“지금의 비식별 정보로는 AI 시대에 빅데이터를 활용하는 데 한계가 있습니다.”
이창범 동국대 교수는 29일 한국프레스센터에서 열린 ‘개인정보 비식별 처리 기술 세미나’에서 이같이 말했다. 지금의 비식별정보는 삭제된 정보가 너무 많아 빅데이터로 활용하기에 매우 제한적이라는 것이다.
이번 세미나는 과학기술정보통신부, 행정안전부, 방송통신위원회가 공동 주최하고 한국정보화진흥원과 한국인터넷진흥원이 주관해 시민단체, 산업계, 정부 간에 비식별처리 기술에 대한 신뢰와 이해를 높이기 위해 마련됐다.
■ 가명정보와 익명정보 구분해야
이창범 교수에 따르면, 개인정보는 크게 식별 가능 정보와 식별 불능 정보로 나뉜다. 식별 가능정보에는 개인정보와 가명정보가 있다. 가명정보는 바로 식별할 수 없지만 별도 추가 정보만 있으면 식별이 가능한 정보를 말한다. 식별 불능 정보에는 익명정보가 있다. 익명정보는 다른 정보와 결합해도 특정 개인을 알아볼 수 없다. 국내에서 주로 말하는 비식별정보는 익명정보를 일컫는다.
가명정보와 익명정보는 모두 식별성이 없다. 하지만 가명정보는 추가 정보가 있다면 추적이 가능하고, 익명정보는 추가정보가 있어도 원본과 매칭이 안 돼 추적이 불가능하다.
이창범 교수는 “현재 한국의 비식별정보 가이드라인에 나와있는 ‘비식별 조치’는 익명화를 요구하는 것”이라며 “익명정보만을 가지고는 사실상 쓸 수 있는 정보는 없거나 매우 제한적”이라고 말했다. 이어 “익명정보만을 사용해서는 과거, 현재, 미래를 연계해 분석해야 하는 분야인 빅데이터 활용이 사실상 불가능하다”고 덧붙였다.
■ "EU는 공적 기록 등에 가명 정보 자유롭게 이용"
해외는 개인정보를 어떻게 활용하고 있을까. 이 교수는 "EU는 GDPR(개인정보보호법)에 가명화를 정의해 공적 기록, 과학 역사 연구, 통계 목적으로 가명정보를 자유롭게 이용할 수 있게 명시했다"고 소개했다.
그는 “일반적으로 연구개발 목적으로 개인정보를 활용할 때 추적 분석을 해야 하기 때문에 가명정보를 쓰는 경우가 많다”며 “자신의 연구 목적에 따라 가명정보를 사용할지 익명정보를 사용할지 판단을 다르게 한다”고 설명했다.
미국도 비식별정보를 익명정보와 가명정보로 나눠서 적용하고 있다. 익명정보는 비식별 전문가로부터 '특정 개인을 재식별할 수 있는 위험이 매우 낮다'는 인증을 서면으로 받는 ‘전문가 결정 방식’을 통해 활용할 수 있다. 가명정보를 이용할 수 있는 방법에는 ‘제한된 데이터 셋 방법’이 있다. 18개의 직접 식별자(이름, 주민번호, 이메일 주소 등) 중 생일, 나이, 우편번호 등의 일부 정보를 포함시키는 방법으로 연구, 공중보건 등의 특정 목적으로만 활용이 가능하다.
일본은 한국처럼 가명정보라는 개념이 따로 있지 않다. ‘익명가공정보’라는 하나의 개념으로 개인정보를 활용하고 있다. 이 교수는 “일본의 익명가공정보는 우리나라의 익명정보에 가까운 수준”이라면서도 “일본은 미국과 같이 옵트아웃(Opt-out)제도가 있어 가명정보라는 개념이 따로 있지 않아도 데이터 활용이 자유롭다”고 설명했다. 옵트아웃 제도에서는 개인정보 활용 목적을 공개만 잘 해놓으면 개인에게 동의를 받지 않아도 쓸 수 있기 때문이다.
관련기사
- 개인정보 비식별화로 빅데이터 활용 선도한다2018.03.29
- 개인정보 비식별 조치하면 사실상 재식별 불가2018.03.29
- "개인정보 비식별 가이드, 보호-활용 불균형"2018.03.29
- "금융권 개인정보 비식별 활용, 아직 눈치 보는 중"2018.03.29
이 교수는 “일부에서는 일본의 익명가공정보가 좋다고 하지만 기업들 쪽에서는 굳이 돈을 들여 정보를 가명화할 요인이 없기 때문에 실명으로 개인 정보가 활용되기 쉬어 이용자 입장에서는 데이터 보호가 잘 되지 않아 좋지 않다”고 강조했다.
그는 또 "일본의 익명가공정보는 AI시대로 나아가기 위한 필요충분 조건이 될 수 없다"며 “한국이 빅데이터를 이용해 AI개발을 제대로 할 수 있기 위해서는 가명정보라는 개념을 통해 조금 더 개인 정보를 안전하고 자유롭게 활용할 수 있어야 한다”고 조언했다.