개인정보의 개념을 세분화하고, 그 중 산업계가 정보 주체의 사전 동의 없이 활용할 수 있는 가명정보의 기준과 처리 방식을 구체화한 '데이터 3법'이 이달 초 국회를 통과했다. 이에 따라 개인정보를 가명정보로 처리하는 비식별화 기술에 산업계의 관심이 쏠리고 있다.
가명정보는 정보 주체를 특정할 수 없도록 비식별 처리한 개인정보다. 프라이버시 침해를 최소화하면서, 개인정보를 빅데이터 분석 기술의 효용을 극대화하기 위한 재료로 활용할 수 있게 하기 위한 개념으로 고안됐다.
빅데이터 활성화에 따른 데이터 이용 수요에 대응하기 위해 정부는 '개인정보 비식별 조치 가이드라인'을 지난 2016년 발간했다.
그러나 가명정보에 대한 법적 정의가 없었기 때문에 가명정보를 활용한 기업과 이를 지원한 기관 모두 불법 논란에 시달렸다. 데이터 3법이 통과됨에 따라 이같은 논란이 일단락될 수 있게 됐다.
가명정보가 법 테두리 안으로 들어왔지만, 구체적으로 어떤 비식별 처리를 거쳐야 합법적으로 활용이 가능한지에 대해서는 정해지지 않았다. 이는 기존 가이드라인에서도 명쾌하게 설명되지 못한 부분이다. 정부는 몇 년간 미뤄온 이 문제를 해결하기 위해, 분야별 가이드라인과 법 해설서 등을 준비하고 있다.
가명정보를 활용하기 위한 준비 작업이 한창인 가운데, 활용 가치가 큰 데이터를 축적해온 금융·공공 분야 수요가 늘고 있다는 게 비식별화 솔루션 업체들의 지적이다.
정부는 가명정보가 정확히 어떤 것인지 묻는 산업계의 의문을 해소하기 위한 절차를 밟고 있다.
이를 위해 데이터 3법이 도입되기 전인 지난해 9월부터 관계 부처, 전문가들과 함께 데이터 3법에 대한 시행령 개정안과 고시 등 행정규칙 제·개정 방안을 검토해왔다. 시행령은 내달, 행정규칙은 3월 중 개정안을 마련한다.
보건복지부, 금융위원회 등 전문기관과 협업해 각 정보의 특성을 고려한 분야별 개인정보 처리 가이드라인도 마련한다. 온라인 개인정보 처리 가이드라인 등 총 30여개의 가이드라인이 제·개정된다. 이와 함께 구체적 사례와 예시를 담은 법 해설서를 법 시행 시점에 맞춰 제공할 방침이다.
이를 통해 ▲안전한 데이터 결합을 위한 절차 마련 ▲정보 주체 동의 없이 추가 처리가 가능한 범위 명확화 ▲가명정보 처리 목적의 구체적 예시 ▲가명처리 기술의 구체적 예시 ▲개인정보 관련 고시를 개인정보보호위원회 산하로 일원화하는 법제 정비가 이뤄질 예정이다.
펜타시스템, 파수닷컴 등 비식별화 솔루션을 제공하는 업체들은 가명정보 개발을 위한 비식별화 절차가 구체화되는 것에 대해 기대감을 표하고 있다. 위법성 우려가 해소되고, 어떤 비식별 처리를 지원할지에 대한 모호함이 해소되면서 시장이 본격적으로 활성화될 것으로 관측하기 때문이다.
박세경 펜타시스템 전무는 "가이드라인에서는 17가지 비식별화 기법을 소개하고 있고, 시장에서 판매되는 비식별화 솔루션들도 이 기법을 활용한 비식별화 처리를 지원하고 있다"며 "이런 비식별 조치의 적정성을 평가하는 K-익명성, L-다양성, T-근접성 모델에 대해서도 가이드라인에서 언급되고 있지만, K나 L, T 등 기준이 되는 수치를 몇으로 설정해야 안전한지에 대한 규정이 없고 단순히 예시를 드는 데 그치고 있다"고 설명했다.
박 전무는 또 "정부가 가이드라인을 내놨을 당시 비식별화 솔루션 수요가 나타날 것으로 판단하고 제품을 개발했지만, 시민단체들이 소송을 걸고 프라이버시 침해 우려를 제기하면서 시장이 제대로 개화되지 못했다"며 "데이터 3법이 처리된 이후 금융업계가 비식별 기술에 대해 가장 많은 관심을 보이고 있고, 공공 쪽에서도 축적된 데이터를 활용하겠다는 의지가 강력하다"고 설명했다.
관련기사
- 정부, '데이터 3법' 후속 조치 박차…다음달 시행령2020.01.26
- 금융분야 데이터거래소, 3월부터 시범 운영2020.01.26
- "데이터 3법은 시작일 뿐"…개선 과제도 산적2020.01.26
- [기자수첩] 데이터 3법 후속논의도 서둘러야2020.01.26
윤덕상 파수닷컴 전무는 "새 가이드라인이 공포되면 단기적으로 비식별 솔루션에 대한 수요가 증가할 것으로 예상한다"며 "새로운 제도와 기술이 시장에 도입되는 만큼 우선은 고객사의 이해도를 높이기 위한 컨설팅, 세미나 등의 활동에 집중할 방침"이라고 언급했다.
인증 솔루션 업체인 드림시큐리티도 비식별화 솔루션 시장에 대한 관심을 드러냈다. 회사 관계자는 "데이터 3법이 통과됨에 따라 특히 금융·신용 정보에 대한 비식별화 및 가공 수요가 나타날 것으로 보고, 비식별화 솔루션 개발을 검토하고 있다"며 "한국전자통신연구원(ETRI) 등을 통해 기술을 이전받는 방식을 고려 중"이라고 말했다.