두루누리 기자세상/통신

방송통신위원회 2016. 9. 13. 14:29

 

 

 

이제는 빅데이터(BigData)란 말이 낯설지 않습니다. 빅데이터 기반의 추천 여행지, 빅데이터로 알아본 소비트렌드, 빅데이터 기반의 교통량 측정 등 빅데이터는 생활 깊숙히 들어왔습니다.

 

정용찬의 책 빅데이터에서는 과거 아날로그 환경에서 생성되던 데이터에 비하면 그 규모가 방대하고, 생성 주기도 짧고, 형태도 수치 데이터뿐 아니라 문자와 영상 데이터를 포함하는 대규모 데이터를 말한다고 빅데이터를 정의하고 있습니다.

 

빅데이터가 분석된다는 것은 곧, 데이터를 생산하는 주체가 있다는 것입니다. 데이터 생산주체는 데이터를 사용하는 개인과 법인 모두가 해당될 것입니다. 생산된 데이터를 아무런 제재없이 수집한다면 문제가 발생할 수 있습니다. 바로 개인정보 침해입니다.

 

 

< 통계청 국가지표체계, 개인정보 침해신고 상담건수 >

 

 

통계청의 개인정보 침해신고 상담건수를 보면 2010년부터 2013년까지 개인정보 침해신고 상담건수가 급격하게 증가한 것을 알 수 있습니다. 시기적으로 보면, 2009년 말 아이폰이 국내에서 본격적으로 판매되기 시작했습니다. 국내 통신업계에서도 스마트폰을 내놓으면서 스마트폰이 대중화된 시점이라고 볼 수 있습니다. 생산되는 데이터가 많다보니 이를 수집하는 측에서 무분별하게 개인정보를 수집했다고 생각할 수 있습니다.

 

개인정보의 무분별한 수집을 막고, 빅데이터 시대를 반영해 방송통신위원회, 행정자치부, 금융위원회, 미래창조과학부, 보건복지부, 국무조정실은 관계부처 합동으로 개인정보 비식별 조치 가이드라인을 지난 630일 발간했습니다.

 

이번 가이드라인을 통해 개인정보가 안전하게 보호되고, 산업계에서는 빅데이터를 합법적으로 수집할 수 있을 것이라 생각합니다. 이번에 발간된 개인정보 비식별 조치 가이드라인에 대해서 알아보겠습니다가이드라인은 개인정보를 이용·제공하는 사업자가 지켜야할 조치라는 점을 명확히 하고 있습니다. 비식별 조치는 4단계로 진행됩니다.

 

 

 

비식별 조치는 1단계 사전 검토, 2단계 비식별 조치, 3단계 적정성 평가, 4단계 사후관리 단계로 되어 있습니다.

 

1단계 사전 검토 단계에서 개인정보에 해당하는지 여부를 검토 후, 개인정보가 아닌 것이 명백한 경우에는 법적 규제 없이 자유롭게 활용할 수 있습니다. 개인정보의 개념은 다음과 같으며 이에 해당하지 않으면 개인정보가 아닙니다.

 

 

 

 

개인정보는 살아 있는 개인의 정보입니다. 따라서 사망한 자, 법인 또는 개인사업자는 보호되지 않는 것일까요?

 

그렇지 않습니다.

 

사망자의 정보라 하더라도 유족과의 관계를 알 수 있다면 유족의 정보는 개인정보에 대항합니다. 또한, 법인과 개인사업자의 경우, 법인과 개인사업자의 정보라 하더라도 개인에 관한 정보인 이름, 주민등록번호, 자택주소 및 개인연락처와 사진 등은 개인정보에 해당합니다. 이번 가이드라인은 폭넓게 개인정보를 규정하고 있는 것을 알 수 있습니다.

 

위의 1단계에서 개인정보에 해당한다면 다음 2단계 비식별 조치를 취해야 합니다.

 

▲가명처리(Pseudonymization),

총계처리(Aggregation),

데이터 삭제(Data Reduction),

데이터 범주화(Data Suppression),

데이터 마스킹(Data Masking) 등의 기법을 말합니다.

 

개인정보 비식별 조치 단계에서 개인을 식별할 수 있는 데이터는 다음과 같습니다.

 

 

 

< 개인을 식별할 수 있는 항목 >

 

 

그림에서 왼쪽을 식별자(개인 또는 개인과 관련한 사물에 고유하게 부여된 값 또는 이름), 오른쪽을 속성자(개인과 관련된 정보로서 다른 정보와 쉽게 결합하는 경우 특정 개인을 알아볼 수도 있는 정보)라고 합니다. 데이터 이용 목적이 있는 경우, 식별자와 속성자의 정보는 비식별 조치를 해야 합니다.

 

 

 

 

비식별 조치인 가명처리, 총계처리, 데이터 삭제, 테이터 범주화, 데이터 마스킹을 예로 들면 위와 같습니다.

 

비식별 기술은 단독 또는 복합적으로 활용하여 개인 식별 요소를 제거합니다. 원본데이터를 비식별 조치를 하면

다음과 같습니다.

 

 

< 원본데이터()를 데이터 마스팅(주민번호, 입원날짜), 총계처리(평균연령)으로 비식별조치 >

 

 

 

< 적성성 평가 >

 

 

 

2단계 개인정보 비식별 조치를 취한 후, 3단계에서는 외부 평가단을 통해 비식별 조치가 적정하게 이루어졌는지 외부 평가단을 통해 평가하도록 했습니다. 이는 비식별 조차가 제대로 이루어지지 않으면 다른 정보와의 결합으로 개인이 식별될 수 있는 것을 방지하기 위함입니다.

 

마지막으로 4단계는 사후관리 단계로 비식별 정보의 안전한 활용과 오남용 예방을 위한 조치사항입니다. 관리적·기술적 보호 조치는 다음과 같습니다.

 

 

 

 

 

이번 가이드라인은 개인정보를 비식별하여 개인임을 추정할 수 없도록 다양한 조치를 취하고 있습니다. 또한, 비식별 조치의 적정성을 평가하고 사후관리단계까지 2, 3중의 안전망을 만들었다고 할 수 있습니다.

 

매년 30% 이상 성장하는 빅데이터 산업, IoT(사물인터넷) 등 새로운 IT 산업의 출현 등 데이터 산업은 나날이 증가하고 있습니다. 업계에서는 개인정보 기준과 비식별 조치 기준이 명확하지 않아 어려움을 호소했습니다. 이는 서두에 말씀드렸던 개인정보 침해 건수가 증명하고 있습니다. 이번에 관계부처 합동으로 제정된 개인정보 비식별 조치 가이드라인을 통해 개인정보 보호와 안전한 빅데이터 활용 문화가 정책되길 기대합니다.