빅데이터 산업 활성화와 개인정보 유출 방지를 위한 개인정보보호법이 지난 2020년 개정됐다. 해당 법엔 특정인을 식별할 수 없게 가공하는 '가명처리' 과정을 거쳐 개인정보를 빅데이터 기반 연구 등에 활용할 수 있게 하는 내용이 담겼다.
개인정보보호법 개정의 취지는 공공기관이나 기업이 수집한 이용자 정보로 다양한 서비스를 만들거나 연구에 활용할 수 있게 하는 것이다. 하지만 가명처리한 정보를 활발히 사용하는 사례가 일부 금융기관에 그쳐 장기적인 제도 개선이 필요하다는 분석이 나왔다.
1일 정보통신기획평가원의 보고서(주간기술동향 2052호)에 따르면 2020년 8월 개인정보보호법이 개정됐다. 개인정보를 가명처리해 통계 작성과 과학적 연구, 공익적 기록 보존 등에 활발히 사용할 수 있게 하는 것이 골자다.
수집한 개인정보에서 특정 개인을 알아볼 수 없도록 처리하는 것을 '비식별화'라고 한다. 비식별화는 크게 가명처리와 익명처리로 나뉜다. 가명처리는 개인정보의 일부를 삭제하거나, 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
익명처리는 시간과 비용, 기술 등을 합리적으로 고려해 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 수준으로 처리하는 것이다. 쉽게 말해 공을 들여 특정인을 파악하려고 해도 쉽게 알아낼 수 없는 수준으로 비식별화한 것이다.
때문에 익명처리한 정보는 가명처리한 정보보다 적은 정보를 담고 있다. 개인정보보호법 개정 전까지 산업계에선 익명처리한 정보만 사용해왔다.
하지만 개정 이후엔 특정인을 파악할 수 없는 수준으로 비식별화한 경우에 한해 가명처리한 정보도 사용할 수 있게 됐다. 특히 통계작성이나 과학적 연구, 공익적 기록 보존 등을 목표로 할 땐 정보 주체의 동의를 받지 않고도 가명처리를 거쳐 개인정보를 활용할 수 있다.
가명처리 절차는 크게 다섯 단계를 거친다. 데이터 사용 목적 등을 설정하는 사전 준비와 위험성 검토를 거친 뒤, 개인정보를 가명처리하고 적정성을 검토한 뒤 안전하게 관리하는 식이다.
2022년엔 가명처리한 정보를 활발히 사용할 수 있도록 '가명정보 결합' 가이드라인이 만들어졌다. 가명정보 결합이란 여러 기관에서 수집한 정보를 가명처리한 뒤, 심사를 거쳐 이들을 결합해 활용하는 것을 말한다.
대표적인 예로 국립암센터가 지난해 진행한 '폐암 환자의 사망 동향과 사망 예측' 연구를 들 수 있다. 해당 연구는 암센터와 국민건강보험공단, 통계청이 수집한 의료 및 인구 정보를 결합했다. 이를 통해 폐암 환자의 5년 이내 사망률이 77%에 이르고, 5년 이상 생존한 폐암 환자의 22%가 암 이외 원인으로 사망했다는 결과를 도출했다.
KT와 롯데멤버스는 이동통신 고객정보와 유통소비정보를 결합해 지역, 상권, 상품별 소비패턴을 분석했다. 이들은 1인 가구의 구매 상품 중 의류, 패션잡화, 가전, 디지털기기의 비중이 높다는 것을 파악했다. 또 구매금액 상위 고객이 주로 30대에 몰려있다는 사실도 알아냈다.
보고서에 따르면 2021년 7월 기준 개인정보보호위원회에 제출된 가명정보 결합 신청서는 105건에 달했다. 이 중 실제 결합까지 진행된 것은 66건이다. 초기엔 금융 분야를 중심으로 진행됐지만, 최근 보건의료와 행정 등으로 활용 분야가 넓어지는 추세다.
하지만 정부의 노력에도 가명정보 결합이 일부 분야에서만 활발히 이뤄진다는 지적도 나왔다. 개인정보보호법 개정에도 불구하고 가명정보 결합이 금융기관을 중심으로 이뤄진다는 분석이다.
보고서는 "가명정보 결합의 경우 현재 금융기관 위주로 활발히 진행되고 있다"며 "일부 보건계열을 제외하고는 아직까지 그 사례나 활성화가 미진한 시점"이라고 지적했다.
이어 "정부의 노력에도 불구하고 여전히 활성화는 미진한 상황"이라며 "개인정보보호위원회나 금융위원회 등 소관 부처에서도 보다 관심을 갖고 추진하길 바란다"고 덧붙였다.