은구글의개인정보수집정책이사생활보 호규정에위반한다며, 각각벌금 15 만 90만유로부과 구글 아동포르노사진을전송한

목차 < 요약 > Ⅰ. 국내은행 1 1. 대출태도 1 2. 신용위험 3 3. 대출수요 5 Ⅱ. 비은행금융기관 7 1. 대출태도 7 2. 신용위험 8 3. 대출수요 8 < 붙임 > 2015 년 1/4 분기금융기관대출행태서베이실시개요

2016년 신호등 1월호 내지(1219).indd


( 제 20-1 호 ) '15 ( 제 20-2 호 ) ''16 '15 년국제개발협력자체평가결과 ( 안 ) 16 년국제개발협력통합평가계획 ( 안 ) 자체평가결과반영계획이행점검결과 ( 제 20-3 호 ) 자체평가결과 국제개발협력평가소위원회

210 법학논고제 50 집 ( )

Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인


Microsoft Word - 4장_처짐각법.doc

개인정보 비식별화에 대한 적정성 자율평가 안내서

실험 5

주식회사조비는 ( 이하 회사 라한다 ) 고객님의개인정보보호를모든업무절차의필수요소로 고려하고있으며, 개인정보보호법등관련법령상의개인정보보호규정을중시하고이를준수하 기위하여항상노력하는자세를견지하고있습니다. 회사는고객님의개인정보보호및권익을보호하고개인정보와관련한고객님의고충을원활하

내지(교사용) 4-6부

화장품독성시험동물대체시험법가이드라인 (I) 독성평가연구부특수독성과

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

한국의 양심적 병역거부


Microsoft PowerPoint 지성우, 분쟁조정 및 재정제도 개선방향

내부정보관리규정

해설서-앞(웹사이트개발운영을위한개인정보안내서)

Microsoft PowerPoint 산업전망_통장전부_v9.pptx

제공, 4대보험등법정보험의가입과근로기준법기타고용관계관련법령의준수, 균등한처우및기회제공, 보훈대상자확인및처우제공, 외국인근로자관련법령준수등회사에부과되는법적ㆍ행정적의무준수 E. 보안유지, 향상및점검 F. 향후회사영업의전부또는일부양도 ( 회사가포함된그룹의영업이양도되는경우포함

최종보고서-2011년_태양광등_FIT_개선연구_최종.hwp

- 2 - 장하려는것임. 주요내용 가. 기획재정부장관은공기업 준정부기관임원임명에양성평등을실현하기위하여특정성별이임원정수의 100분의 70을초과되지아니하도록하는지침을정하되, 그비율을 2018년부터 2021년까지는 1 00분의 85, 2022년부터 2023년까지는 100분의

슬라이드 1

09³»Áö

교육학석사학위논문 윤리적입장에따른학교상담자의 비밀보장예외판단차이분석 년 월 서울대학교대학원 교육학과교육상담전공 구승영

< 차례 > Ⅰ. 조사개요 1 Ⅱ. 통계의작성목적및이용 6 Ⅲ. 조사설계 12 Ⅳ. 자료수집 50 Ⅴ. 행정자료활용 87 Ⅵ. 자료처리 91 Ⅶ. 통계추정및분석 99 Ⅷ. 통계공표관리및이용자서비스 115 Ⅸ. 통계기반및개선 132 Ⅹ. 참고문헌 141

대한주택보증 ( 주 ) 대한주택보증

이동전화요금체계개선방안(인쇄본).hwp

조사보고서 구조화금융관점에서본금융위기 분석및시사점

- 2 -

OCW_C언어 기초


안전확인대상생활화학제품지정및안전 표시기준 제1조 ( 목적 ) 제2조 ( 정의 )

Transcription:

개인정보비식별조치가이드라인 - 비식별조치기준및지원 관리체계안내 - 국민을즐겁게 010-4***-9 *** 042**** * *** O 9445-****-3***-**** 29****-* *-******

빅데이터, IoT( 사물인터넷 ) 등새로운 IT 기술과융합산업의출현은 세계최고수준의 IT강국으로자리매김한우리나라에게또다른도약의기회가되고있으나, 한편으로그러한기술활용과정에서발생할수있는개인정보침해우려는신산업발전과개인정보의보호를동시에조화롭게모색해야하는과제를제기하고있습니다. 이에국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부등관계부처가합동으로현행개인정보보호법령의틀내에서빅데이터가안전하게활용될수있도록하는데필요한개인정보의비식별조치기준과비식별정보의활용범위등을명확히제시함으로써기업의불확실성을제거하여기업투자와산업발전을도모하는한편, 국민의개인정보인권보호에도소홀함이없도록하고자합니다. 아울러, 이가이드라인에따라정보주체를알아볼수없도록비식별조치를 적정하게한비식별정보는개인정보가아닌것으로추정되며, 따라서빅데이터 분석등에활용이가능합니다. 다만, 비식별정보도기술발전, 데이터증가등에따른재식별가능성이있음을 고려하여재식별방지를위한관리적 기술적안전조치등을통해안전하게 활용되고관리되어야함을알려드립니다. 2016. 6. 30. 관계부처합동

개인정보비식별조치가이드라인 - 비식별조치기준및지원 관리체계안내 - Contents 추진배경 2 비식별조치기준 3 1. 조치개요 3 2. 단계별조치기준 4 지원및관리체계 17 1. 개인정보비식별조치지원 17 2. 전문기관을통한기업간정보집합물결합지원 18 3. 재식별시법적제재 21 참고 참고 1 비식별정보의산업적활용 ( 예시 ) 24 참고 2 국내외동향 26 참고 3 개인정보비식별조치방법 30 참고 4 비식별조치적정성평가단세부평가수행방법 42 부록 부록 1 개인정보보호관련법령통합해설서 51 부록 2 질의및응답 (Q&A) 61

개인정보비식별조치가이드라인 - 비식별조치기준및지원 관리체계안내 - 4

추진배경 비식별조치기준 지원및관리체계 개인정보비식별조치가이드라인비식별조치기준및지원 관리체계안내 5

Ⅰ 추진배경 빅데이터, IoT 등 IT 융합기술발전으로데이터이용수요가급증함에따라미국 영국등주요선진국은데이터산업활성화를위한정책추진중이에빅데이터활용에필요한비식별조치기준 절차 방법등을구체적으로안내하여안전한빅데이터활용기반마련과개인정보보호강화를도모 1 정부 3.0 및빅데이터활용확산에따른데이터활용가치증대 공공정보개방 공유는투명하고효율적인정부운영에, 빅데이터활용은과학적정책집행및맞춤형서비스제공에필수적인수단특히, 빅데이터분석, IoT 기술등을통한새로운서비스창출과신산업활성화에데이터의활용가치증대 2 개인정보보호강화에대한사회적요구지속 크고작은개인정보유출사고가지속되어개인정보보호정책을강화해야한다는사회적요구가계속다양한데이터활용을필요로하는새로운산업과기술발전으로개인정보침해위험도증가추세 3 보호와활용 을동시에모색하는세계적정책변화에적극대응 미국 영국등주요선진국은개인정보침해가능성을최소화하면서데이터산업활성화를위한정책추진중사생활침해방지를위한안전장치마련과동시에비식별조치된정보는산업적으로활용할수있도록구체적인가이드제시필요 2 개인정보비식별조치가이드라인

Ⅱ 비식별조치기준 1 조치개요 본가이드라인은개인정보를비식별조치하여이용또는제공하려는사업자등이준수하여야할조치기준을제시한것임 통계법등관련법령에따라개인정보를수집 이용하는경우에는당해법령에따라처리 단계별조치사항 1 ( 사전검토 ) 개인정보에해당하는지여부를검토후, 개인정보가아닌것이명백한경우법적규제없이자유롭게활용 (4쪽참조 ) 2 ( 비식별조치 ) 정보집합물 ( 데이터셋 ) 에서개인을식별할수있는요소를전부또는일부삭제하거나대체하는등의방법을활용, 개인을알아볼수없도록하는조치 (5~8쪽참조 ) 3 ( 적정성평가 ) 다른정보와쉽게결합하여개인을식별할수있는지를 비식별조치적정성평가단 을통해평가 (9~13쪽참조 ) 4 ( 사후관리 ) 비식별정보안전조치, 재식별가능성모니터링등비식별정보활용과정에서재식별방지를위해필요한조치수행 (14~16쪽참조 ) 비식별조치및사후관리절차 1 단계 ( 사전검토 ) 2 단계 ( 비식별조치 ) 3 단계 ( 적정성평가 ) 4 단계 ( 사후관리 ) 개인정보 ( 식별정보 ) 비식별조치 ( 개인식별요소제거 ) 비식별적정성평가 (K- 익명성 ) YES( 적정 ) 비식별정보 NO( 부적정 ) 그자체로특정개인을알아볼수있는정보 ( 다른정보와쉽게결합하여특정개인을알아볼수있는정보포함 ) 개인정보가아닌것으로추정 ( 단, 다른정보와결합하여재식별되지않도록필수적인관리조치는이행 ) Ⅱ. 비식별조치기준 3

2 단계별조치기준 2-1 사전검토단계 : 개인정보해당여부검토 빅데이터분석등을위해정보를처리하려는사업자등은해당정보가개인정보인지여부에대해아래기준을참조하여판단해당정보가개인정보에해당하지않는것이명백한경우에는별도조치없이빅데이터분석등에활용가능 개인정보에해당한다고판단되는경우다음단계의조치필요 < 참고 > 개인정보해당여부판단기준 가. 개인정보보호법등관련법률에서규정하고있는개인정보의개념은다음과같으며, 이에해당하지않는경우에는개인정보가아님 나. 개인정보는 ⅰ) 살아있는 ⅱ) 개인에관한 ⅲ) 정보로서 ⅳ) 개인을알아수있는정보이며, 해당정보만으로는특정개인을알아볼수없더라도 ⅴ) 다른정보와쉽게결합하여알아볼수있는정보를포함 ⅰ) ( 살아있는 ) 자에관한정보이어야하므로사망한자, 자연인이아닌법인, 단체또는사물등에관한정보는개인정보에해당하지않음 ⅱ) ( 개인에관한 ) 정보이어야하므로여럿이모여서이룬집단의통계값등은개인정보에해당하지않음 ⅲ) ( 정보 ) 의종류, 형태, 성격, 형식등에관하여는특별한제한이없음 ⅳ) ( 개인을알아볼수있는정보 ) 이므로특정개인을알아보기어려운정보는개인정보가아님 여기서 알아볼수있는 의주체는해당정보를처리하는자 ( 정보의제공관계에있어서는제공받은자를포함 ) 이며, 정보를처리하는자의입장에서개인을알아볼수없다면그정보는개인정보에해당하지않음 ⅴ) ( 다른정보와쉽게결합하여 ) 란결합대상이될다른정보의입수가능성이있어야하고, 또다른정보와의결합가능성이높아야함을의미 즉, 합법적으로정보를수집할수없거나결합을위해불합리한정도의시간, 비용등이필요한경우라면 쉽게결합 할수있는상태라고볼수없음 자세한내용은부록 개인정보보호관련법령통합해설서 참조 4 개인정보비식별조치가이드라인

2-2 비식별조치단계 : 비식별조치기법적용 식별자 (Identifier) 조치기준 정보집합물에포함된식별자 * 는원칙적으로삭제조치 식별자 란개인또는개인과관련한사물에고유하게부여된값또는이름 다만, 데이터이용목적상반드시필요한식별자는비식별조치후활용 < 예시 > 식별자 고유식별정보 ( 주민등록번호, 여권번호, 외국인등록번호, 운전면허번호 ) 성명 ( 한자 영문성명, 필명등포함 ) 상세주소 ( 구단위미만까지포함된주소 ) 날짜정보 : 생일 ( 양 / 음력 ), 기념일 ( 결혼, 돌, 환갑등 ), 자격증취득일등 전화번호 ( 휴대전화번호, 집전화, 회사전화, 팩스번호 ) 의료기록번호, 건강보험번호, 복지수급자번호 통장계좌번호, 신용카드번호 각종자격증및면허번호 자동차번호, 각종기기의등록번호 & 일련번호 사진 ( 정지사진, 동영상, CCTV 영상등 ) 신체식별정보 ( 지문, 음성, 홍채등 ) 이메일주소, IP 주소, Mac 주소, 홈페이지 URL 등 식별코드 ( 아이디, 사원번호, 고객번호등 ) 기타유일식별번호 : 군번, 개인사업자의사업자등록번호등 美 HIPAA 프라이버시규칙 을참고하여작성 Ⅱ. 비식별조치기준 5

속성자 (Attribute value) 조치기준정보집합물에포함된속성자 * 도데이터이용목적과관련이없는경우에는원칙적으로삭제 속성자 란개인과관련된정보로서다른정보와쉽게결합하는경우특정개인을알아볼수도있는정보 - 데이터이용목적과관련이있는속성자중식별요소가있는경우에는가명처리, 총계처리등의기법을활용하여비식별조치희귀병명, 희귀경력등의속성자는구체적인상황에따라개인식별가능성이매우높으므로엄격한비식별조치필요 < 예시 > 속성자 성별, 연령 ( 나이 ), 국적, 고향, 시 군 구명, 우편번호 개인특성 병역여부, 결혼여부, 종교, 취미, 동호회 클럽등 흡연여부, 음주여부, 채식여부, 관심사항등 혈액형, 신장, 몸무게, 허리둘레, 혈압, 눈동자색깔등 신체특성 신체검사결과, 장애유형, 장애등급등 병명, 상병 ( 傷病 ) 코드, 투약코드, 진료내역등 신용특성 세금납부액, 신용등급, 기부금등 건강보험료납부액, 소득분위, 의료급여자등 경력특성 학교명, 학과명, 학년, 성적, 학력등 경력, 직업, 직종, 직장명, 부서명, 직급, 전직장명등 전자적특성 쿠키정보, 접속일시, 방문일시, 서비스이용기록, 접속로그등 인터넷접속기록, 휴대전화사용기록, GPS 데이터등 가족특성 배우자 자녀 부모 형제등가족정보, 법정대리인정보등 6 개인정보비식별조치가이드라인

비식별조치방법가명처리, 총계처리, 데이터삭제, 데이터범주화, 데이터마스킹등여러가지기법을단독또는복합적으로활용 가명처리 기법만단독활용된경우는충분한비식별조치로보기어려움 각각의기법에는이를구현할수있는다양한세부기술이있으며, 데이터이용목적과기법별장 단점등을고려하여적절한기법 세부기술을선택 활용 ( 참고 3) 개인정보비식별조치방법 참조 비식별조치가완료되면다음단계의조치필요 < 예시 > 비식별조치방법 처리기법예시세부기술 가명처리 (Pseudonymization) 홍길동, 35세, 서울거주, 한국대재학 임꺽정, 30대, 서울거주, 국제대재학 1 휴리스틱가명화 2 암호화 3 교환방법 총계처리 (Aggregation) 임꺽정 180cm, 홍길동 170cm, 이콩쥐 160cm, 김팥쥐 150cm 물리학과학생키합 : 660cm, 평균키 165cm 4 총계처리 5 부분총계 6 라운딩 7 재배열 데이터삭제 (Data Reduction) 주민등록번호 901206-1234567 90년대생, 남자 개인과관련된날짜정보 ( 합격일등 ) 는연단위로처리 8 식별자삭제 9 식별자부분삭제 10 레코드삭제 11 식별요소전부삭제 데이터범주화 (Data Suppression) 홍길동, 35 세 홍씨, 30~40 세 12 감추기 13 랜덤라운딩 14 범위방법 15 제어라운딩 데이터마스킹 (Data Masking) 홍길동, 35세, 서울거주, 한국대재학 홍, 35세, 서울거주, 대학재학 16 임의잡음추가 17 공백과대체 Ⅱ. 비식별조치기준 7

< 예시 > 비식별조치기법적용 주민등록번호성별입원날짜연령병명 770914-1234567 남 2015/06/23 39 독감 850930-1234567 남 2015/10/01 31 독감 원본데이터 710119-2345678 여 2014/01/21 45 고혈압 770619-2345678 여 2014/09/23 39 고혈압 830425-1234567 남 2015/04/16 33 간염 860804-2345678 여 2014/11/11 30 간염 1 데이터삭제 ( 주민등록번호 ) 주민등록번호 성별 입원날짜 연령 병명 남 2015/06/23 39 독감 남 2015/10/01 31 독감 여 2014/01/21 45 고혈압 여 2014/09/23 39 고혈압 남 2015/04/16 33 간염 비식별데이터 여 2014/11/11 30 간염 2 데이터마스킹 ( 주민등록번호, 입원날짜 ), 총계처리 ( 평균연령 ) 주민등록번호 성별 입원날짜 연령 병명 7*****-1****** 남 2015/**/** 35 독감 8*****-1****** 남 2015/**/** 35 독감 7*****-2****** 여 2014/**/** 35 고혈압 7*****-2****** 여 2014/**/** 35 고혈압 8*****-1****** 남 2015/**/** 35 간염 8*****-2****** 여 2015/**/** 35 간염 8 개인정보비식별조치가이드라인

2-3 적정성평가단계 : k- 익명성모델활용 적정성평가필요성 비식별조치가충분하지않은경우공개정보등다른정보와의결합, 다양한추론기법등을통해개인이식별될우려 개인정보보호책임자책임하에외부전문가가참여하는 비식별조치적정성평가단 ( 이하, 평가단 ) 을구성, 개인식별가능성에대한엄격한평가필요 적정성평가시프라이버시보호모델중 k- 익명성을활용 - k- 익명성은최소한의평가수단이며, 필요시추가적인평가모델 (l- 다양성, t- 근접성 ) 활용 ( 참고 3) 개인정보비식별조치방법 참조 넷플릭스사례 (2006, 미국 ) 온라인영화대여회사인넷플릭스 (Netflix) 는고객의기호에맞는영화를추천하는 알고리즘의정확성을높이기위해경연대회를개최 - 1999년 12월부터 2005년 12월까지 50만명의이용자들이영화에대한평점을내린 1억건의시청이력데이터를공개 사용자를식별할수있는이름등은삭제하였으나, 데이터처리내용을연결하기위해독특한식별자, 영화에대한평가내용, 평가일시등을공개 텍사스대학의한그룹이넷플릭스사가공개한시청이력데이터와영화정보사이트 IMDb(Internet Movie Database) 에공개된사용자리뷰를결합하여일부개인을식별해냄 IMDb 는웹사이트상에서아이디와평가점수를게시 미국연방거래위원회 (FTC) 가프라이버시에관한문제를지적하여제 2 회경연은중지됨 Ⅱ. 비식별조치기준 9

적정성평가절차 1 ( 기초자료작성 ) 개인정보처리자는적정성평가에필요한데이터명세, 비식별조치현황, 이용기관의관리수준등기초자료작성 2 ( 평가단구성 ) 개인정보보호책임자가 3명이상으로평가단을구성 ( 외부전문가는과반수이상 ) 3 ( 평가수행 ) 평가단은개인정보처리자가작성한기초자료와 k-익명성모델을활용하여비식별조치수준의적정성을평가 4 ( 추가비식별조치 ) 개인정보처리자는평가결과가 부적정 인경우평가단의의견을반영하여추가적인비식별조치수행 5 ( 데이터활용 ) 비식별조치가적정하다고평가받은경우에는빅데이터분석등에이용또는제공이허용 비식별조치에대한적정성평가절차 개인정보처리자 평가단 1 기초자료작성 개인정보처리자는평가대상데이터명세, 비식별조치현황, 이용기관의관리수준등적정성평가에필요한기초자료를작성 10 개인정보비식별조치가이드라인

비식별조치적정성평가에필요한기초자료 구분기초자료비고 데이터명세 데이터특성 ( 크기, 생성및관리환경등 ), 세부항목별명세, 원본예시 비식별조치된평가대상데이터셋및세부항목별명세 필수사항 필수사항 비식별조치현황 이용기관의관리수준 비식별조치에적용한기법 세부기술 평가대상데이터셋에대한 k- 익명성값산출결과 데이터이용기관의이용목적및방법, 이용기간, 데이터접근가능자현황등활용에관한사항 데이터를제공하는경우데이터를제공받는방법및데이터보호를위한일련의조치에대한현황 데이터이용및제공과관련이있는계약서또는협약서사본 계약서가없는경우그사유제시 데이터이용기관에서보유하거나, 보유할수있는개인정보관련데이터 ( 세부내용 ) 에관한사항 데이터이용기관의개인정보보호또는정보보호관련인증서사본 필수사항필수사항필수사항필수사항필수사항선택사항선택사항 2 평가단구성평가단은해당기관의개인정보보호책임자가 3명이상의관련분야전문가로구성 ( 외부전문가를과반수이상으로위촉 *) 외부전문가위촉시각분야별전문기관에서운영하는전문가풀에서법률전문가, 비식별조치기법전문가를각 1명이상활용 (17~18쪽참조 ) 평가단은데이터이용목적과직접적인이해관계가없는자로구성평가단의단장은외부전문가중에서호선으로선출하며, 평가단운영과관련된전반적인사항을관장평가단은착수회의를포함해서최소 2회이상운영평가단은필요한경우비식별조치관련규정마련및보완등권고 - 컴퓨팅환경의발전, 이용데이터특성, 결합가능한정보의입수가능성등을고려, 필요한경우 1년, 3년등재검토일정을제시 Ⅱ. 비식별조치기준 11

3 평가수행 평가단은개인정보처리자가제공한기초자료와 k-익명성모델등을활용하여비식별수준의적정성여부평가 적정성평가수행방법 비식별의료정보공개관리가이드라인 ( 캐나다, 2010.10 월 ) 을참조하여절차마련 a ( 사전검토 ) 개인정보처리자가제출한기초자료와인터뷰등을통해평가대상데이터의개인식별요소포함여부, 데이터이용목적, 비식별조치기법등검토 b ( 재식별시도가능성 ) 데이터를이용또는제공받는자의재식별의도와능력, 개인정보보호수준등재식별시도가능성분석 c ( 재식별시영향분석 ) 데이터가의도적또는비의도적으로재식별될경우정보주체등에게미칠수있는영향분석 d ( 계량분석 ) 개인정보처리자가제출한 k값의정확성여부검증 e ( 평가기준값결정 ) 평가단에서 재식별시도가능성, 재식별시영향, 계량분석 결과와데이터이용목적등을종합적으로고려하여평가기준값 (k-익명성값 ) 결정 12 개인정보비식별조치가이드라인

< 미국교육부 프라이버시보호기술지원센터 의안전도기준 > k=3 은안전도를보장하는최소한의수준 5 k 10 은안전도가높은수준 k-익명성값은데이터의제공을합법적으로허용하기위해제시된기준 f ( 적정성평가 ) 평가기준값 과 계량분석 에서산출된값을비교하여비식별조치의 적정성여부를최종결정 계량분석결과의 k 값이 4 이고평가기준값이 3 인경우 적정 으로평가 계량분석결과의 k 값이 4 이고평가기준값이 6 인경우 부적정 으로평가 - 적정 한경우 데이터이용및제공가능 - 부적정 한경우 추가적인비식별조치및재평가수행 4 추가비식별조치개인정보처리자는평가결과가 부적정 인경우평가단의의견을반영하여해당데이터에대한비식별조치를추가실시추가비식별조치가완료된경우에는평가단에비식별조치가적정히수행되었는지에대한재평가를요청 5 데이터활용비식별조치가적정하다고 ( 재 ) 평가받은경우에는해당데이터를빅데이터분석등에이용하거나제3자에게제공이허용불특정다수에게공개하는것은식별위험이크므로원칙적으로금지 공공데이터의제공및이용활성화에관한법률 등법령에따른공개는제외 데이터이용목적을달성하거나해당데이터가불필요하게된경우에는지체없이파기조치데이터활용과정에서도아래의사후관리단계의조치사항을준수하여야비식별정보로서유효하게활용가능 Ⅱ. 비식별조치기준 13

2-4 사후관리단계 1 비식별정보안전조치비식별조치된정보가유출되는경우다른정보와결합하여식별될우려가있으므로필수적인보호조치이행 - ( 관리적보호조치 ) 비식별정보파일에대한관리담당자지정, 비식별조치관련정보공유금지, 이용목적달성시파기등의조치가필요함 - ( 기술적보호조치 ) 비식별정보파일에대한접근통제, 접속기록관리, 보안프로그램설치 운영등의조치필요 비식별정보에대한관리적 기술적보호조치 구분 비식별정보보호조치 1 비식별정보파일관리담당자지정 2 비식별정보파일대장관리 관리적보호조치 3 원본정보관리부서 ( 기관 ) 와비식별정보관리부서 ( 기관 ) 간비식별조치관련정보공유금지 4 이용목적달성시지체없이파기 5 비식별정보파일유출시대응계획수립 기술적보호조치 6 비식별정보파일에대한접근권한관리및접근통제 7 비식별정보보관시스템에대한접속기록관리 8 악성코드방지등을위한보안프로그램설치ㆍ운영 비식별정보유출시보호조치 - 유출원인분석및추가유출방지를위한관리적 기술적보호조치 - 유출된비식별정보의회수 파기 14 개인정보비식별조치가이드라인

2 재식별가능성모니터링 비식별정보를이용하거나제3자에게제공하려는사업자등은해당정보의재식별가능성을정기적으로모니터링을해야함모니터링결과, 다음의점검항목중어느하나에해당되는경우에는추가적인비식별조치강구 < 예시 > 재식별가능성모니터링시점검항목 구분 점검항목 비식별조치된정보와연계하여재식별우려가있는추가적인정보를수집하였거나제공받은경우 내부요인의변화 데이터이용과정에서생성되는정보가비식별정보와결합해서새로운정보가생성되는경우 이용부서에서비식별정보에대한비식별수준을당초보다낮추어달라고하는요구가있는경우 신규또는추가로구축되는시스템이비식별정보에대한접근을관리 통제하는보안체계에중대한변화를초래하는경우 이용중인데이터에적용된비식별조치기법과유사한방법으로비식별조치한사례가재식별되었다고알려진경우 외부환경의변화 이용중인데이터에적용된비식별기법과기술을무력화하는새로운기술이등장하거나공개된경우 이용중인데이터와새롭게연계가능한정보가출현하거나, 공개된것으로알려진경우 비식별정보를제공 위탁한자가재식별가능성을발견한경우에는이를즉시그 정보를처리하고있는자에게통지하고처리중단요구및해당정보를회수 파기 하는등필요한조치를하여야함 Ⅱ. 비식별조치기준 15

3 비식별정보제공및위탁계약시준수사항 비식별된정보를제3의기관에제공하거나, 처리위탁하는경우재식별위험관리에관한내용을계약서에포함 - ( 재식별금지 ) 비식별정보를제공받거나처리를위탁받은사업자등은다른정보와결합을통해재식별시도가금지됨을명시 - ( 재제공또는재위탁제한 ) 비식별정보를제공하거나처리를위탁하는자는재제공또는재위탁가능범위를정하여계약서에명시 - ( 재식별위험시통지 ) 재식별이되거나재식별가능성이높아지는상황이발생한경우에는데이터처리중지및비식별정보제공자또는위탁자에게통지의무등명시 계약서특수조건반영내용사례 제00조 ( 재식별금지 ) 1 은 으로부터제공받은비식별정보를 한목적으로안전하게이용하고, 이를이용해서개인을재식별하기위한어떠한행위도하여서는아니된다. 2 으로부터제공받은정보를 이제3자에게제공하거나처리를위탁하고자하는경우에는사전에 의동의를얻어야하며, 이경우 는재식별방지를위해필요한조치를하여야한다. 3 은 으로부터제공받은정보가재식별되거나재식별가능성이현저하게높아지는상황이발생하면즉시해당정보의처리를중단하고관련사항을 에게알리며, 필요한협조를하여야한다. 4 은제1항에서제3항까지의사항을이행하지않아발생하는모든결과에대해형사및민사상책임을진다. 비식별정보를제공받은기업은, 제공한기업은 로표시 4 재식별시조치요령비식별정보가재식별된경우에는신속하게그정보의처리를중단하고해당개인정보가유출되지않도록필요한조치를하여야함재식별된정보는즉시파기조치하되, 해당정보를다시활용하려면비식별조치절차를다시거쳐야함 16 개인정보비식별조치가이드라인

Ⅲ 지원및관리체계 1 개인정보비식별조치지원 지원필요성비식별조치를통해개인정보를안전하게활용할수있는지원체계필요 - 개인정보처리자가수행하는비식별조치적정성평가지원등비식별조치에필요한컨설팅과전문교육등을통해중소기업및스타트업의빅데이터활용지원인공지능, 새로운결합기술출현등에따른재식별위험에적극대응 지원체계및지원내용 분야별전문기관 각소관부처책임하에분야별전문기관을정하여운영 분야별전문기관은한국인터넷진흥원, 한국신용정보원, 금융보안원, 사회보장정보원, 한국정보화진흥원중에서소관부처가공문으로지정 공표하여운영하고필요시추가지정가능 분야별전문기관의역할 - 비식별조치적정성평가단풀 ( 비식별조치기법전문가, 법률전문가등 ) 구성 운영 - 산업별로필수적인비식별조치이행권고 (k-익명성수치등 ) 의료, 복지, 교육, 금융 신용, 통신, 유통, 공공 기타분과 - 비식별조치적정성실태점검등 16년 8월중분야별전문기관지정및운영개시 Ⅱ. 비식별조치기준 17

개인정보비식별지원센터 개인정보보호전담기관인한국인터넷진흥원 (KISA) 에 개인정보비식별지원센터 설치 운영 개인정보비식별지원센터의역할 - 분야별전문기관운영가이드라인마련및실태점검 - 분야별전문기관실무협의회운영 - 분야별평가단풀관리및교육, 중소기업및스타트업컨설팅 교육 - 개인정보비식별조치가이드라인 업데이트및활용지원 - 국내외관련정책 기술동향조사및연구등 16 년 8 월중설치및운영개시 2 전문기관을통한기업간정보집합물결합지원 지원필요성 빅데이터분석에활용하기위해서로다른사업자가보유하고있는정보집합물을결합하는경우개인별로부여된식별자가매칭키로사용 - 이경우, 정보주체를알아볼수있는식별자그자체를매칭키로사용하는것은현행법위반소지 ( 개인정보보호법제18조, 개인정보의목적외이용 제공제한 ) 따라서, 정보집합물간결합 분석을위해서는결합과정에서만임시로매칭키역할을하는 임시대체키 의활용이필요 임시대체키를활용한결합을허용하는경우에도무분별한결합을통한개인정보침해소지를방지하기위해전문기관 ( 제3의공공기관 ) 에서만결합을하도록하는등지원및관리체계필요 18 개인정보비식별조치가이드라인

지원및관리체계 기업간정보집합물결합지원은분야별전문기관에서수행 전문기관선택기준 - 산업내기업간결합은해당분야전문기관에서결합지원 - 이종산업간결합은대량의정보집합물을결합하고자하는기업이속해있는분야별전문기관에서수행 - 당해산업을지원해주는전문기관이없는경우에는한국인터넷진흥원또는한국정보화진흥원에서지원 전문기관의주요역할및책임 - 임시대체키를활용, 기업간정보집합물결합지원 - 업무처리전반에있어개인을식별하려는일체의시도금지 - 정보집합물결합및정보제공완료후모든정보지체없이파기 전문기관에대한세부이용기준은각부처에서마련 시행 정보집합물결합절차및유의사항 결합절차 1 A 社와 B 社가같은알고리즘을적용하여식별자를임시대체키로전환하고, 결합대상정보집합물도비식별조치및적정성평가수행 임시대체키 생성시동대체키에잡음을추가하거나, 2개이상의식별자를활용할경우식별자중일부를조합하여불법적복호화또는원본정보와결합시에도개인을식별할수없도록조치 2 비식별조치된정보를전문기관에제공및결합요청 이경우전문기관은제공받은비식별정보를통해특정개인식별불가 3 임시대체키를활용, 전문기관에서결합수행 Ⅱ. 비식별조치기준 19

4 임시대체키삭제 5 결합 DB를필요한기업에게제공 ( 전문기관은제공후파기조치 ) 임시대체키가삭제된결합 DB가제공되어 A와 B도결합 DB를통해특정개인의식별이어려움 임시대체키를통한기업간정보집합물결합절차 임시대체키 임시대체키 임시대체키 임시대체키 임시대체키 결합시유의사항 A 와 B 는분야별전문기관과임시대체키생성알고리즘에대한정보공유금지 임시대체키생성을위해주민등록번호를활용하는것은금지 ( 개인정보보호법제24조의2, 주민등록번호처리의제한 ) 다른정보와의결합을위해임시대체키를활용하는경우, k-익명성값은임시대체키를제외하고산출 * 임시대체키를제외하지않으면, k=1 로산출되어객관적평가불가 전문기관은결합과정에서재식별발생시해당정보를즉시파기 결합 DB 를제공받은기관은이용전에반드시적정성평가수행 20 개인정보비식별조치가이드라인

3 재식별시법적제재 형사처벌 비식별정보를재식별하여이용하거나제 3 자에게제공한경우 예시 1 연구자에게비식별정보를제공하면서비식별조치요령을공유하여결과적으로개인정보를목적외로제공한경우 예시 2 이름, 생년월일, 전화번호등주요식별정보를공개된알고리즘으로암호화하는등쉽게재식별될수있도록하여제 3 자에게제공한경우 예시 3 비식별정보를의도적으로재식별하여보관하고있거나 1:1 마케팅등에활용한경우 - 개인정보의목적외이용 제공에해당 ( 개인정보보호법제18조제1항위반, 정보통신망법 * 제24조및제24조의2 위반, 신용정보법 ** 제32조및제33조위반 ) 정보통신망이용촉진및정보보호등에관한법률, 신용정보의이용및보호에관한법률 - 5년이하의징역또는 5천만원이하의벌금 정보통신망법적용사업자는위반행위관련매출액의 3% 이하과징금이추가부과될수있음 행정처분 비식별정보를활용하여재식별하고도즉시파기조치하지않고보관하고있는경우 예시비식별정보를제공받은자가업무처리과정에서특정개인을재식별하였으나재식별된정보를즉시파기하지않고보관하고있는경우 - 정보주체의동의없이개인정보를수집한경우에해당 ( 개인정보보호법제15조제1항위반, 정보통신망법제22조제1항위반, 신용정보법제15조제2항위반 ) - 5천만원이하의과태료가부과 정보통신망법적용사업자는 5년이하징역또는 5천만원이하벌금형에처해질수있으며위반행위관련매출액의 3% 이하과징금이추가부과될수있음 Ⅱ. 비식별조치기준 21

개인정보비식별조치가이드라인 - 비식별조치기준및지원 관리체계안내 -

참고 1. 비식별정보의산업적활용 ( 예시 ) 2. 국내외동향 3. 개인정보비식별조치방법 4. 비식별조치적정성평가단세부평가수행방법

참고 1 비식별정보의산업적활용 ( 예시 ) 기업내부에서비식별정보활용 업무처리과정에서수집한고객정보, 거래내역, 민원처리내역등개인정보가포함된각종자료를비식별조치한후시장조사, 신상품및서비스개발, 마케팅전략수립, 업무프로세스개선, 위험관리등다양한용도로분석및활용가능다만, 개인식별을전제로하는 1:1 마케팅용도로사용할수없으며재식별시도는금지 ➊ 공사는고속도로이용차량빅데이터분석을통해고객서비스개선전략수립 공사는최근 5년간톨게이트진출입데이터를비식별조치한후월별 시간대별차량평균속도, 상습정체구간, 사고구간및원인등빅데이터분석을실시하여도로구조개선및휴게공간추가설치등고객서비스개선 ➋ 통신사는무선사업부고객정보를비식별조치하여단말기판매부서에서활용 단말기판매부서는요금제별단말기교환주기및단말기선호가격을분석하여단말기판촉전략을수립 ➌ 보험사는보험사기사례정보를비식별조치한후보험사기방지시스템개발 동시스템을통해보험계약체결, 유지, 보험금지급등거래전단계에서보험사기징후를자동으로추출 예방함으로서, 보험사기발생률및보험관리비용절감 다른기업으로부터비식별정보를제공받아활용 본가이드라인에따라비식별조치한정보는제 3 자에게제공할수있으며, 당해비식별정보를제공받은기업은이를시장조사, 신상품및서비스개발, 마케팅전략수립등다양한용도로분석및활용가능다만, 이경우재식별금지, 재식별위험시통지등의내용을해당비식별정보제공과관련한계약서에반드시포함하여야하며, 제공받은정보또한개인식별을전제로하는 1:1 마케팅용도로사용할수없음 24 개인정보비식별조치가이드라인

➊ 증권은 은행, 보험등에서비식별조치한자료를제공받아신상품 개발에활용 은행, 보험등은보유하고있는다양한신용정보를비식별조치한후 증권에게제공 증권은제공받은자료를빅데이터분석하여 로보어드바이저, ISA 등다양한신상품개발에활용하고국내및해외시장개척을추진 로보어드바이저 를통해개인이문의할경우온라인투자자문, 자산운용상담지원 ➋ 신생스타트업인 사가 은행으로부터비식별정보를제공받아새로운비즈니스모델개발에활용 은행은보유하고있는학력 연령 성별첫직장, 이직경로, 연봉등의정보를비식별조치하여신생기업인 사에제공 사는기존의헤드헌팅회사와차별화된 첫직장부터퇴직후까지커리어관리프로그램 을제공하는비즈니스모델을개발하여활용 ➌ 제약회사는 심사평가원으로부터제공받은비식별정보를 신약개발 연구에활용 심사평가원이특정질병환자의연령과성별에따른진료기록을충분히비식별조치한후, 제약회사에게제공 제약회사는해당정보를활용하여 병의발병원인및치유원인을분석하여신약을개발, 수입약품대비 20% 저렴한가격으로판매 ➍ 홈쇼핑은 카드사로부터구매금액상위 10% 고객의결제내역에대한 비식별정보를제공받아우수고객마케팅전략수립에활용 홈쇼핑과 카드사는고객전화번호와카드결제정보를각각복원되지않는알고리즘으로비식별조치하여 A전문기관에제공하고 A전문기관은두정보를결합한후, 홈쇼핑에게제공 비식별조치된고객의결제정보를통해 홈쇼핑은우수고객이선호하는물품을특정시간대에할인행사를실시하는마케팅전략수립 참고 25

참고 2 국내외동향 1 미국 일반동향개인정보보호에관한일반법이없으며, 개별법령에서제한하지않는한자유로운데이터의이용이보장 - 의료 교육등분야별로개인정보보호에관한개별법령운영중의료정보는 건강보험이전과책임에관한법 (HIPAA) 에따른 HIPAA 프라이버시규칙 에서비식별조치기준제시 비식별조치된의료정보는제한없이이용가능 경제적 임상적보건에대한건강정보기술법 (Health Information Technology for Economic and Clinical Health Act; HITECH Act) 에서는비식별조치된건강정보에대해프라이버시관련규제미적용 가족의교육적권리및프라이버시법 (Family Educational Rights and Privacy Act; FERPA) 은비식별조치된학생기록에대해별도의동의없이배포가능 (k-익명성모델활용 ) HIPAA 프라이버시규칙 (HIPAA Privacy Rule) 보호대상의료정보의비식별가이드 (Guidance on De-identification of Protected Health Information) 에따라비식별조치된의료정보를규제대상에서제외 - 비식별조치방법에따라 전면적규율면제 또는 부분적규율면제 방식적용 전면적규율면제 가적용되는비식별조치방법에는 전문가결정방식 과 세이프하버방식 이있음 - 전문가결정방식 은통계적, 과학적원칙과방법에대한지식과경험을보유한전문가가개인식별위험최소화방법적용 26 개인정보비식별조치가이드라인

구분 반복가능성 (Replicability) 데이터소스이용가능성 (Data Source Availability) 구별가능성 (Distinguishability) 개인위험평가시고려사항 설명특정개인과관련하여반복적으로계속되는정보 (eg, 생일등 ) 는개인식별위험이높다고판별 외부에많이공개되어있는정보는덜공개된정보보다상대적으로개인식별에활용될가능성이높음 특정인을구별할수있는정보 (eg, 주소정보 ) 는그렇지않은정보 ( 생년 ) 보다상대적으로더위험함 - 세이프하버방식 은이름, 주소정보등 18가지주요식별자 * 를제거하여개인식별이가능하지못하도록하는방식 18가지식별자 : 1이름 2주소정보 3개인과직접관련된날짜정보 ( 생일, 합격일등 ) 4전화번호 5팩스번호 6이메일주소 7사회보장번호 8의료기록번호 9건강보험번호 10계좌번호 11자격취득번호 12자동차번호 13각종장비식별번호 14URL정보 15IP주소 16생체정보 17전체얼굴사진과이와유사한이미지 18기타특이한식별번호또는코드 부분적규율면제 는위의 18가지식별자중 3 날짜정보, 18 기타식별번호또는코드 외의 16개식별자를제거한경우에적용 - 데이터제공자와제공받는자간에데이터이용및제공목적등을담은계약을체결하여진행 2 EU EU 동향 EU 역내개인정보보호를규율하는일반규정인 EU 개인정보보호지침 *(EU Data Protection Directive) 서문에서는익명화된 (Anonymized) 정보는동지침의규제대상이아니라고명시 지침은각회원국이국내법을제정 시행하는데적용되는가이드로서강제성은없음 지침에는가명처리된 (Pseudonymized) 정보는과학적연구, 역사연구, 통계목적으로사용가능함을명시 - 구체적인처리기준등자세한사항은회원국이정하도록함최근 EU에서단일한개인정보보호법 (General Data Protection Regulation; GDPR) 이 EU 의회를통과 ( 16.4.14., 2년후시행예정 ) - 기존지침의가명정보규정이법적구속력이있는 GDPR에명문화 - 다만, 가명정보를동의없이처리할수있는목적의범위가공익, 과학적연구, 역사연구, 통계목적으로일부변경 참고 27

영국사례영국정보보호커미셔너 (ICO) 는 EU 지침서문에근거하여 12년에 EU 최초로익명화규약 * 을출간 ICO, Anonymisation: managing data protection risk code of practice, 2012 - 요구되는익명화의정도는식별위험성이 0(zero) 수준 은아니나, 식별위험성이매우낮은 (remote) 수준이어야함을명시 식별위험성의판단기준으로 합리적가능성 (reasonably likely test) 기준을채택 - 식별의위험성이합리적으로가능할경우에는규제의대상이되는개인정보에해당하며이기준은 EU 지침과동일 3 일본 최근일본정부는 IT종합전략본부를중심으로개인정보의합리적활용을촉진하기위해개인정보보호법개정 ( 15.9월개정, 17.1월시행 ) - 개인정보의빅데이터활용확대를위해익명가공정보개념신설 - 익명가공정보는복원불가능도록안전조치를함을전제로정보주체의동의없이활용할수있도록허용 - 익명가공정보취급사업자 * 에게일정한기술적 관리적조치의무 ** 부여 특정의익명가공정보를전자장치를이용하여검색할수있도록체계적으로구성하여다른사업자에게판매또는제공하는자 복원불능정보작성, 정보누설방지, 정보항목공개, 제 3 자제공시공표, 식별행위금지, 안전조치의무등부담 일본정부는관계전문가와함께비식별가이드라인마련추진중 - 이와관련, 전문가들은 완전한익명화 는있을수없음을인정하고, 익명화의수준을단계별로구분 제시하는방안논의중 - 그중익명화수준을가장높도록조치하기위한방법으로 k-익명성모델을활용하는방안을검토하고있음 우리나라의경우에는 k- 익명성모델을기본적으로적용하고, 필요시추가적인평가모델인 l- 다양성모델과 t- 근접성모델까지적용 28 개인정보비식별조치가이드라인

4 우리나라 구분 공공정보개방 공유에따른개인정보보호지침 개인정보비식별화에대한적정성자율평가안내서 빅데이터개인정보보호가이드라인 빅데이터활용을위한개인정보비식별화기술활용안내서 발간 2013.9 2014.12 2014.12 2015.6 주관부처 행정자치부행정자치부방송통신위원회미래창조과학부 대상공공공공, 민간민간공공, 민간 목적 공공정보개방 공유등에따른개인정보보호조치요령안내 개인정보비식별화적정성평가, 재식별위험관리및조치요령안내 빅데이터관련개인정보보호법령적용방안설명 빅데이터활용을위한비식별화기술활용방법및관련법규안내 주요내용 (1 단계 ) 공공정보개방 공유근거확인 (2 단계 ) 개인식별요소제거 (3 단계 ) 개인식별가능성검토 (4 단계 ) 비식별기법및재식별가능성에관한주기적모니터링실시 개인정보가포함된정보는개인정보식별요소제거를통해개인을식별할수없는형태로정보를변경후이용 재식별위험에대한관리적조치및재식별시대응조치 공공정보개방 공유등에따른개인정보보호지침과유사한조치및프라이버시보호모델에따른검토를하도록함 공개된정보, 이용내역정보, 생성된정보는비식별화조치후처리 비식별화조치한경우이용자의동의없이수집 이용가능 비식별조치후저장시보호조치필요 비식별화조치된개인정보는이용자동의없이제 3 자제공가능 개인식별이가능한정보는삭제 다른정보와결합으로재식별될위험최소화및사후관리철저 가명처리, 총계처리, 데이터값삭제, 범주화, 데이터마스킹등 18 가지비식별화기술및적용사례제시 참고 29

참고 3 개인정보비식별조치방법 1 개요 일반적기법 : 개인식별요소삭제방법 처리기법예시세부기술 가명처리 (Pseudonymization) 총계처리 (Aggregation) 데이터삭제 (Data Reduction) 데이터범주화 (Data Suppression) 데이터마스킹 (Data Masking) 홍길동, 35 세, 서울거주, 한국대재학 임꺽정, 30 대, 서울거주, 국제대재학 임꺽정 180cm, 홍길동 170cm, 이콩쥐 160cm, 김팥쥐 150cm 물리학과학생키합 : 660cm, 평균키 165cm 주민등록번호 901206-1234567 90 년대생, 남자 개인과관련된날짜정보 ( 합격일등 ) 는연단위로처리 홍길동, 35 세 홍씨, 30~40 세 홍길동, 35 세, 서울거주, 한국대재학 홍, 35 세, 서울거주, 대학재학 1 휴리스틱가명화 2 암호화 3 교환방법 4 총계처리 5 부분총계 6 라운딩 7 재배열 8 식별자삭제 9 식별자부분삭제 10 레코드삭제 11 식별요소전부삭제 12 감추기 13 랜덤라운딩 14 범위방법 15 제어라운딩 16 임의잡음추가 17 공백과대체 프라이버시보호모델 : 재식별가능성검토기법 * k, l, t 값은전문가등이검토하여마련 기법의미적용례 k- 익명성 l- 다양성 t- 근접성 특정인임을추론할수있는지여부를검토, 일정확률수준이상비식별되도록함 특정인추론이안된다고해도민감한정보의다양성을높여추론가능성을낮추는기법 l- 다양성뿐만아니라, 민감한정보의분포를낮추어추론가능성을더욱낮추는기법 동일한값을가진레코드를 k 개이상으로함. 이경우특정개인을식별할확률은 1/k 임 각레코드는최소 l 개이상의다양성을가지도록하여동질성또는배경지식등에의한추론방지 전체데이터집합의정보분포와특정정보의분포차이를 t 이하로하여추론방지 30 개인정보비식별조치가이드라인

2 일반적기법 가명처리 (Pseudonymization) ( 개념 ) 개인식별이가능한데이터를직접적으로식별할수없는다른값으로대체하는기법 ( 대상 ) 성명, 기타고유특징 ( 출신학교, 근무처등 ) ( 장점 ) 데이터의변형또는변질수준이적음 ( 단점 ) 대체값부여시에도식별가능한고유속성이계속유지 실무적용방법 1 휴리스틱가명화 (Heuristic Pseudonymization) - 식별자에해당하는값들을몇가지정해진규칙으로대체하거나사람의판단에따라가공하여자세한개인정보를숨기는방법 (ex) 성명을홍길동, 임꺽정등몇몇일반화된이름으로대체하여표기하거나소속기관명을화성, 금성등으로대체하는등사전에규칙을정하여수행 - 식별자의분포를고려하거나수집된자료의사전분석을하지않고모든데이터를동일한방법으로가공하기때문에사용자가쉽게이해하고활용가능 - 활용할수있는대체변수에한계가있으며, 다른값으로대체하는일정한규칙이노출되는취약점이있음. 따라서규칙수립시개인을쉽게식별할수없도록세심한고려필요 - 적용정보 : 성명, 사용자 ID, 소속 ( 직장 ) 명, 기관번호, 주소, 신용등급, 휴대전화번호, 우편번호, 이메일주소등 2 암호화 (Encryption) - 정보가공시일정한규칙의알고리즘을적용하여암호화함으로써개인정보를대체하는방법, 통상적으로다시복호가가능하도록복호화키 (key) 를가지고있어서이에대한보안방안도필요 - 일방향암호화 (one-way encryption 또는 hash) 를사용하는경우는이론상복호화가원천적으로불가능 일방향암호화는개인정보의식별성을완전히제거하는것으로, 양방향암호화에비해더욱안전하고효과적인비식별기술에해당 - 적용정보 : 주민등록번호, 여권번호, 의료보험번호, 외국인등록번호, 사용자 ID, 신용카드번호, 생체정보등 3 교환방법 (Swapping) - 기존의데이터베이스의레코드를사전에정해진외부의변수 ( 항목 ) 값과연계하여교환 - 적용정보 : 사용자 ID, 요양기관번호, 기관번호, 나이, 성별, 신체정보 ( 신장, 혈액형등 ), 소득, 휴대전화번호, 주소등 참고 31

총계처리 (Aggregation) ( 개념 ) 통계값 ( 전체혹은부분 ) 을적용하여특정개인을식별할수없도록함 ( 대상 ) 개인과직접관련된날짜정보 ( 생일, 자격취득일 ), 기타고유특징 ( 신체정보, 진료기록, 병력정보, 특정소비기록등민감한정보 ) ( 장점 ) 민감한수치정보에대하여비식별조치가가능하며, 통계분석용데이터셋작성에유리함 ( 단점 ) 정밀분석이어려우며, 집계수량이적을경우추론에의한식별가능성있음 실무적용방법 4 총계처리 (Aggregation) - 데이터전체또는부분을집계 ( 총합, 평균등 ) 단, 데이터전체가유사한특징을가진개인으로구성되어있을경우그데이터의대푯값이특정개인의정보를그대로 노출시킬수도있으므로주의 ( 예시 ) 집단에소속된전체인원의평균나이값을구한후각개인의나이값을평균나이값 ( 대푯값 ) 으로대체하거나해당집단소득의전체평균값을각개인의소득값으로대체 - 적용정보 : 나이, 신장, 소득, 카드사용액, 유동인구, 사용자수, 제품재고량, 판매량등 5 부분총계 (Micro Aggregation) - 데이터셋내일정부분레코드만총계처리함. 즉, 다른데이터값에비하여오차범위가큰항목을통계값 ( 평균등 ) 으로변환 ( 예시 ) 다양한연령대의소득분포에있어서 40 대의소득분포편차가다른연령대에비하여매우크거나특정소득구성원을포함하고있을경우, 40 대의소득만선별하여평균값을구한후 40 대에해당하는각개인의소득값을해당평균값으로대체 - 적용정보 : 나이, 신장, 소득, 카드사용액등 6 라운딩 (Rounding) - 집계처리된값에대하여라운딩 ( 올림, 내림, 사사오입 ) 기준을적용하여최종집계처리하는방법으로, 일반적으로세세한정보보다는전체통계정보가필요한경우많이사용 ( 예시 ) 23 세, 41 세, 57 세, 26 세, 33 세등각나이값을 20 대, 30 대, 40 대, 50 대등각대표연령대로표기하거나 3,576,000 원, 4,210,000 원등의소득값을일부절삭하여 3 백만원, 4 백만원등으로집계처리하는방식 - 적용정보 : 나이, 신장, 소득, 카드지출액, 유동인구, 사용자수등 7 재배열 (Rearrangement) - 기존정보값은유지하면서개인이식별되지않도록데이터를재배열하는방법으로, 개인의정보를타인의정보와뒤섞어서전체정보에대한손상없이특정정보가해당개인과연결되지않도록하는방법 32 개인정보비식별조치가이드라인

( 예시 ) 데이터셋에포함된나이, 소득등의정보를개인별로서로교환하여재배치하게되면개인별실제나이와소득과다른비식별자료를얻게되지만, 전체적인통계분석에있어서는자료의손실없이분석을할수있는장점이있음 - 적용정보 : 나이, 신장, 소득, 질병, 신용등급, 학력등 데이터삭제 (Data Reduction) ( 개념 ) 개인식별이가능한데이터삭제처리 ( 대상 ) 개인을식별할수있는정보 ( 이름, 전화번호, 주소, 생년월일, 사진, 고유식별정보 ( 주민등록번호, 운전면허번호등 ), 생체정보 ( 지문, 홍채, DNA 정보등 ), 기타 ( 등록번호, 계좌번호, 이메일주소등 )) ( 장점 ) 개인식별요소의전부및일부삭제처리가가능 ( 단점 ) 분석의다양성과분석결과의유효성 신뢰성저하 실무적용방법 8 식별자삭제 - 원본데이터에서식별자를단순삭제하는방법 ( 예시 ) 성명, 생년월일 (yy-mm-dd) 이나열되어있는경우분석목적에따라생년월일을생년 (yy) 으로대체가능하다면월일 (mm-dd) 값은삭제 이때남아있는정보그자체로도분석의유효성을가져야함과동시에개인을식별할수없어야하며, 인터넷등에공개되어있는정보등과결합하였을경우에도개인을식별할수없어야함 - 적용정보 : 성명, 전화번호, 계좌번호, 카드번호, 요양기관번호, 이메일주소등 9 식별자부분삭제 - 식별자전체를삭제하는방식이아니라, 해당식별자의일부를삭제하는방법 ( 예시 ) 상세주소의경우부분삭제를통하여대표지역으로표현 ( 서울특별시송파구가락본동 78 번지 서울시송파구 ) - 수치또는텍스트데이터등에도폭넓게활용가능 ( 12감추기 는주로수치데이터에적용 ) - 적용정보 : 주소, 위치정보 (GPS), 전화번호, 계좌번호등 10 레코드삭제 (Reducing Records) - 다른정보와뚜렷하게구별되는레코드전체를삭제하는방법 ( 예시 ) 소득이다른사람에비하여뚜렷이구별되는값을가진정보는해당정보전체를삭제 - 이방법은통계분석에있어서전체평균에비하여오차범위를벗어나는자료를제거할때에도사용가능 - 적용정보 : 키, 소득, 질병, 카드지출액등 참고 33

11 식별요소전부삭제 - 식별자뿐만아니라잠재적으로개인을식별할수있는속성자까지전부삭제하여프라이버시침해위험을줄이는방법 ( 예시 ) 연예인 정치인등의가족정보 ( 관계정보 ), 판례및보도등에따라공개되어있는사건과관련되어있음을알수있는정보등잠재적식별자까지사전에삭제함으로써연관성있는정보의식별및결합을예방 - 개인정보유출가능성을최대한줄일수있지만데이터활용에필요한정보까지사전에모두없어지기때문에데이터의유용성이낮아지는문제발생 - 적용정보 : 나이, 소득, 키, 몸무게등개별적으로는단순한정보이지만분석목적에따라추후개인식별이가능성이있다고판단되는정보 데이터범주화 (Data Suppression) ( 개념 ) 특정정보를해당그룹의대푯값으로변환 ( 범주화 ) 하거나구간값으로변환 ( 범주화 ) 하여개인식별을방지 ( 대상 ) 개인을식별할수있는정보 ( 주소, 생년월일, 고유식별정보 ( 주민등록번호, 운전면허번호등 ), 기관 단체등의이용자계정 ( 등록번호, 계좌번호 )) ( 장점 ) 통계형데이터형식이므로다양한분석및가공가능 ( 단점 ) 정확한분석결과도출이어려우며, 데이터범위구간이좁혀질경우추론가능성있음 실무적용방법 12 감추기 - 명확한값을숨기기위하여데이터의평균또는범주값으로변환하는방식 - 단, 특수한성질을지닌개인으로구성된단체데이터의평균이나범주값은그집단에속한개인의정보를쉽게추론할수있음 ( 예시 ) 간염환자집단임을공개하면서특정인물 갑 이그집단에속함을알수있도록표시하는것은 갑 이간염환자임을공개하는것과마찬가지임 13 랜덤라운딩 (Random Rounding) - 수치데이터를임의의수기준으로올림 (round up) 또는내림 (round down) 하는기법 - 6 라운딩 (rounding) 과달리수치데이터이외의경우에도확장적용가능 ( 예시 ) 나이, 우편번호등과같은수치정보로주어진식별자는일의자리, 십의자리등뒷자리수를숨기고앞자리수만나타내는방법 ( 나이 : 42 세, 45 세 40 대로표현 ) - 적용정보 : 나이, 소득, 카드지출액, 우편번호, 유동인구, 사용자등 34 개인정보비식별조치가이드라인

14 범위방법 (Data Range) - 수치데이터를임의의수기준의범위 (range) 로설정하는기법으로, 해당값의범위 (range) 또는구간 (interval) 으로표현 ( 예시 ) 소득 3,300 만원을소득 3,000 만원 4,000 만원으로대체표기 - 적용정보 : 서비스이용등급, 처방정보 ( 횟수, 기간등 ), 위치정보, 유동인구, 사용자수, 분석시간 / 기간등 15 제어라운딩 (Controlled Rounding) - 13 랜덤라운딩 방법에서어떠한특정값을변경할경우행과열의합이일치하지않는단점해결을위해행과열이맞지않는것을제어하여일치시키는기법 - 그러나컴퓨터프로그램으로구현하기어렵고복잡한통계표에는적용하기어려우며, 해결할수있는방법이존재하지않을수있어아직현장에서는잘사용하지않음 - 적용정보 : 나이, 키, 소득, 카드지출액, 위치정보등 데이터마스킹 (Data Masking) ( 개념 ) 데이터의전부또는일부분을대체값 ( 공백, 노이즈등 ) 으로변환 ( 대상 ) 쉽게개인을식별할수있는정보 ( 이름, 전화번호, 주소, 생년월일, 사진, 고유식별정보 ( 주민등록번호, 운전면허번호등 ), 기관 단체등의이용자계정 ( 등록번호, 계좌번호, 이메일주소등 ) ) ( 장점 ) 개인식별요소를제거하는것이가능하며, 원데이터구조에대한변형이적음 ( 단점 ) 마스킹을과도하게적용할경우데이터필요목적에활용하기어려우며마스킹수준이낮을경우특정한값에대한추론가능 실무적용방법 16 임의잡음추가 (Adding Random Noise) - 개인식별이가능한정보에임의의숫자등잡음을추가 ( 더하기또는곱하기 ) 하는방법 ( 예시 ) 실제생년월일에 6 개월의잡음을추가할경우, 원래의생년월일데이터에 1 일부터최대 6 개월의날짜가추가되어기존의자료와오차가날수있도록적용 - 지정된평균과분산의범위내에서잡음이추가되므로원자료의유용성을해치지않으나, 잡음값은데이터값과는무관하기때문에, 유효한데이터로활용하기곤란 - 적용정보 : 사용자 ID, 성명, 생년월일, 키, 나이, 병명코드, 전화번호, 주소등 17 공백 (blank) 과대체 (impute) - 특정항목의일부또는전부를공백또는대체문자 ( *, _ 등이나전각기호 ) 로바꾸는기법 ( 예시 ) 생년월일 1999-09-09 19 - - 또는 19**-**-** - 적용정보 : 성명, 생년월일, 전화번호, 주소, 사용자 ID 등 참고 35

3 프라이버시보호모델 k- 익명성 (k-anonymity) : 프라이버시보호를위한기본모델 공개된데이터에대한연결공격 (linkage attack) 등취약점 * 을방어하기위해제안된프라이버시보호모델 공개데이터의취약점 개인정보를포함한공개데이터 - 일반적으로활용하는데이터에는이름, 주민등록번호등과같이개인을직접식별할수있는데이터는삭제 ( 예 : < 표 1>) - 그러나활용정보의일부가다른공개되어있는정보등과결합하여개인을식별하는문제 ( 연결공격 ) 가발생가능 ( 예 : < 표 2>) 연결공격 (linkage attack) - 예를들어, < 표 1> 의의료데이터가 < 표 2> 의선거인명부와지역코드, 연령, 성별에의해결합되면, 개인의민감한정보인병명이드러날수있음 (ex) 김민준 (13053, 28, 남자 ) 환자레코드 1번 전립선염 - 미국매사추세츠주, 선거인명부 와 공개의료데이터 가결합하여개인의병명노출사례 ( 정의 ) 주어진데이터집합에서같은값이적어도 k개이상존재하도록하여쉽게다른정보로결합할수없도록함 - 데이터집합의일부를수정하여모든레코드가자기자신과동일한 ( 구별되지않는 ) k-1개이상의레코드를가짐 - 예를들어, < 표 1> 의의료데이터가비식별조치된 < 표 3> 에서 1~4, 5~8, 9~12 레코드는서로구별되지않음 < 표 1> 공개의료데이터사례 구분지역코드연령성별질병 1 2 3 4 5 6 7 8 9 10 11 12 13053 13068 13068 13053 14853 14853 14850 14850 13053 13053 13068 13068 28 21 29 23 50 47 55 49 31 37 36 35 남남여남여남여남남여남여 전립선염전립선염고혈압고혈압위암전립선염고혈압고혈압위암위암위암위암 36 개인정보비식별조치가이드라인

< 표 2> 선거인명부사례 구분이름지역코드연령성별 1 2 3 4 5 6 7 8 9 10 11 12 김민준박지훈이지민최현우정서연송현준남예은성민재윤건우손윤서민우진허수빈 13053 13068 13068 13053 14853 14850 14853 14850 13053 13053 13068 13068 28 21 29 23 50 47 55 49 31 37 36 35 남남여남여남여남남여남여 < 표 3> k- 익명성모델에의해비식별된의료데이터사례 구분지역코드연령성별질병비고 1 2 3 4 130** 130** 130** 130** < 30 < 30 < 30 < 30 * * * * 전립선염전립선염고혈압고혈압 다양한질병이혼재되어안전 5 6 7 8 1485* 1485* 1485* 1485* > 40 > 40 > 40 > 40 * * * * 위암전립선염고혈압고혈압 다양한질병이혼재되어안전 9 10 11 12 130** 130** 130** 130** 3* 3* 3* 3* * * * * 위암위암위암위암 모두가동일질병 ( 위암 ) 으로취약 표시는임의의글자를나타낸다. 가령, 지역코드 130** 은 13000~13099 범위안에존재하는하나의지역코드값을의미한다. 따라서, 비식별된데이터집합에서는공격자가정확히어떤레코드가공격대상인지알아낼수없음 ( 예시 ) < 표 2> 김민준 < 표 3> 레코드 1~4 전립선염또는고혈압 여기서, 같은속성자값들로비식별된레코드들의모임을 동일속성자값집합 (equivalent class, 이하동질집합 ) 이라고함 ( 예시 ) < 표 3> 레코드 1~4, 5~8, 9~12 참고 37

l-다양성 (l-diversity) : k-익명성의취약점 * 을보완한프라이버시보호모델 k-익명성에대한두가지공격, 즉동질성공격및배경지식에의한공격을방어하기위한모델 ( 정의 ) 주어진데이터집합에서함께비식별되는레코드들은 ( 동질집합에서 ) 적어도 l개의서로다른민감한정보를가져야함 - 비식별조치과정에서충분히다양한 (l개이상 ) 서로다른민감한정보를갖도록동질집합을구성정보가충분한다양성을가지므로다양성의부족으로인한공격에방어가가능하고, 배경지식으로인한공격에도일정수준의방어능력 k- 익명성의취약점 취약점 1. 동질성공격 (Homogeneity attack) - k- 익명성에의해레코드들이범주화되었더라도일부정보들이모두같은값을가질수있기때문에데이터집합에서동일한정보를이용하여공격대상의정보를알아내는공격 - < 표 3> 에서범주화의기초가되는정보 ( 지역코드, 연령, 성별 ) 에대해서는여러다양한값들이혼재되어있어서연결공격에의한식별이어렵지만, 이정보와연결된정보 ( 질병 ) 는 k- 익명성 의기초가아니기때문에발생할수있는현상 - 예를들어, < 표 3> 에서레코드 9~12 의질병정보는모두 위암 이므로 k- 익명성모델이적용되었음에도불구하고그질병정보가직접적으로노출됨 취약점 2. 배경지식에의한공격 (Background knowledge attack) - 주어진데이터이외의공격자의배경지식을통해공격대상의민감한정보를알아내는공격 - < 표 2> 와 < 표 3> 에서공격자가 이지민 의질병을알아내려고하면정보의결합 (13068, 29, 여 ) 에따라 이지민 은 < 표 3> 의 1~4 레코드중하나이며질병은전립선염또는고혈압임을알수있음 - 이때, 여자는전립선염에걸릴수없다 라는배경지식에의해공격대상 이지민 의질병은고혈압으로쉽게추론가능함 k-익명성의취약점의원인 - 다양성의부족 (lack of diversity) 비식별조치할때정보의다양성을고려하지않음 동일한정보를가진 ( 다양하지않은 ) 레코드가비식별되어하나의 동질집합 으로구성될경우동질성공격에무방비 - 강한배경지식 (strong background knowledge) k-익명성은 여자는전립선염에걸리지않는다 또는 남자는자궁암에걸리지않는다 와같은공격자의배경지식을고려하지않아이를이용한공격에취약 38 개인정보비식별조치가이드라인

예를들어, < 표 4> 에서모든동질집합은 3-다양성 (l=3) 을통해비식별되어 3개이상의서로다른정보를가짐 - < 표 3> 과같이동일한질병으로만구성된동질집합이존재하지않음 - 공격자가질병에대한배경지식 ( 예 : 여자는전립선염에걸리지않음 ) 이있더라도어느정도의방어력을가지게됨 ( 예 : 여성이지민이속한동질집합 2, 3, 11, 12에서전립선염을제외하더라도고혈압, 위암중어느질병이이지민의것인지여전히알수없음 ) < 표 4> l- 다양성모델에의해비식별된의료데이터의예 구분지역코드연령성별질병비고 1 4 9 10 1305* 1305* 1305* 1305* 40 40 40 40 * * * * 전립선염고혈압위암위암 다양한질병이혼재되어안전 5 6 7 8 1485* 1485* 1485* 1485* > 40 > 40 > 40 > 40 * * * * 위암전립선염고혈압고혈압 다양한질병이혼재되어안전 2 3 11 12 1306* 1306* 1306* 1306* 40 40 40 40 * * * * 전립선염고혈압위암위암 다양한질병이혼재되어안전 t- 근접성 (t-closeness) : 값의의미를고려하는프라이버시모델 l- 다양성의취약점 *( 쏠림공격, 유사성공격 ) 을보완하기위해모델 l- 다양성의취약점 쏠림공격 (skewness attack) - 정보가특정한값에쏠려있을경우 l- 다양성모델이프라이버시를보호하지못함 < 쏠림공격의예 > 임의의 동질집합 이 99개의 위암양성 레코드와 1개의 위암음성 레코드로구성되어있다가정 공격자는공격대상이 99% 의확률로 위암양성 이라는것을알수있음 참고 39

유사성공격 (similarity attack) - 비식별조치된레코드의정보가서로비슷하다면 l- 다양성모델을통해비식별된다할지라도프라이버시가노출될수있음 < 유사성공격의예 > < 표 5> 는 3-다양성 (l=3) 모델을통해비식별된데이터 레코드 1,2,3이속한동질집합의병명이서로다르지만의미가서로유사함 ( 위궤양, 급성위염, 만성위염 ) 공격자는공격대상의질병이 위 에관련된것이라는사실을알아낼수있음 또다른민감한정보인급여에대해서도공격대상이다른사람에비해상대적으로낮은급여값을가짐을쉽게알아낼수있음 (30 ~ 50백만원 ) ( 정의 ) 동질집합에서특정정보의분포와전체데이터집합에서정보의분포가 t이하의차이를보여야함 - 각동질집합에서 특정정보의분포 가전체데이터집합의분포와비교하여너무특이하지않도록함 - < 표 5> 에서전체적인급여값의분포는 30 ~ 110이나레코드 1, 2, 3이속한동질집합에서는 30 ~ 50으로이는전체급여값의분포 (30 ~ 110) 와비교할때상대적으로유사한수준이라볼수있음 공격자는근사적인급여값을추론할수있음 - t-근접성모델은이러한동질집합과전체데이터집합사이의분포의과도한차이를 l-다양성모델의취약점으로규정함 < 표 5> l- 다양성모델에의해비식별되었지만유사성공격에취약한사례 구분 속성자민감한정보지역코드연령급여 ( 백만원 ) 질병 비고 1 2 3 476** 476** 476** 2* 2* 2* 30 40 50 위궤양급성위염만성위염 모두가 위 와관련한유사질병으로취약 4 5 6 4790* 4790* 4790* 40 40 40 60 110 80 급성위염감기기관지염 다양한질병이혼재되어안전 7 8 9 476** 476** 476** 3* 3* 3* 70 90 100 기관지염폐렴만성위염 다양한질병이혼재되어안전 40 개인정보비식별조치가이드라인

정보의분포 를조정하여정보가특정값으로쏠리거나유사한값들이뭉치는경우를방지 - < 표 6> 에서 t- 근접성모델에따라레코드 1, 3, 8 은하나의동질집합 - 이경우, 레코드 1, 3, 8의급여의분포는 (30 ~ 90) 으로전체적인급여의분포 (30 ~ 110) 와큰차이가나지않음 - 또한, 레코드 1, 3, 8의질병분포는위궤양, 만성위염, 폐렴으로병명이서로다르고질병이 위 와관련된것이외에 폐 와관계된것도있어특정부위의질병임을유추하기어려움 - 따라서 < 표 5> 의경우와비교하여공격자가공격대상의정보를추론하기가더욱어려워짐 < 표 6> t- 근접성모델에의해비식별조치된데이터사례 구분 속성자 민감한정보 지역코드연령급여 ( 백만원 ) 질병 비고 1 4767* 40 30 위궤양 급여의분포와 3 4767* 40 50 만성위염 다양한질병 8 4767* 40 90 폐렴 으로안전 4 4790* 40 60 급성위염 급여의분포와 5 4790* 40 110 감기 다양한질병 6 4790* 40 80 기관지염 으로안전 2 4760* 3* 40 급성위염 급여의분포와 7 4760* 3* 70 기관지염 다양한질병 9 4760* 3* 100 만성위염 으로안전 t수치가 0에가까울수록전체데이터의분포와특정데이터구간의분포유사성이강해지기때문에그익명성의방어가더강해지는경향 - 익명성강화를위해특정데이터들을재배치해도전체속성자들의값자체에는변화가없기때문에일반적인경우에정보손실의문제는크지않음 참고 41

참고 4 비식별조치적정성평가단세부평가수행방법 사전검토평가수행기관에서제출한기초자료와인터뷰등을통해평가대상데이터에개인식별요소 ( 식별자, 속성자 ) 포함여부, 데이터이용목적, 적용된비식별조치기법등검토첫째, 평가수행기관에서작성 제출한기초자료가필수사항을모두포함하고있고, 적절히작성되었는지검토 - 기초자료가충분하지않은경우평가수행기관에추가적인자료제출및보완을요구둘째, 평가대상데이터의특성에대해확인하고개인을식별할수있는식별요소를포함하고있는지확인 - 평가대상데이터의생성및관리되는환경, 데이터의크기, 시간흐름에따른축적여부등데이터의특성에대해확인 - 평가대상데이터의식별자또는속성자에식별요소를포함하고있는지검토 - 평가대상데이터가개인식별요소를포함하고있는경우개인식별요소제거조치가 부적정 한것으로판단하고비식별조치보강요청셋째, 기초자료로제출된 비식별조치에적용한기법 세부기술 에따라비식별조치가적절히수행되었는지검토 - 데이터원본예시, 비식별조치된평가대상데이터셋및세부항목별명세, 비식별조치에적용한기법 세부기술 등검토 - 비식별조치에적용한기법 세부기술 에따라개인식별요소제거조치가충분히되지않은경우 부적정 한것으로판단하고비식별조치보강요청 재식별시도가능성분석데이터를이용또는제공받는자의개인정보재식별의도와능력, 개인정보보호수준등을통해재식별시도가능성을분석 1) 재식별의도및능력분석 데이터이용자또는요청자의재식별의도및능력에대한검토실시 평가단은 < 표 1> 평가지표의세부질문에대해평가하고개별평가지표별로 예 또는 아니오 로평가를실시 42 개인정보비식별조치가이드라인

< 표 1> 재식별의도및능력분석평가지표 구분세부지표평가 재식별의도 재식별능력 외부정보연계가능성 데이터이용자또는요청자가데이터제공자와기존에함께업무를수행하면서상호신뢰관계를구축한경험이없음 데이터이용자또는요청자가데이터를재식별하는경우경제적인이익이있음 데이터이용자또는요청자가데이터를재식별하는경우비경제적인이익이있음 데이터이용자또는요청자가데이터를제 3 의이용자에게사전허가없이제공할가능성이있음 데이터이용자또는요청자가데이터이용 ( 제공 ) 관련계약서에재식별금지및제 3 자에게데이터제공제한등의문구를반영하고있지않음 데이터이용자또는요청자가개인정보재식별을시도할수있는전문지식을보유하고있음 데이터이용자또는요청자가개인정보재식별을시도할수있는재원 ( 자금 ) 을보유또는조달할수있음 데이터이용자또는요청자가개인정보재식별을위해연계할수있는다른데이터베이스를직접보유하고있거나접근할수있음 인터넷, SNS 등에평가대상데이터와결합가능한데이터가존재할수있음 예 / 아니오예 / 아니오예 / 아니오예 / 아니오예 / 아니오예 / 아니오예 / 아니오예 / 아니오예 / 아니오 평가점수는개인별로각평가지표에대해 예 로평가한지표의개수를합산해서산출 ( 개인별점수는최대 9점, 점수가높을수록재식별의도및능력이큼 ) 개인별점수를합산한후전체평가인원의수로나누어 재식별의도및능력분석 의평가점수를구하고, < 표 2> 평가기준표에따라 높음, 중간, 낮음 으로 1차평가결과도출 1차평가결과는평가단토의를거쳐확정하되, 1차평가결과를기준표와달리적용하는경우에는이에대한사유를명확히문서로남겨야함 < 표 2> 재식별의도및능력분석평가기준표 구분 평가기준 높음 중간 낮음 평균점수가 5 점이상인경우 평균점수가 3 점이상, 5 점미만인경우 평균점수가 3 점미만인경우 참고 43

2) 개인정보보호수준분석 데이터이용자또는요청자의개인정보보호수준을검토하고평가실시 평가단개인별로 < 표 3> 평가지표의세부질문에대해검토하고개별평가지표별로 예 또는 아니오 로평가를실시 < 표 3> 개인정보보호수준평가지표 구분세부지표평가 개인정보보호능력 데이터에접근할수있는인력에대해보안각서를받고있음 데이터에접근할수있는인력에대해정기적으로보안교육을실시하고있음 데이터이용자또는요청자가데이터의보관및처리를위한관리계획을수립하고있음 데이터이용자또는요청자가데이터의보관및처리를위한관리계획에따라운영하고있음 데이터는물리적, 기술적보호조치가마련된안전한방법을이용해서제공하고제공받음 침입차단및침입탐지시스템이설치된서버, PC 등에서이용됨 데이터에접근할수있는인력의접근권한부여및접근이력이관리되고있음 데이터이용자또는요청자가보안관리부서로부터정기적으로보안점검을받고있음 데이터이용자또는요청자가 ISO27001, ISMS, PIMS 등의인증을받음 예 / 아니오예 / 아니오예 / 아니오예 / 아니오예 / 아니오예 / 아니오예 / 아니오예 / 아니오예 / 아니오 평가점수는개인별로각평가지표에대해 예 로평가한지표의개수를합산해서산출 ( 개인별점수는최대 9점, 점수가높을수록보호수준이높음 ) 개인별점수를합산한후전체평가인원의수로나누어 개인정보보호수준 의평균점수를구하고, < 표 4> 평가기준에따라 높음, 중간, 낮음, 없음 으로 1차평가결과를도출 1차평가결과는평가단토의를거쳐확정하되, 1차평가결과를기준표와달리적용하는경우에는이에대한사유를명확히문서로남겨야함 < 표 4> 개인정보보호수준분석평가기준표 구분 평가기준 높음중간낮음없음 평균점수가 6점이상인경우 평균점수가 4점이상, 5점미만인경우 평균점수가 4점미만인경우 인터넷등일반에공개하는경우 44 개인정보비식별조치가이드라인

3) 재식별시도가능성분석 1) 재식별의도및능력분석, 2) 개인정보보호수준분석 의결과를고려해서비식별조치된데이터에대한재식별시도가능성을평가재식별시도가능성에대한평가는 빈번한, 가능한, 가끔, 거의없는 등 4단계로평가아래그림과같이 1) 재식별의도및능력분석 의결과값과, 2) 개인정보보호수준분석 의결과값이교차하는지점의평가값으로재식별시도가능성분석 재식별시도가능성분석표 2) 개인정보보호수준없음 빈번한 빈번한 빈번한 낮음 가능한 가능한 빈번한 중간 가끔 가끔 가능한 높음 거의없는 거의없는 가끔 낮음 중간 높음 1) 재식별의도및능력 재식별시영향분석데이터가의도적또는비의도적으로재식별되었을때정보주체에게미치는영향에대해분석 - 특히, 경제적피해또는비경제적인피해 ( 개인정보또는프라이버시침해 ) 를줄수있는가능성에대해평가를실시평가단개인별로 < 표 5> 평가지표세부질문에대해검토하고지표별로 예 또는 아니오 로평가를실시함평가점수는개인별로각평가지표에대해 예 로평가한지표의개수를합산해서산출함 ( 개인별점수는최대 4점, 점수가높을수록재식별시영향이큼 ) 개인별점수를합산한후전체평가인원의수로나누어 재식별시영향분석 의평균점수를구하고, < 표 6> 평가기준에따라 높음, 중간, 낮음 으로 1차평가결과를도출함 참고 45

1차평가결과는평가단토의를거쳐확정하되, 1차평가결과를기준표와달리적용하는경우에는이에대한사유를명확히문서로남겨야함 < 표 5> 재식별시영향분석평가지표 구분세부지표평가 데이터가재식별되었을때법적, 도덕적, 기술적이슈로사회적인혼란을가져올가능성이있음 예 / 아니오 재식별시영향 데이터가재식별되었을때관련정보주체의개인정보또는프라이버시를침해할수있음 데이터가재식별되었을때관련정보주체에게경제적또는비경제적손실을발생시킬수있음 예 / 아니오 예 / 아니오 데이터가재식별되었을때데이터이용자또는요청자에게경제적또는비경제적손실을발생시킬수있음 예 / 아니오 < 표 6> 재식별시영향분석평가기준표 구분 평가기준 높음 중간 낮음 평균점수가 2 점이상인경우 평균점수가 1 점이상, 2 점미만인경우 평균점수가 1 점미만인경우 계량분석 평가대상데이터의특성을고려하여평가대상데이터에대한비식별수준을분석할수있는분석기법을선정하고분석값 ( 예시 :k=5) 도출 평가단에서데이터의특성, 비식별정도등을고려해서분석기법선정 - 비식별정도를분석하기위한기법에는 k-익명성 (k-anonymity), l-다양성 (l-diversity), t-근접성 (t-closeness) 등의프라이버시보호모델이있음 분석결과는 평가기준값 결정시참고할수있으며, 필요시재분석할수있음 평가대상데이터에대한비식별정도에대한계량분석은평가단에서직접수행하거나, 외부의공신력있는전문기관에의뢰하여수행할수있음 46 개인정보비식별조치가이드라인

평가기준값결정 평가단은비식별조치의적정성을평가하기위하여 k-익명성, l- 다양성, t-근접성 값등을단독또는복수개이상으로설정할수있음평가기준값설정시고려사항 - 평가대상데이터의속성자항목수, 규모, 시간흐름에따른누적데이터존재여부등의데이터특징 - 기초자료 - 사전검토결과 - 재식별시도가능성분석결과 - 재식별시영향분석결과 - 계량분석결과 필요시계량분석을재실시할수있으며, 이때분석기준등에대해서도재검토및설정할수있음 평가기준값사례 * 재식별시영향 침해위험높음 k = 5 l= 2 k = 10 l = 3 k = 10 l = 4 k = 20 l = 5 t < 0.3 침해위험중간 k = 3 l = 2 k = 5 l= 2 k = 10 l = 3 k = 10 l = 4 침해위험낮음 k = 3 l = 2 k = 5 l= 2 k = 5 l = 2 k = 10 l = 3 거의없는가끔가능한빈번한재식별시도가능성 세부검토기준값은단순사례이며, 실제적용시일반적인기준값으로이용하는것은적정하지않을수있음. 기준값에대한결정은평가단의검토및논의에따라적용프라이버시모델및기준을정하여사용해야함 적정성평가 평가단은평가기준값결정에서도출된평가기준값과계량분석에서계산된분석값을비교하여비식별조치에대한 1차평가결과를도출 참고 47

최종적인평가는 1차평가결과를기초로평가단토의를거쳐최종확정하며, 1차평가결과와다른결과를도출한경우에는이에대한근거와사유를명확히문서로남겨야함 1) k- 익명성값을이용한비식별적정성평가 계량분석에서분석된평가대상데이터의 k- 익명성분석값이평가단에서결정한 평가기준값 보다작은경우에는개인식별요소제거조치가 부적정 한것으로평가 계량분석에서분석된평가대상데이터의 k- 익명성분석값이평가단에서결정한 평가기준값 보다크거나같은경우에는개인식별요소제거조치가 적정 한것으로평가 k- 익명성기반적정성평가사례표 k- 익명성값을이용한비식별조치에대한적정성평가 계량분석의 k- 익명성값 < 평가기준값 (k- 익명성값 ) 계량분석의 k- 익명성값 >= 평가기준값 (k- 익명성값 ) 부적정 ( 개인식별요소제거조치필요 ) 적정 ( 개인식별요소제거조치불필요 ) 2) l- 다양성값을이용한비식별적정성평가 계량분석에서분석된평가대상데이터의 l- 다양성분석값이평가단에서결정한 평가기준값 (l-다양성) 보다작은경우에는개인식별요소의제거조치가 부적정 한것으로평가 계량분석 에서분석된평가대상데이터의 l- 다양성분석값이평가단에서결정한 평가기준값 (l- 다양성 ) 보다크거나같은경우에는개인식별요소제거조치가 적정 한것으로평가 48 개인정보비식별조치가이드라인

l- 다양성기반적정성평가사례표 l- 다양성값을이용한비식별조치에대한적정성평가 계량분석의 l- 다양성값 < 평가기준값 (l- 다양성 ) 계량분석의 l- 다양성값 >= 평가기준값 (l- 다양성 ) 부적정 ( 개인식별요소제거조치필요 ) 적정 ( 개인식별요소제거조치불필요 ) 3) t- 근접성값을이용한비식별적정성평가 계량분석에서분석된평가대상데이터의 t-근접성분석값이평가단에서결정한 평가기준값 (t-근접성) 보다작은경우에는개인식별요소제거조치가 적정 한것으로평가 - 통상 t-근접성값의범위는 0에서 1 사이의소수이며, 0에가까울수록개인을식별할가능성이적다는것을의미함 계량분석에서분석된평가대상데이터의 t-근접성분석값이평가단에서결정한 평가기준값 (t-근접성) 보다크거나같은경우에는개인식별요소제거조치가 부적정 한것으로평가 t- 근접성기반적정성평가사례표 t- 근접성값을이용한비식별조치에대한적정성평가 계량분석의 t- 근접성값 >= 평가기준값 (t- 근접성 ) 계량분석의 t- 근접성값 < 평가기준값 (t- 근접성 ) 부적정 ( 개인식별요소제거조치필요 ) 적정 ( 개인식별요소제거조치불필요 ) 참고 49

개인정보비식별조치가이드라인 - 비식별조치기준및지원 관리체계안내 -

부록 1 - 개인정보의범위명확화및비식별정보의안전한활용을위한 - 개인정보보호관련법령통합해설서

1 개인정보의범위 개인정보보호법제2조제1호 개인정보 란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 를말한다. 정보통신망이용촉진및정보보호등에관한법률제2조제1항제6호 개인정보 란생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 를말한다. 신용정보의이용및보호에관한법률제2조제1호및제2호, 제34조제1항 신용정보 란금융거래등상거래에있어서거래상대방의신용을판단할때필요한정보로서다음각목의정보를말한다. 가. 특정신용정보주체를식별할수있는정보나. 신용정보주체의거래내용을판단할수있는정보다. 신용정보주체의신용도를판단할수있는정보라. 신용정보주체의신용거래능력을판단할수있는정보마. 그밖에가목부터라목까지와유사한정보 개인신용정보 란신용정보중개인의신용도와신용거래능력등을판단할때필요한정보를말한다. 개인식별정보 란생존하는개인의성명, 주소및주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 국내거소신고번호및성별, 국적등개인을식별할수있는정보를말한다. 1 개인정보의개념 개인정보보호법 과 정보통신망이용촉진및정보보호등에관한법률 ( 이하정보통신망법 ) 에서는개인정보의개념을규정하고있으며, 신용정보의이용및보호에관한법률 ( 이하신용정보법 ) 에서는개인신용정보와개인식별정보의개념에대해규정하고있습니다. 52 개인정보비식별조치가이드라인

우선, 개인정보보호법과정보통신망법에서의개인정보개념정의는법률상표현이조금 다르게되어있으나, 법률해석상그내용은사실상동일합니다. 두법에서정의하는개인정보는살아있는개인에관한정보로서개인을알아볼수있는정보이며, 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는정보가포함됩니다. 한편, 신용정보법상의개인신용정보및개인식별정보는개인정보보호법과정보통신망법에서 말하는개인정보개념과다르지않습니다. 현행신용정보법은개인신용정보를 개인을알아볼수있는정보 일것을명시적으로 요구하지는않지만, 개인을알아볼수없는신용정보가개인신용정보에포함되지않는다고보아야합리적입니다. 또한, 개인식별정보는생존하는개인의성명, 주소및주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 국내거소신고번호등개인을식별할수있는정보를의미하기때문입니다. 2 개인정보의구체적판단기준 1 생존하는 개인에관한정보이여야합니다. 가. ( 법인의정보 ) 개인정보의주체는자연인이어야하며, 법인또는단체의정보는개인정보에해당하지않습니다. 따라서법인또는단체의이름, 소재지주소, 대표연락처 ( 이메일주소또는전화번호 ), 업무별연락처, 영업실적등은개인정보에해당하지않습니다. 그러나법인또는단체의정보에해당하면서동시에개인에관한정보인대표자를포함한임원진과업무담당자의이름 주민등록번호 자택주소및개인연락처, 사진등은개인정보에해당합니다. 나. ( 개인사업자에관한정보 ) 개인사업자의상호명, 사업장주소, 전화번호, 사업자등록번호, 매출액, 납세액등은사업체의운영과관련한정보로서원칙적으로개인정보에해당하지않습니다. 다만, 예외적으로해당정보가사업자개인의직업 소득수준 활동영역 사회적지위등을나타내는정보로이용되는경우개인정보로보아야하며, 개인사업자의사업과관련된정보이면서동시에사업자개인의이름 주민등록번호 집주소 휴대전화번호등은개인정보에해당합니다. 부록 1 53

또한, 개인사업자의고유식별정보및민감정보는법령에근거가있거나별도의동의가있어야수집 이용이가능하며, 고유식별정보중주민등록번호는동의에의하여서는수집할수없으며법령에구체적인근거가있어야처리할수있습니다. 다. ( 사망자의정보 ) 개인정보보호법령상개인정보는 살아있는 자연인에관한정보이므로사망했거나실종선고등관계법령에의해사망한것으로간주되는자에관한정보는개인정보로볼수없습니다. 다만, 사망자의정보라고하더라도유족과의관계를알수있는정보는유족의개인정보에해당합니다. 라. ( 사물에관한정보 ) 사람이아닌사물에관한정보는원칙적으로개인정보에해당하지않습니다. 그러나해당사물등의제조자또는소유자등을나타내는정보는개인정보에해당합니다. 예를들어, 특정건물이나아파트의소유자가자연인인경우, 그건물이나아파트의주소가특정소유자를알아보는데이용된다면개인정보에해당합니다. 2 개인에관한 정보이여야합니다. 가. ( 개인에관한정보의범위 ) 개인에관한정보 란당해개인에대한사실 판단 평가등개인과관련된정보를의미하므로, 특정개인의신원, 성격, 행위등에관한것또는정보주체에관한평가등에영향을미치는것은개인정보에해당합니다. 나. (2인이상의관련성 ) 개인에관한정보 는반드시특정 1인만에관한정보이어야한다는의미가아니며, 직 간접적으로 2인이상에관한정보는각자의정보에해당합니다. SNS에단체사진을올린다면사진의영상정보는사진에있는인물모두의개인정보에해당하며, 의사가특정아동의심리치료를위해진료기록을작성하면서아동의부모행태등을포함하였다면그진료기록은아동과부모모두의개인정보에해당합니다. 3 정보 의내용 형태등은제한이없습니다. 가. ( 정보의내용 형태 ) 정보의내용 형태등은특별한제한이없어서개인을알아볼수있는모든정보가개인정보가될수있습니다. 즉, 디지털형태나수기형태, 자동처리정보와수동처리정보등그형태또는처리방식과관계없이모두개인정보에해당할수있습니다. 나. ( 정보의주관성또는객관성 ) 정보주체와관련되어있으면키, 나이, 몸무게등 객관적사실 에관한정보나그사람에대한제3자의의견등 주관적평가 정보모두개인정보가될수있습니다. 54 개인정보비식별조치가이드라인

또한, 그정보가반드시 사실 이거나 증명된것 이아닌부정확한정보또는허위의 정보라도특정한개인에관한정보이면개인정보가될수있습니다. 4 개인을 알아볼수있는 정보이여야합니다. ( 알아볼수있는 의의미 ) 는해당정보를 처리하는자 의입장에서합리적으로활용될가능성이있는수단을고려하여개인을알아볼수있다면개인정보에해당합니다. 여기서 처리 란개인정보보호법제2조제2호에따른개인정보의수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위를말합니다. 현재처리하는자외에도제공등에따라향후처리가예정된자도포함됩니다. 한편, 주민등록번호와같은고유식별정보는해당정보만으로도정보주체인개인을알아볼수있지만, 생년월일의경우에는같은날태어난사람이여러사람일수있으므로다른정보없이생년월일그자체만으로는개인을알아볼수있다고볼수없습니다. 5 다른정보와 쉽게결합하여 개인을알아볼수있는정보도포함합니다. ( 쉽게결합하여 의의미 ) 는결합대상이될정보의 입수가능성 이있어야하고 결합가능성 이높아야함을의미합니다. 입수가능성 의의미는두종이상의정보를결합하기위해서는결합에필요한정보에합법적으로접근 입수할수있어야하며, 이는해킹등불법적인방법으로취득한정보까지포함한다고볼수는없습니다. 결합가능성 의의미는합법적인방법으로정보를입수하여도현재의기술수준에비추어결합이사실상불가능하거나, 결합하는데비합리적인수준의비용이나노력이수반된다면이는결합이용이하다고볼수없습니다. 따라서, 공유 공개될가능성이희박한정보는합법적입수가능성이없다고보아야하며, 일반적으로사업자가구매하기어려울정도로고가의컴퓨터가필요한경우라면 쉽게결합 하기어렵다고보아야합니다. < 참고 > 폴란드개인정보보호법 폴란드개인정보보호법은 식별을위해서불합리한정도의시간, 비용및인력을필요로하는경우에는식별을가능하게하는정보로간주해서는안된다 라고하고있음 부록 1 55

3 개인정보의개념관련판례및유권해석사례 가. 판례 ( 判例 ) < 판례 > 휴대전화번호뒤 4 자리 대전지법논산지원 (2013고단17 판결 ) 은 휴대전화번호뒷자리 4자 에대하여, 휴대전화번호뒷자리 4자만으로도그전화번호사용자가누구인지를식별할수있는경우가있고, 특히그전화번호사용자와일정한인적관계를맺어온사람이라면더더욱그러할가능성이높으며, 설령휴대전화번호뒷자리 4자만으로는그전화번호사용자를식별하지못한다하더라도그뒷자리번호 4자와관련성이있는다른정보 ( 생일, 기념일, 집전화번호, 가족전화번호, 기존통화내역등 ) 와쉽게결합하여그전화번호사용자가누구인지를알아볼수도있다 고하여 개인정보보호법 제2조제1호에규정된개인정보에해당된다고판시하고있다. 나. 유권해석사례 < 개인정보보호위원회결정 > 배달음식점고객의전화번호및주소 개인정보보호위원회는 2012년 1월 30일 개인정보보호법관련법령해석요청건 ( 의안제2호 ) 에대한의결이유에서 배달음식점고객의전화번호및주소는그자체로는특정개인을식별할수없지만, 용이하게다른정보와결합하여특정개인을식별할수있으므로, 개인정보보호법 제2조제1호의 개인정보 에해당함 이라고해석하고있다. 용이하게다른정보와결합하여특정개인을식별할수있기만하면그자체로서특정개인을식별할수없는경우에도개인정보로보고있으므로, 의결이유에서지적한 고객의전화번호및주소 이외에도개인정보로인정할수있는정보의범위가확장될수있다고해석할수있다. 56 개인정보비식별조치가이드라인

2 비식별정보의개념및재식별시제재 1 비식별정보의개념 가. ( 비식별정보의개념 ) 개인정보를비식별조치한정보, 즉 비식별정보 란정보의집합물에대해 개인정보비식별조치가이드라인 에따라적정하게 비식별조치 된정보를말합니다. 비식별조치 란정보의집합물에서개인을식별할수있는요소를전부또는일부삭제하거나대체등의방법을통해개인을알아볼수없도록하는조치를말합니다. ( 자세한내용은 개인정보비식별조치가이드라인 참고 ) 참고로 EU 개인정보지침은 anonymization, 익명화 한경우에는지침이적용되지않도록하고있는데, 이해설서에서안내하는 비식별조치 는 EU의익명화와사실상같은개념입니다. 한편비식별정보가개인정보에해당하는지여부가의문이있을수있으나, 가이드라인에따라적정하게비식별조치가된정보는더이상특정개인을알아볼수가없으므로개인정보가아닌것으로추정됩니다. 개인정보가아닌것으로추정된다는의미는개인정보에해당한다는반증이없는한개인정보가아니되, 개인정보라는반증이나오는경우개인정보로본다는뜻입니다. 나. ( 비식별정보의활용 ) 비식별정보는개인정보가아닌정보로추정되므로정보주체로부터의별도동의없이해당정보를이용하거나제3자에게제공할수있습니다. 다만, 개인정보가아닌것으로추정되더라도불특정다수에게공개되는경우에는다른정보를보유하고있는누군가에의해해당정보주체가식별될가능성이있으므로비식별정보의공개는원칙적으로금지됩니다. 다. ( 비식별정보의보호 ) 비식별정보는개인정보가아닌것으로추정되지만, 새로운결합기술이나타나거나결합가능한정보가증가하는경우에는정보주체가 재식별 될가능성이있습니다. 따라서비식별정보라고하더라도필수적인관리적 기술적보호조치는이행해야합니다. ( 자세한내용은 개인정보비식별조치가이드라인 참고 ) 부록 1 57

2 재식별시제재 가. 비식별정보를재식별하여이용하거나제3자에게제공한경우에는개인정보의목적외이용 제공에해당하여 5년이하의징역또는 5천만원이하의벌금형에처해집니다 ( 개인정보보호법제18조제1항위반, 정보통신망법제24조및제24조의2 위반, 신용정보법제32조및제33조위반 ) 정보통신망법적용사업자는위반행위관련매출액의 3% 이하과징금이추가부과될수있음예를들어, 비식별정보를제3자에게제공하면서비식별조치요령을공유하거나공개되어있는알고리즘으로암호화하여쉽게복호화될수있도록정보를제공하는경우등이이에해당할수있습니다. 나. 비식별정보를처리하는자 ( 비식별정보를제공받은자포함 ) 가해당정보를이용하는과정에서재식별하게된경우에는해당정보를즉시처리중지하고파기하여야합니다. 추가적비식별조치없이재식별된정보를보관하는경우 5천만원이하의과태료가부과됩니다 ( 개인정보보호법제15조제1항위반, 정보통신망법제22조제1항위반, 신용정보법제15조제2항위반 ) 정보통신망법적용사업자는 5년이하징역또는 5천만원이하벌금형에처해지며, 위반행위관련매출액의 3% 이하과징금이추가부과될수있음 < 참고 > 미국의 De-identified data 소비자프라이버시권리장전 Sec4.(2) 에서는 De-identified data 의개념을정의하고해당정보는 비개인정보로취급 < 참고 > EU 의개인정보보호지침서문제 26 조 EU 개인정보보호지침의서문제26조에서는정보주체의신원을확인할수없는익명정보는보호원칙이적용되지않음을명시 58 개인정보비식별조치가이드라인

< 참고 > 일본의익명가공정보 개인정보보호법에빅데이터활용목적의 익명가공정보 라는개념을신설 < 일본개인정보보호법제2조제9항 > 이법률에서정하는 익명가공정보 란다음의각호에해당하는개인정보구분에대응하고해당각호에정하는조치를취하여특정개인을식별할수없도록개인정보를가공하여얻는개인에관한정보로서, 해당개인정보를복원할수없도록한것을말한다. 익명가공정보의법적취급 : 복원불가능을전제로하여정보주체의동의를받을필요가없고제 3 자 제공도자유로움, 다만일정한기술적ㆍ관리적조치를해야함 개인정보취급사업자의익명가공정보작성시의무사항 - 개인정보취급사업자가익명가공정보를작성할때는특정개인을식별하는것및그작성에이용되는개인정보를복원할수없도록가공해야한다. ( 제36조제1항 ) - 개인정보취급사업자가익명가공정보를작성할때는정보의누설을방지하기위하여정보의안전관리를위한조치를하여야한다. ( 제36조제2항 ) 3 개인정보보호법과다른법률과의관계 1 일반원칙 가. 일반법과특별법이저촉되면특별법이먼저적용되고, 특별법에규정이없는사항에대해서는일반법이적용된다. ( 헌법재판소 2004. 9. 23. 2004헌가12 결정참조 ) 나. 법률이상호모순, 저촉되는경우에는신법이구법에, 그리고특별법이일반법에우선하나, 법률이상호모순되는지여부는각법률의입법목적, 규정사항및그적용범위등을종합적으로검토하여판단하여야한다. ( 대법원 1989. 9. 12. 선고 88누6856 판결, 대법원 1995. 2. 3. 선고 94누2985 판결등 ) 부록 1 59

2 개인정보보호법과정보통신망법의관계 가. 정보통신서비스제공자에대하여는정보통신망법이우선적용되지만, 정보통신망법에특별한규정이없고개인정보보호법과상호모순 충돌하지않는경우에는개인정보보호법이적용됩니다. 나. 개인정보보호법제2조제1호의개인정보개념과정보통신망법제2조제6호의개인정보개념정의는개인정보의예시와관련하여일부차이가있을뿐동일한내용을규정하고있으므로사실상동일한개념이라고볼수있습니다. 따라서, 개인정보의개념과개인정보가아닌것으로추정되는비식별정보의개념또한차이가없습니다. 개인정보보호법과정보통신망법상의 개인정보 정의규정비교 개인정보보호법 제 2 조제 1 호 개인정보란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 를말한다. 정보통신망법제 2 조제 1 항제 6 호 개인정보란생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 를말한다. 3 개인정보보호법과신용정보법의관계 가. 신용정보법제3조의2는 개인정보의보호에관하여이법에특별한규정이있는경우를제외하고는 개인정보보호법 에서정하는바에따른다 라고하고있으므로신용정보법은개인정보보호법에대해특별법의지위를가집니다. 따라서, 개인신용정보에대해서는신용정보법을우선적용하되, 신용정보법에규정되어있지않는사항은개인정보보호법을적용하여야합니다. 나. 신용정보법상의개인신용정보및개인식별정보는금융거래등에사용되는개인정보의특수한형태로개인정보보호법상의개인정보의개념은신용정보법상의개인신용정보및개인식별정보보다포괄적인개념입니다. 따라서, 신용정보법상의개인신용정보와개인식별정보는당연히개인정보보호법상의개인정보에해당한다고봐야하며, 개인정보보호법상개인정보가아닌것으로추정되는비식별정보는신용정보법에서도개인정보가아닌것으로추정됩니다. 60 개인정보비식별조치가이드라인

부록 2 질의및응답 (Q&A) 부록 2 61

부록 2 질의및응답 (Q&A) 구분 질의사항 1 개인정보보호법과정보통신망법, 신용정보법등에서규정하는개인정보의개념에차이는없는지? 2 어떤정보가개인정보에해당하는지를판단할때해당정보를처리하는자의관점에서보아야한다고했는데, 이의의미는? 주요개념및적용범위 3 개인정보를비식별조치하는경우개인정보가아닌것으로추정한다는데이것의법적의미는? 4 본가이드라인이통신사업자나금융기관등에도적용되는지? 5 통계청등관련법령에따라데이터를수집, 연계 활용하는기관들에대해본가이드라인의적용여부는? 6 개인정보보호법제 18 조제 2 항제 4 호에따른정보와 개인정보비식별조치가이드라인 에따라비식별조치한정보와의차이는? 7 본가이드라인에서말하는비식별조치는무엇인가? 8 고객정보를제공받는기관이비식별조치를한다면, 제공하는기관은비식별조치를하지않을수있는지? 9 비식별대상인개인식별정보의구체적인항목은어떻게되는지? 10 비식별조치가적정한지어떻게알수있나? 비식별조치 11 평가단구성시 데이터이용목적과직접적인이해관계가없는자 로위원을구성토록하고있음. 이때, 평가단에참여하는내부전문가의경우에는이해관계자에포섭될수있는데, 평가단구성에대한구체적기준은무엇인지? 12 평가단이단순히 k- 익명성값만을가지고판단할가능성이있는데? 13 적정성평가시 k- 익명성을기본으로활용하되, 필요시추가적인평가모델 (l- 다양성, t- 근접성 ) 을활용하도록규정하고있는데, 필요시 에대한객관적인기준은무엇인지? 14 평가단이 적정 으로판단한비식별정보가추후에재식별된경우그책임소재는? 비식별정보활용 15 비식별조치된고객정보를시장조사, 신상품개발, 마케팅전략수립등에활용하거나제휴회사에제공하고자하는경우해당고객의동의가필요한가? 16 적절한수준으로비식별조치 된데이터에대해서는제 3 자제공동의를받지않았더라도다양한비즈니스목적으로제 3 자에게유상 / 무상으로제공이가능한지? 17 1 대 1 마케팅등맞춤형서비스목적으로이용가능한지? 62 개인정보비식별조치가이드라인

18 적절한수준으로비식별조치 된데이터에대해서는정보활용에대한동의를받지않았더라도다양한고객분석, 신상품기획, 세그먼트마케팅등의목적에활용할수있는가? 19 법령상 민감정보 에해당하는건강정보및유전정보의경우에도비식별조치를한다면개인의동의없이활용가능한지? 비식별정보활용 20 유전정보도다른건강정보와동일하게취급해야하는지아니면별도강화된조치가필요한지? 21 고객행태분석을위해서비스이용기록이나 SNS 등에공개된정보를수집하여비식별조치후이용하는것이가능한가? 22 해당데이터를가이드라인에따라적정성평가를받고활용하다새로운분석을위해비식별조치방법을변경하고자할때이경우별도의적정성평가를진행해야하는지? 23 비식별정보가재식별되면어떻게해야하나? 24 비식별정보도재식별가능성이있다고하는데비식별조치가제대로안된것이아닌지? 25 제공한비식별정보의모니터링책임이제공자에게있는것인지? 사후관리 26 적절한수준으로비식별조치 된정보는개인정보보관기한등과무관하게저장하여활용할수있는지? 27 비식별조치를한정보에대한열람, 정정 삭제및처리정지등의요구에어떻게대응해야하는지? 28 개인이재식별된경우, 개인정보보호법제 34 조의 유출 로보아해당정보주체에대한유출통지를해야하는지? 29 다른사업자가보유한 DB 를결합하여빅데이터분석등에활용할수있는가? 30 DB 결합을위해분야별전문기관에데이터를제공하는경우식별자만을제거하고제 3 의기관에서제공한알고리즘으로임시대체키를생성하여붙인뒤다른비식별조치를하지않을수있는지? 지원및관리체계 ( 재식별법적제재 ) 31 업종별의경우전문기관이서로다른데이업종의 DB 결합시각자자신이속한업종의전문기관의지원을받으면되는것인지? 32 이종 DB 결합시주민등록번호를사용하여임시대체키를만드는것이현행법위반인지? 33 기업내에서서로다른부서간의 DB 를결합하여이용하고자하는경우에도반드시외부의전문기관을통해야하는지? 34 개인정보를비식별조치하여활용할경우법적인책임은없는지? 35 가이드라인에서정하는대로비식별조치를실시하였다고가정할때의도하지않은재식별발생시면책이가능한지? 부록 2 63

주요개념및적용범위 문 1 개인정보보호법과정보통신망법, 신용정보법등에서규정하는개인정보의개념에 차이는없는지? 답 개인정보보호법제2조제1호의개인정보개념과정보통신망법제2조제1항제6호의개인정보개념은일부예시와관련하여차이가있을뿐사실상동일한개념임또한, 신용정보법상의개인신용정보와개인식별정보는금융거래등에사용되는개인정보의특수한형태로이는개인정보보호법상의개인정보에해당함 문 2 어떤정보가개인정보에해당하는지를판단할때해당정보를처리하는자의관점에서보아야한다고했는데, 이의의미는? 답 개인정보보호법상개인정보란그자체의정보로또는다른정보와쉽게결합하여개인을알아볼수있는정보를의미하는바, 여기서 알아볼수있는 의주체는개인정보를처리하는자로한정하여야함이는만약 알아볼수있는 의주체를불특정제3자로확대해석하게되면, 모든정보가다른정보와결합하여개인정보가될수있는불합리한결과가초래되기때문임다만, 해당정보를처리하는자 는정보를제공하는관계에서는해당정보를제공받은자를포함하는개념임 문 3 개인정보를비식별조치하는경우개인정보가아닌것으로추정한다는데이것의법적의미는? 답 본가이드라인에따라특정개인을알아볼수없도록비식별조치가적정하게된경우에는개인정보에해당한다는반증이없는한개인정보가아닌것으로보되, 개인정보라는반증이나오는경우개인정보로본다는뜻임 64 개인정보비식별조치가이드라인

문 4 본가이드라인이통신사업자나금융기관등에도적용되는지? 답 본가이드라인은비식별조치기준과지원 관리체계등비식별정보를안전하게활용하기위한목적으로행정자치부 ( 개인정보보호법 ), 방송통신위원회 ( 정보통신망법 ), 금융위원회 ( 신용정보법 ), 보건복지부 ( 의료법 ) 등관계부처와공동으로마련한것으로본가이드라인은통신사업자나금융기관등모든사업자에적용됨 문 5 통계청등관련법령에따라데이터를수집, 연계 활용하는기관들에대해 본가이드라인의적용여부는? 답 통계법등관련개별법령에서정한바에따라데이터를수집, 연계 활용하는기관들의경우에는본가이드라인의내용보다관련법령의규정이우선적용되어야함따라서, 통계청등이관계법령에따라통계작성등고유의공공목적을위해데이터를수집, 연계 활용하는경우는해당법령에근거한비식별조치방식을적용해야함 문 6 개인정보보호법제18조제2항제4호에따른정보와 개인정보비식별조치가이드라인 에따라비식별조치한정보와의차이는? 답 개인정보보호법제18조제2항제4호에따른정보는개인정보가아닌것으로추정한다는점에서는비식별정보와동일하지만, 법에서허용된통계작성및학술연구등을위한국한된목적으로만제공할수있다는점에서차이가있어서 개인정보비식별조치가이드라인 에따른비식별조치중적정성평가는제외할수있음 부록 2 65

비식별조치 문 7 본가이드라인에서말하는비식별조치는무엇인가? 답 비식별조치 란정보집합물 ( 데이터셋 ) 에서개인을식별할수있는요소 ( 식별자, 속성자 ) 를전부또는일부삭제하거나대체하는등의방법으로개인을알아볼수없도록하는조치를말함비식별조치는우선 가명처리, 총계처리, 데이터삭제, 데이터범주화, 데이터마스킹 과같은기법등을활용하여개인을알아볼수없도록조치하고, 또 k-익명성 모델등을활용하여비식별조치가적정한지여부에대한평가절차를거쳐야함 문 8 고객정보를제공받는기관이비식별조치를한다면, 제공하는기관은비식별조치를하지않을수있는지? 답비식별조치되지않은개인정보제공은개인정보제3자제공에해당하므로정보주체의별도동의가없었다면현행법위반임따라서, 정보주체로부터제3자제공에대한별도동의를받지않았다면제공하는기관이비식별조치를한후제공하여야함 문 9 비식별대상인개인식별정보의구체적인항목은어떻게되는지? 답 본가이드라인에따른비식별조치대상은정보집합물 ( 데이터셋 ) 에포함되어있는개인식별요소 ( 식별자및속성자 ) 이며, 각식별요소에대한비식별조치여부와방법은데이터이용목적등을고려하여결정되어야할것임식별자는원칙적으로삭제하여야하고, 데이터이용목적상반드시필요한식별자는비식별조치후활용하여야함속성자는데이터이용목적과관련이없는경우삭제하고, 이용목적과관련이있는속성자중식별요소가있는경우에는가명처리, 총계처리등의조치기법을활용하여비식별조치하여야함 66 개인정보비식별조치가이드라인

문 10 비식별조치가적정한지어떻게알수있나? 답 비식별조치가적정한지에대한여부는프라이버시보호모델인 k-익명성 등을활용한평가를거쳐결정됨예를들어, k값을 5로정하여비식별조치하였다면정보집합물내에는특정인을식별할수있는요소가없음은물론이고, 최소 5개이상의동일한레코드 (row, 列 ) 가존재하여특정개인을식별하기어려우므로비식별조치가적정한것으로봄 문 11 평가단구성시 데이터이용목적과직접적인이해관계가없는자 로위원을구성토록하고있음. 이때, 평가단에참여하는내부전문가의경우에는이해관계자에포섭될수있는데, 평가단구성에대한구체적기준은무엇인지? 답 평가단구성에내부전문가를참여시키고자하는경우에는해당데이터이용목적과직접적인이해관계가없는내부전문가를지정하여평가결과의공정성과신뢰성을보장하여야할것이며, 이경우간접적인이해관계자까지모두배재해야할필요는없음 문 12 평가단이단순히 k- 익명성값만을가지고판단할가능성이있는데? 답 비식별적정성평가단 이단순히 k-익명성값을만족하는지여부만을평가하는것이아니라평가대상데이터의특성, 재식별시도가능성등을고려하여현재의비식별조치수준이적정한지, 재식별위험이없는지여부등을종합적으로평가하는것임 부록 2 67

문 13 적정성평가시 k-익명성을기본으로활용하되, 필요시추가적인평가모델 (l-다양성, t-근접성 ) 을활용하도록하고있는데, 필요시 에대한객관적인기준은무엇인지? 답 본가이드라인에제시된 k-익명성을활용한평가는최소한의평가수단이며, 평가대상데이터의특성, 재식별시도가능성등을평가단에서종합적으로판단하여추가적인평가모델 (l-다양성, t-근접성 ) 을결정해야함예를들어, k-익명성에의해범주화되었더라도각레코드들이충분한다양성을가지지못하거나, 특정한값에쏠려있다고판단되는경우에는 l-다양성또는 t-근접성을추가적으로적용해야함 문 14 평가단이 적정 으로판단한비식별정보가추후에재식별된경우그책임소재는? 답 재식별에대한책임소재는당초평가단의평가내용과재식별된경위등을종합적으로고려하여판단해야할사항임당초평가단평가시 적정 으로판단할만한상당한근거가있었다면, 추후에재식별되었다는이유만으로책임을부과하는것은곤란함 비식별정보활용 문 15 비식별조치된고객정보를시장조사, 신상품개발, 마케팅전략수립등에활용하거나제휴회사에제공하고자하는경우, 해당고객의동의가필요한가? 답 개인식별요소삭제등충분한비식별조치가이루어졌다면고객의추가동의없이시장조사, 신상품개발, 마케팅전략수립등의용도로이용할수있음다만, 제휴회사에제공하는경우에는다른정보와의결합을통한재식별가능성이있으므로재식별위험관리사항을계약서에반영하는등본가이드라인에따른사항을준수해야할것임 68 개인정보비식별조치가이드라인

문 16 적절한수준으로비식별조치 된데이터에대해서는제3자제공동의를받지않더라도다양한비즈니스목적으로제3자에게유상 / 무상으로제공이가능한지? 답 본가이드라인에따라적정한비식별조치가이루어졌다면고객의동의를받지않더라도다양한비즈니스용도에활용될수있도록제3자에게제공이가능함. 이경우실비수준의수수료를받고비식별정보를제공할수있음또한, 재식별금지및재제공제한, 재식별위험시통지등의내용을해당비식별정보제공과관련한계약서에반드시포함하여야함 문 17 1 대 1 마케팅등맞춤형서비스목적으로이용가능한지? 답 비식별조치된정보는특정개인을알아볼수없으므로 1대1 마케팅등맞춤형서비스목적으로활용하는것이현실적으로불가능함 개인식별이가능한정보를이용해상품판매또는홍보등 1대1 마케팅을하려면현행법령에따라정보주체의사전동의필요 문 18 적절한수준으로비식별조치 된데이터에대해서는정보활용에대한동의를받지않았더라도다양한고객분석, 신상품기획, 세그먼트마케팅등의목적에활용할수있는가? 답 비식별정보는개인정보가아닌것으로추정되는바, 고객분석, 신상품기획, 세그먼트마케팅등의목적으로활용이가능다만, 세그먼트마케팅을위한비식별조치의경우특정개인을알아볼수없도록세그먼트를충분한규모로산정해야함 부록 2 69

문 19 법령상 민감정보 에해당하는건강정보및유전정보의경우에도비식별조치를한다면개인의동의없이활용가능한지? 답 개인정보보호법상민감정보에해당하더라도가이드라인에따라특정개인을알아볼수없도록비식별조치한경우개인의사전동의없이빅데이터분석등에활용이가능함다만, 생명윤리및안전에관한법률 에근거한인간대상의연구목적으로수집된개인정보는동법제18조에의거별도의제공절차에따라야함 문 20 유전정보도다른건강정보와동일하게취급해야하는지아니면별도의강화된조치가필요한지? 답 유전정보 는 디엔에이신원확인정보의이용및보호에관한법률, 생명윤리및안전에관한법률 에따라엄격히보호되고있는정보이므로해당법률에서정하는별도의강화된조치가필요함 문 21 고객행태분석을위해서비스이용기록 * 이나 SNS 등에공개된정보를수집하여비식별조치후이용하는것이가능한가? * 인터넷접속정보, 웹사이트방문정보, 사용하는단말기정보등 답 합법적으로수집한정보라면비식별조치후이용하는것은가능하며, 이경우정보주체의동의를받지않아도됨 70 개인정보비식별조치가이드라인

문 22 해당데이터를가이드라인에따라적정성평가를받고활용하다새로운분석을 위해비식별조치방법을변경하고자할때이경우별도의적정성평가를진행해야하는지? 답 본가이드라인에따른적정성평가는데이터마스킹, 총계처리등비식별기법이적용된정보를대상으로하여비식별조치가적정하게이루어졌는지여부를평가하는것임따라서, 당초적용된비식별기법을변경하여다른기법을적용하는경우에는기존평가대상의변경이수반되므로추가적인적정성평가가진행되어야함 사후관리 문 23 비식별정보가재식별되면어떻게해야하나? 답 사업자등은비식별정보를활용하는과정에서정기적인모니터링과필수적인안전조치등을통해재식별위험을최소화해야함다만, 비식별정보의처리과정에서비의도적으로특정개인을재식별하게된경우에는즉시그정보의처리를중단하고파기조치를하여야함 문 24 비식별정보도재식별가능성이있다고하는데비식별조치가제대로안된것이아닌지? 답 재식별가능성이현저하다면이는비식별조치가제대로이루어지지않은것임 비식별조치가충분히이루어졌다면그시점에서재식별은불가능다만, 비식별조치가적정하게된경우에도새로운결합기술이출현하고입수가능한정보가증가하는경우에는사후에재식별이될수있음따라서, 비식별조치가적정하게된경우에도재식별방지를위해필수적인안전조치는이행하여야함 부록 2 71

문 25 제공한비식별정보의모니터링책임이제공자에게있는것인지? 답 비식별정보를이용하거나제3자에게제공하려는사업자등은해당정보의재식별가능성을정기적으로모니터링해야함이미제공된비식별정보의모니터링책임은과거에그정보를제공한자가아니라현재그정보를이용하는사업자등에게있음 문 26 적절한수준으로비식별조치 된정보는개인정보보관기한등과무관하게저장하여활용할수있는지? 답 비식별정보는개인정보가아닌것으로추정되므로보관및이용목적 기간을뚜렷하게한후해당목적및기간종료시까지저장하여활용할수있음다만, 비록비식별정보가특정개인을알아볼수는없더라도, 재식별의도가있는제3자가부정한목적으로활용하지않도록필수적인안전조치는이행하여야함 문 27 비식별조치를한정보에대한열람, 정정 삭제및처리정지등의요구에어떻게대응해야하는지? 답비식별조치된정보는요구자에대한정보를확인할수없으므로개인정보열람, 정정 삭제및처리정지등이현실적으로불가능 72 개인정보비식별조치가이드라인

문 28 개인이재식별된경우, 개인정보보호법제 34 조의 유출 로보아해당정보주체에 대한유출통지를해야하는지? 답 개인정보유출 은 법령이나개인정보처리자의자유로운의사에의하지않고개인정보처리자가통제를상실하거나또는권한없는자의접근을허용한경우 를의미하며, 정보처리과정에서우연히개인이재식별되었다는사실만으로는개인정보유출로볼수없으므로유출통지대상이아님 개인정보처리자의통제상실 및 제3자의접근허용 에해당하지않음다만, 재식별된정보를파기하지않고보관하다가해커등권한없는제3자에게그정보가노출되었다면 개인정보유출 에해당하므로지체없이 (5일이내, 정보통신망법적용사업자는 24시간이내 ) 유출통지를해야할것임 지원및관리체계 문 29 다른사업자가보유한 DB 를결합하여빅데이터분석등에활용할수있는가? 답 정보주체의동의없이당사자간개인정보를직접주고받는것은현행법상허용되지않음다만, DB 결합과정에서만임시로매칭키역할을하는 임시대체키 를부여하고비식별조치한후신뢰할수있는전문기관이결합하는것은가능 문 30 DB 결합을위해분야별전문기관에데이터를제공하는경우식별자만을제거하고제3의기관에서제공한알고리즘으로임시대체키를생성하여붙인뒤다른비식별조치를하지않을수있는지? 답 직접적인식별자만제거하고속성자에대한비식별조치없이분야별전문기관에데이터를제공하는행위는본가이드라인에따른충분한비식별조치가아님분야별전문기관에데이터결합을위해제공하는정보는본가이드라인에서정하는비식별조치및 비식별조치적정성평가단 의평가를거쳐비식별조치를적정하게한후에제공해야함 부록 2 73

문 31 업종별의경우전문기관이서로다른데이업종의 DB결합시각자자신이속한업종의전문기관의지원을받으면되는것인지? 답 DB 결합을지원할전문기관을선택하고자하는경우 1 산업내기업간결합은해당분야전문기관에서결합을지원하고, 2 이종산업간결합은대량의정보집합물을결합하고자하는기업이속해있는분야별전문기관에서수행 분야별전문기관은한국인터넷진흥원, 한국신용정보원, 금융보안원, 사회보장정보원, 한국정보화진흥원중에서소관부처가공문으로지정 공표하여운영하고필요시추가지정가능당해산업을지원해주는전문기관이없는경우에는한국인터넷진흥원또는한국정보화진흥원에서지원을받으면됨 문 32 이종 DB 결합시주민등록번호를사용하여임시대체키를만드는것이현행법 위반인지? 답 개인정보보호법제24조의2에따라주민등록번호는법령에서구체적으로요구하거나허용하는경우등을제외하고는처리가엄격히제한됨따라서, 임시대체키생성시주민등록번호를사용하는것은현행법령에서구체적으로요구하거나허용하는경우등으로볼수없으므로현행법위반의소지가있음 문 33 기업내에서서로다른부서간의 DB를결합하여이용하고자하는경우에도반드시외부의전문기관을통해야하는지? 답 기업내에서서로다른부서간 DB를결합하여이용하고자하는경우에는반드시외부의전문기관을통할필요는없음다만, 기업내 DB결합시에도결합전 후본가이드라인에따른비식별조치및적정성평가를수행하여야하며, 결합과정에서임시대체키를활용할경우에는결합대상정보를관리하지않는제3의부서가임시대체키를안전하게생성 관리하고재식별시도금지및재식별시즉시파기등필수보호조치를엄격히해야함이경우평가단은동일한평가단에서평가를수행할수있음 74 개인정보비식별조치가이드라인

문 34 개인정보를비식별조치하여활용할경우법적인책임은없는지? 답 본가이드라인에따라특정개인을알아볼수없도록비식별조치하여활용하는경우에는개인정보보호법상목적외이용 제공등에관련한책임은없음. 다만, 적정한비식별조치없이활용하는경우에는책임이있음또한, 다른정보와결합하여재식별되지않도록필수적인관리조치는이행해야함. 즉, 비식별정보에대한관리적 기술적보호조치 * 와재식별이되는경우정보처리를즉시중단하고파기조치를하는등가이드라인에서정한조치사항을이행하지않아비식별정보가재식별이되면그에따른법적인책임이있음 비식별정보파일에대한접근권한관리및접근통제, 비식별정보파일유출시대응계획수립등 문 35 가이드라인에서정하는대로비식별조치 * 를실시하였다고가정할때의도하지않은재식별발생시면책이가능한지? * 비식별기법적용후전문가평가결과 (k- 익명성등 ) 적정 인경우 답 본가이드라인에따라특정개인을알아볼수없도록충분한비식별조치를실시하였다면고의성없는재식별사실만으로책임을부과할수는없음다만, 의도적으로비식별정보가쉽게재식별될수있도록이용 제공하거나, 재식별정보를보호조치없이보관 이용 제공한경우에는관련법령에따른벌칙 * 이나과태료 ** 가부과될수있음 재식별정보이용 제공시 : 5년이하징역또는 5천만원이하벌금 ( 정보통신망법적용사업자는위반행위관련매출액의 3% 이하과징금이추가부과될수있음 ) 파기조치없이보관 : 5천만원이하과태료 ( 정보통신망법적용사업자는 5년이하징역또는 5천만원이하벌금형및위반행위관련매출액의 3% 이하과징금이추가부과될수있음 ) 부록 2 75