[가명정보 지원 플랫폼] 가명정보 관련 제도에 대한 이해

지난 차시 복습

1. 개인정보 보호법과 다른 법률과의 관계에 대한 설명으로 옳은 것은 무엇인가요?

①  개인정보 보호에 관하여 다른 법률에 특별한 규정이 있더라도 무조건 개인정보 보호법이 우선한다.

②「신용정보법」에 특별한 규정이 없는 사항은 「개인정보 보호법」을 따른다.

③「생명윤리법」은 개인정보 보호법의 하위 법령이므로 항상 개인정보 보호법이 우선 적용된다.

④  가명정보에 대한 내용은 오직 「개인정보 보호법」에만 명시되어 있다.

1번 정답: ②

 

2. 「개인정보 보호법」 제28조의4에 따른 가명정보의 안전조치 의무사항이 아닌 것은 무엇인가요?

① 가명정보와 원래 상태로 복원하기 위한 '추가 정보'의 별도 분리 보관

② 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등에 관한 기록 작성 및 보관

③ 가명정보를 파기한 경우, 파기한 날부터 1년 동안 파기 기록 보관

④ 유출·위조·변조 등을 방지하기 위한 기술적·관리적 및 물리적 조치

2번 정답: ③

 

3. 「개인정보 보호법」과 「신용정보법」의 가명정보 처리 차이점에 대한 설명으로 옳지 않은 것은 무엇인가요?

① 개인정보 보호법은 결합전문기관을 통해, 신용정보법은 데이터전문기관을 통해 결합을 수행한다.

② 신용정보법은 익명처리된 정보에 대한 적정성 평가 지원 조항이 존재한다.

③ 개인정보 보호법상 가명정보는 처리 기간이 지나면 개인정보처리자가 직접 파기해야 한다.

④ 개인정보 보호법에서는 가명정보에 대해 정보주체의 '개인신용정보 삭제 요구권'이 그대로 적용된다.

3번 정답: ④

---

[주관식 및 OX 문제]

4. [주관식] 「개인정보 보호법」 제28조의5에 따르면, 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보(재식별)가 생성된 경우, 처리자가 즉시 취해야 할 3가지 조치는 무엇인가요?

( 정답: 해당 정보의 처리 ____ , 지체 없이 ____ 및 ____ )

4번 정답: 중지, 회수, 파기

 

5. [OX 문제] 가명정보 처리에 대해서는 정보주체의 열람권, 정정·삭제권, 처리정지권 등 일부 권리 적용이 제외된다. ( O / X )

( 정답: ____ )

5번 정답: O

---

1. 가명정보 관련 가이드라인

일반	개인정보 보호법, 가명정보 처리 가이드라인
금융	신용정보법, 금융분야 가명/익명처리 안내서
의료	보건의료데이터 활용 가이드라인
교육	교육기관 가명처리 실무안내서
공공	공공분야 가명정보 제공 실무 안내서

• 가이드라인이 없는 경우 : 개인정보보호위원회가 발간한 가명정보 처리 가이드라인에 따라 처리
• 가이드라인이 있는 경우 : 해당 가이드라인을 우선하여 적용

출처 : 가명정보 지원 플랫폼

보건/교육의 경우 특별법이 존재하지 않기 때문에 일반법인 개인정보 보호법을 따라서 가명정보 결합이 이루어짐.

 

가이드라인 별 소관부처

• 일반 : 가명정보 처리 가이드라인 -> 개인정보보호위원회
• 금융 : 금융분야 가명/익명처리안내서 -> 금융위원회
• 보건 : 보건의료데이터 활용 가이드라인 -> 보건복지부
• 교육 : 교육기관 가명처리 실무안내서 -> 교육부
• 공공 : 공공분야 가명정보 제공 실무안내서 -> 행정안전부

2. 가명정보 처리 및 결합

일반

가명정보 처리

개인정보처리자등은 통계작성, 과학적 연구, 공익적 기록보존 목적으로 가명정보 처리 가능(개인정보 보호법 제28조의2 제1항)

 

가명정보 결합

개인정보처리자는 가명정보를 결합하는 경우 결합전문기관을 토해 결합 필요(개인정보 보호법 제28조의3)

 

금융

가명정보 처리

신용정보회사등은 통계작성, 연구, 공익적 기록보전 목적으로 가명정보 처리 가능 (신용정보법 제32조 제6항 제9의2호)

 

가명정보 결합

신용정보회사등은 가명정보를 결합하는 경우 데이터전문기관을 통해 결합 필요 (신용정보법 제17조의2)

 

익명정보 평가

신용정보회사등은 익명처리가 적정하게 이러우졌는지 여부에 대해 금융위원회에 심사 요청이 가능하고, 심사 후 익명정보로 인정된 경우 익명정보로 추정 (신용정보법 제40조의2 제3항, 제4항)

 

의료

보건의료 데이터 처리 가이드라인 적용 대상

의료기관, 연구자, 기업, 공공기관, 대학교 등 보건의료데이터를 처리하는 모든 개인정보처리자

 

심의위원회

가명정보 내부 활용 또는 제3자 제공시 연구계획서의 윤리적/과학적 타당성, 연구대상자등의 안전에 관한 사항, 개인정보 보호 대책 등에 관한 사항 심의

 

데이터심의위원회

가명정보 처리 목적의 적합성, 가명처리 적정성 검토 , 기관 내 가명정보 활용, 기관 외부로 가명정보 제공 여부 및 방법 등 심의

• 보건의료데이터를 이용한 연구 경험이 풍부한 자, 개인업보보호 업무 경력과 전문성을 갖춘 자, 정보주체 또는 그 관점에서 이익을 대변할 수 있는 자 를 포함한 5인 이상으로 구성
• 심의 업무 위탁 : 내부 위원회 또는 외부기관에 심의 업무를 위탁 가능
• 정보 공개 : 개인정보처리자는 심의위원회 운영에 과한 사항을 홈페이지 등 공개적인 방법으로 공개 권고

 

특별한 보호가 필요한 데이터의 예외적 허용

정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기하는 경우 본인의 동의를 받아 활용하는 것이 원칙.

그러나 특별히 가명처리하여 연구 등 목적으로 활용해야 할 필요성이 인정되는 경우 심의위원회에 실시계획을 보고한 뒤 승인을 얻어 활용 가능

 

교육

검토위원회

가명정보 적합성 검토(적합성 검토 위원회) 및 적정성 검토(적정성 검토 위원회) 수행

7명 이상의 인력 풀을 구성하여 필요시 3명 이상으로 위촉하여 운영

• 적합성검토위원회 : 가명정보 활용 여부에 대한 승인 수행(적합성검토위원회는 적정성 검토 위원회로 대신할 수 있음)
• 적정성검토위원회 : 가명/익명처리가 적정한지 검토하는 절차

 

공공

공공데이터법에 따른 가명정보 제공 신청이 있는 경우

-> 가명정보 제공 신청에 대한 적합성 여부를 심사하여 제공이 적합하다고 판단되는 경우 가명처리 후 제공

출처 : 가명정보 지원 플랫폼

가명정보 결합

결합률 확인 : 가명정보 결합 전 또는 결합 과정에서 결합되는 가명정보의 수를 확인하는 절차

추출 : 가명정보 결합 과정에서 결합전문기관에 전송하는 정보를 최소화하기 위하여 결합키관리기관에 결합 대상 정보의 추출에 필요한 일련번호를 요청하는 것

모의 결합 : 가명정보 결합의 유용성을 미리 확인하기 위해 가명정보 결합 전 결합전문기관과 협의하여 결합전문기관에 일부 가명정보의 결합을 요청하는 것

3. 가명정보 관련 기관 소개

결합 전문 기관

수행업무 : 개인정보 보호법에 따른 가명정보의 결합 및 반출 등 업무 수행

법적근거 : 개인정보 보호법 제28조의3 및 동법 시행령 제29조의2, 가명정보의 결합 및 반출 등에 관한 고시 제11조의 2

 

결합키관리기관 : 한국인터넷 진흥원

• 수행업무 : 결합키연계정보생성, 결합률 확인, 추출

데이터전문 기관

수행업무: 신용정보법에 따른 가명정보 결합 관련 업무

법적근거: 신용정보법 제26조의4

4. 가명정보 관련 해설서, 사이트 등 소개

해설서	개인정보 보호 법령 및 지침, 고시 해설서(개인정보보호위원회)
관련 사이트	가명정보 활용 종합 지원 플랫폼, 가명정보 결합 종합지원 시스템, 가명정보 활용 지원센터(강원, 부산, 인천, 대전)
기타	개인정보보호위원회, 개인정보 포털(전문가 풀), 국가법령정보센터, 가명정보 활용 우수사례/아이디어 경진대회, 가명/익명처리 기술 경진대회

---

퀴즈

1. 다음 중 분야별 가이드라인과 소관 부처의 연결이 옳지 않은 것은 무엇인가요?
① 일반: 가명정보 처리 가이드라인 - 개인정보보호위원회
② 금융: 금융분야 가명·익명처리 안내서 - 금융위원회
③ 보건: 보건의료데이터 활용 가이드라인 - 보건복지부
④ 공공: 공공분야 가명정보 제공 실무안내서 - 법무부

2. 가명정보 결합 절차 중 "결합전문기관에 전송하는 정보를 최소화하기 위하여 결합키관리기관에 결합 대상 정보의 추출에 필요한 일련번호를 요청하는 것"을 의미하는 용어는?

① 결합률 확인 ② 추출 ③ 모의 결합 ④ 적정성 평가

3. 보건 및 교육 분야의 가명정보 결합에 관한 설명으로 옳은 것은 무엇인가요?
① 보건 분야는 별도의 특별법이 없으므로 '신용정보법'을 따른다.
② 교육 분야는 '교육기본법'에 따라 결합이 이루어진다.
③ 보건과 교육 분야는 별도의 특별법이 존재하지 않아 일반법인 '개인정보 보호법'을 따른다.
④ 교육기관은 가명정보 결합 시 '데이터전문기관'을 통해서만 결합해야 한다.

4. [주관식] 「신용정보법」에 근거하여 금융분야의 가명정보 결합 관련 업무를 수행하는 기관의 명칭은 무엇인가요?
( 정답: ____________________ )

5. [OX 문제] 교육분야 가이드라인에 따르면, 가명정보 활용 여부를 승인하는 '적합성검토위원회'는 '적정성검토위원회'로 대신하여 운영할 수 있다. ( O / X )

 

정답

 

• 1번 정답: ④
  • 해설: 공공분야 가명정보 제공 실무안내서의 소관 부처는 행정안전부입니다.
• 2번 정답: ②
  • 해설: 제시된 설명은 '추출'에 대한 정의입니다. (①은 수 확인, ③은 유용성 미리 확인)
• 3번 정답: ③
  • 해설: 텍스트 설명에 따르면 보건/교육의 경우 특별법이 존재하지 않아 일반법인 개인정보 보호법을 따라 결합이 이루어집니다.
• 4번 정답: 데이터전문기관
  • 해설: 개인정보 보호법에 따른 기관은 '결합전문기관', 신용정보법에 따른 기관은 '데이터전문기관'입니다.
• 5번 정답: O
  • 해설: 교육분야 가이드라인 내용 중 "적합성검토위원회는 적정성 검토 위원회로 대신할 수 있음"이라고 명시되어 있습니다.