[가이드라인] 2017 개인정보 비식별 조치 가이드라인

 

2017년도의 개인정보 비식별 조치 가이드라인은 현재 쓰이고 있는 가이드라인과 다른 점이 많습니다.

개정이 되면서 KLT 모델, 익명이란 개념, 프라이버시 모델 등이 등장한 것이쥬 (¬‿¬)

그럼 2017년도에 발표되었던 개인정보 비식별 조치 가이드라인은 어떤 차이가 있을까요?

 

 

 

식별자 조치 기준

- ‘식별자’란 개인 또는 개인과 관련한 사물에 고유하게 부여된 값 또는 이름

- 정보집합물에 포함된 식별자는 원칙적으로 삭제 조치

- 데이터 이용 목적상 반드시 필요한 식별자는 비식별 조치 후 활용

 

• 고유식별정보(주민등록번호, 여권번호, 외국인등록번호, 운전면허번호)

• 성명(한자·영문 성명, 필명 등 포함)

• 상세 주소(구 단위 미만까지 포함된 주소)

• 날짜정보 : 생일(양/음력), 기념일(결혼, 돌, 환갑 등), 자격증 취득일 등

• 전화번호(휴대전화번호, 집전화, 회사전화, 팩스번호)

• 의료기록번호, 건강보험번호, 복지 수급자 번호

• 통장계좌번호, 신용카드번호

• 각종 자격증 및 면허 번호

• 자동차 번호, 각종 기기의 등록번호 & 일련번호

• 사진(정지사진, 동영상, CCTV 영상 등)

• 신체 식별정보(지문, 음성, 홍채 등)

• 이메일 주소, IP 주소, Mac 주소, 홈페이지 URL 등

• 식별코드(아이디, 사원번호, 고객번호 등)

• 기타 유일 식별번호 : 군번, 개인사업자의 사업자 등록번호 등

 

 

 

속성자 조치 기준

- ‘속성자’란 개인과 관련된 정보로서 다른 정보와 쉽게 결합하는 경우 특정 개인을 알아볼 수도 있는 정보

- 정보집합물에 포함된 속성자도 데이터 이용 목적과 관련이 없는 경우에는 원칙적으로 삭제

- 데이터 이용목적과 관련이 있는 속성자 중 식별요소가 있는 경우에는 가명처리, 총계처리 등의 기법을 활용하여 비식별 조치

- 희귀병명, 희귀경력 등의 속성자는 구체적인 상황에 따라 개인 식별 가능성이 매우 높으므로 엄격한 비식별 조치 필요

 

1. 개인 특성

•성별, 연령(나이), 국적, 고향, 시·군·구명, 우편번호 병역여부, 결혼여부, 종교, 취미, 동호회·클럽 등

•흡연여부, 음주여부, 채식여부, 관심사항 등

 

2. 신체 특성

•혈액형, 신장, 몸무게, 허리둘레, 혈압, 눈동자 색깔 등

•신체검사 결과, 장애유형, 장애등급 등

•병명, 상병(傷病)코드, 투약코드, 진료내역 등

 

3. 신용 특성

•세금 납부액, 신용등급, 기부금 등

•건강보험료 납부액, 소득분위, 의료 급여자 등

 

4. 경력 특성

•학교명, 학과명, 학년, 성적, 학력 등

•경력, 직업, 직종, 직장명, 부서명, 직급, 전직장명 등

 

5. 전자적 특성

•쿠키정보, 접속일시, 방문일시, 서비스 이용 기록, 접속로그 등

•인터넷 접속기록, 휴대전화 사용기록, GPS 데이터 등

 

6. 가족 특성

•배우자·자녀·부모·형제 등 가족 정보, 법정대리인 정보 등

 

 

 

비식별 조치 방법

 

- 가명처리, 총계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹 등 여러 가지 기법을 단독 또는 복합적으로 활용

- ‘가명처리’ 기법만 단독 활용된 경우는 충분한 비식별 조치로 보기 어려움

- 각각의 기법에는 이를 구현할 수 있는 다양한 세부기술이 있으며, 데이터 이용 목적과 기법별 장·단점 등을 고려하여 적절한 기법·세부기술을 선택·활용

 

 

처리기법	예시	세부기술
가명처리	•홍길동, 35세, 서울 거주, 한국대 재학 → 임꺽정, 30대, 서울 거주, 국제대 재학	- 휴리스틱 가명화 - 암호화 - 교환 방법
총계처리	•임꺽정 180cm, 홍길동 170cm, 이콩쥐 160cm, 김팥쥐 150cm → 물리학과 학생 키 합 : 660cm, 평균키 165cm	- 총계처리 - 부분총계 - 라운딩 - 재배열
데이터 삭제	•주민등록번호 901206-1234567 → 90년대 생, 남자 •개인과 관련된 날짜정보(합격일 등)는 연단위로 처리	- 식별자 삭제 - 식별자 부분삭제 - 레코드 삭제 - 식별요소 전부 삭제
데이터 범주화	•홍길동, 35세 → 홍씨, 30~40세	- 감추기 - 랜덤 라운딩 - 범위 방법 - 제어 라운딩
데이터 마스킹	•홍길동, 35세, 서울 거주, 한국대 재학 → 홍◯◯, 35세, 서울 거주, ◯◯대학 재학	- 임의 잡음 추가 - 공백과 대체

 

 

적정성 평가 단계 : K-익명성 모델 활용

 

 

적정성 평가 필요성

- 비식별 조치가 충분하지 않은 경우 공개 정보 등 다른 정보와의 결합, 다양한 추론 기법 등을 통해 개인이 식별될 우려 

- 개인정보 보호책임자 책임 하에 외부전문가가 참여하는 「비식별 조치 적정성 평가단 (이하, ‘평가단’)」을 구성, 개인식별 가능성에 대한 엄격한 평가 필요

- 적정성 평가 시 프라이버시 보호 모델 중 k-익명성을 활용 

- k-익명성은 최소한의 평가수단이며, 필요시 추가적인 평가모델(ℓ-다양성, t-근접성) 활용

 

 

적정성 평가 절차

① (기초자료 작성) 개인정보처리자는 적정성 평가에 필요한 데이터 명세, 비식별 조치 현황, 이용기관의 관리 수준 등 기초자료 작성

② (평가단 구성) 개인정보 보호책임자가 3명 이상으로 평가단을 구성(외부전문가는 과반수 이상)

③ (평가 수행) 평가단은 개인정보처리자가 작성한 기초자료와 k-익명성 모델을 활용하여 비식별 조치 수준의 적정성을 평가

④ (추가 비식별 조치) 개인정보처리자는 평가결과가 ‘부적정’인 경우 평가단의 의견을 반영하여 추가적인 비식별 조치 수행

⑤ (데이터 활용) 비식별 조치가 적정하다고 평가받은 경우에는 빅데이터 분석 등에 이용 또는 제공이 허용