지난 6월 30일 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 국무조정실 등 정부 부처가 합동으로 마련한 `개인정보 비식별화 조치 가이드라인`을 발표했다. 비식별화는 개인 정보 일부 또는 전부를 삭제하거나 개인을 식별할 수 없도록 다른 값으로 변경하는 것을 말한다. 가이드라인에는 금융, 의료, 물류, 유통, 교통, 제조, 안전, 환경 등 정보통신기술(ICT) 융합 환경에서 빅데이터 산업 활성화로 신규 일자리를 창출하고 새로운 성장 동력을 확보하자는 정부의 의지가 담겼다. 유관 부처가 모두 한자리에 모여 학계와 산업계 전문가 의견을 수렴해 마련됐다는 데 그 의의가 크다.
가이드라인의 근거가 되는 법은 개인정보보호법이다. 이 법에서는 데이터 이용과 제공이 `통계 작성 및 학술 연구 등의 목적을 위해 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인 정보를 제공하는 경우`의 목적 외로 가능하다고 규정했다.
가이드라인의 기본 방향은 기업에 의한 빅데이터 처리를 허용하되 오·남용을 막기 위한 기업의 책임도 동시에 강화하는 것이다. 비식별화된 데이터는 개인 정보로 보지 않았다. 비식별화된 데이터는 기업이 이용할 수 있게 했고, 제3자로의 제공도 가능하다. 비식별화 조치의 적정성은 기업 평가단을 구성해 평가하게 했다. 비식별화된 데이터의 외부 유출을 방지하기 위한 기술 및 관리 차원의 보호 조치는 이행하도록 했다. 산업 내 다른 기업 간 데이터 결합도 고려됐다. 이를 위한 산업별 비식별화 전문 기관도 허용됐다.
개인 정보 보호와 활용이라는 두 마리 토끼를 잡기 위한 고심의 흔적이 읽힌다. 가이드라인이 소기의 목적을 거두기 위해서는 기업 가이드라인 실천 노력과 이해 당사자들의 협조 및 지원이 요구된다. 후속 조치가 중요한 이유다.
가이드라인에서 언급했듯 스타트업을 포함해 중소기업 가이드라인의 이해 증진을 위한 인식 제고 활동과 비식별화 처리를 위한 기술 지원이 필요하다. 안전한 비식별화 솔루션 기술 지원도 요구된다. 창의 아이디어로 혁신을 주도하는 스타트업이 가이드라인의 최대 수혜자로 예상되기 때문이다.
비식별화된 데이터는 기술 발전에 따라 언제든 재식별화가 될 소지가 있다. 비식별화된 데이터의 안전성에 대한 지속 점검도 요구된다. 안전한 비식별화 기술과 안전성에 대한 산·학·연 형태의 연구개발(R&D)도 필요하다. 비식별화 기법에는 가명 처리, 총계 처리, 마스킹, 데이터 삭제 등 다양하고 복잡한 기술을 적용해야 한다. 앞으로 발생할 다양한 재식별화 위험 요인을 고려해야 하기 때문에 단순히 가이드라인 제시로는 충분치 않기 때문이다.
기업 스스로 가이드라인 준수 노력과 점검은 가이드라인의 목적 달성을 위한 필요조건이다. 스스로 비식별화된 데이터 유출을 막기 위한 조직·기술·관리 차원의 보호 조치 구축과 운영이 필요하다. 비식별화된 데이터의 재식별화를 막기 위해 필요한 관찰과 보호 조치도 필수다. 이를 통해 비식별화에 대한 일각의 우려를 불식할 수 있기 때문이다.
비식별화 관련 기술과 프로세스를 위한 국제 표준화에도 적극 참여해야 한다. 글로벌 비즈니스 환경을 고려하면 국제 표준에 근거한 체계, 기술과 프로세스 적용이 필요하기 때문이다. 많은 비식별화된 데이터가 집중돼 있어 공격 목표 가능성이 큰 비식별화 전문 기관의 보호 조치 이행과 기준 준수 여부를 포함하는 정부의 수시 점검도 필요하다.
가이드라인의 근거 법이 약하다는 일각의 의견도 있다. 비식별화 전문 기관 요건, 비식별화 데이터 정의, 비식별화 데이터 안전성 등의 근거 법 공고화를 위한 법제화 노력이 시급하다. 유럽연합(EU), 일본, 미국 등 주요 국가에서도 비식별화를 위한 근거 법을 마련했음에 유념해야 한다. `시작이 반이다`라는 말도 있지만 가이드라인 제정은 소기 목적 달성을 위한 첫걸음임을 명심해야 한다.
염흥열 순천향대 정보보호학과 교수 hyyoum@sch.ac.kr