개인정보 비식별 조치 가이드라인 - 비식별 조치 기준

개인정보 비식별 조치 가이드라인 

-비식별 조치 기준 및 지원·관리체계 안내-

II 비식별 조치 기준

1. 조치 개요 

본 가이드라인은 개인정보를 비식별 조치하여 이용 또는 제공하려는 사업자 등이 준수 하여야 할 조치 기준을 제시한 것임 

※ 통계법 등 관련법령에 따라 개인정보를 수집·이용하는 경우에는 당해 법령에 따라 처리 

단계별 조치사항 

① (사전 검토) 개인정보에 해당하는지 여부를 검토 후, 개인정보가 아닌 것이 명백한 경우 법적 규제 없이 자유롭게 활용

② (비식별 조치) 정보집합물(데이터 셋)에서 개인을 식별할 수 있는 요소를 전부 또는 일부 삭제하거나 대체하는 등의 방법을 활용, 개인을 알아볼 수 없도록 하는 조치

③ (적정성 평가) 다른 정보와 쉽게 결합하여 개인을 식별할 수 있는지를 「비식별 조치 적정성 평가단」을 통해 평가

④ (사후관리) 비식별 정보 안전조치, 재식별 가능성 모니터링 등 비식별 정보 활용 과정에서 재식별 방지를 위해 필요한 조치 수행

2. 단계별 조치 기준 

2-① 사전 검토 단계 : 개인정보 해당 여부 검토 

• 빅데이터 분석 등을 위해 정보를 처리하려는 사업자 등은 해당 정보가 개인정보인지 여부에 대해 아래 기준을 참조하여 판단 
• 해당 정보가 개인정보에 해당하지 않는 것이 명백한 경우에는 별도 조치 없이 빅데이터 분석 등에 활용 가능
  ⇨ 개인정보에 해당한다고 판단되는 경우 다음 단계의 조치 필요

< 참고 > 개인정보 해당 여부 판단 기준

가. 개인정보 보호법 등 관련 법률에서 규정하고 있는 개인정보의 개념은 다음과 같으며, 이에 해당하지 않는 경우에는 개인정보가 아님  

나. 개인정보는 ⅰ)살아 있는 ⅱ)개인에 관한 ⅲ)정보로서 ⅳ)개인을 알아수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 ⅴ)다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함

 ⅰ) (살아있는) 자에 관한 정보이어야 하므로 사망한 자, 자연인이 아닌 법인, 단체 또는 사물 등에 관한 정보는 개인정보에 해당하지 않음

 ⅱ) (개인에 관한) 정보이어야 하므로 여럿이 모여서 이룬 집단의 통계값 등은 개인정보에 해당하지 않음

 ⅲ) (정보)의 종류, 형태, 성격, 형식 등에 관하여는 특별한 제한이 없음

 ⅳ) (개인을 알아볼 수 있는 정보)이므로 특정 개인을 알아보기 어려운 정보는 개인정보가 아님

 •여기서 ‘알아볼 수 있는’의 주체는 해당 정보를 처리하는 자(정보의 제공 관계에 있어서는 제공받은 자를 포함)이며, 정보를 처리하는 자의 입장에서 개인을 알아볼 수 없다면 그 정보는 개인정보에 해당하지 않음

 ⅴ) (다른 정보와 쉽게 결합하여)란 결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고, 또 다른 정보와의 결합 가능성이 높아야 함을 의미

 •즉, 합법적으로 정보를 수집할 수 없거나 결합을 위해 불합리한 정도의 시간, 비용 등 이 필요한 경우라면 “쉽게 결합”할 수 있는 상태라고 볼 수 없음

 ※ 자세한 내용은 부록 「개인정보 보호 관련 법령 통합해설서」 참조

2-② 비식별 조치 단계 : 비식별 조치기법 적용

식별자(Identifier) 조치 기준 

• 정보집합물에 포함된 식별자*는 원칙적으로 삭제 조치
  ✽ ‘식별자’란 개인 또는 개인과 관련한 사물에 고유하게 부여된 값 또는 이름 
• 다만, 데이터 이용 목적상 반드시 필요한 식별자는 비식별 조치 후 활용

< 예시 > 식별자

• 고유식별정보(주민등록번호, 여권번호, 외국인등록번호, 운전면허번호) • 성명(한자·영문 성명, 필명 등 포함) • 상세 주소(구 단위 미만까지 포함된 주소) • 날짜정보 : 생일(양/음력), 기념일(결혼, 돌, 환갑 등), 자격증 취득일 등 • 전화번호(휴대전화번호, 집전화, 회사전화, 팩스번호) • 의료기록번호, 건강보험번호, 복지 수급자 번호 • 통장계좌번호, 신용카드번호 • 각종 자격증 및 면허 번호 • 자동차 번호, 각종 기기의 등록번호 & 일련번호 • 사진(정지사진, 동영상, CCTV 영상 등) • 신체 식별정보(지문, 음성, 홍채 등) • 이메일 주소, IP 주소, Mac 주소, 홈페이지 URL 등 • 식별코드(아이디, 사원번호, 고객번호 등) • 기타 유일 식별번호 : 군번, 개인사업자의 사업자 등록번호 등 

※ 美 「HIPAA 프라이버시 규칙」을 참고하여 작성

속성자(Attribute value) 조치 기준 

• 정보집합물에 포함된 속성자*도 데이터 이용 목적과 관련이 없는 경우에는 원칙적으로 삭제
   ✽ ‘속성자’란 개인과 관련된 정보로서 다른 정보와 쉽게 결합하는 경우 특정 개인을 알아볼 수도 있는 정보
   - 데이터 이용 목적과 관련이 있는 속성자 중 식별요소가 있는 경우에는 가명처리, 총계처리 등의 기법을 활용하여 비식별 조치 
• 희귀병명, 희귀경력 등의 속성자는 구체적인 상황에 따라 개인 식별 가능성이 매우 높으므로 엄격한 비식별 조치 필요

< 예시 > 속성자 

개인 특성	•성별, 연령(나이), 국적, 고향, 시·군·구명, 우편번호 병역여부, 결혼여부, 종교, 취미, 동호회·클럽 등  •흡연여부, 음주여부, 채식여부, 관심사항 등
신체 특성	•혈액형, 신장, 몸무게, 허리둘레, 혈압, 눈동자 색깔 등  •신체검사 결과, 장애유형, 장애등급 등  •병명, 상병(傷病)코드, 투약코드, 진료내역 등
신용 특성	•세금 납부액, 신용등급, 기부금 등  •건강보험료 납부액, 소득분위, 의료 급여자 등
경력 특성	•학교명, 학과명, 학년, 성적, 학력 등  •경력, 직업, 직종, 직장명, 부서명, 직급, 전직장명 등
전자적 특성	•쿠키정보, 접속일시, 방문일시, 서비스 이용 기록, 접속로그 등  •인터넷 접속기록, 휴대전화 사용기록, GPS 데이터 등
가족 특성	•배우자·자녀·부모·형제 등 가족 정보, 법정대리인 정보 등

비식별 조치 방법

• 가명처리, 총계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹 등 여러 가지 기법을 단독 또는 복합적으로 활용
  ※ ‘가명처리’ 기법만 단독 활용된 경우는 충분한 비식별 조치로 보기 어려움 
• 각각의 기법에는 이를 구현할 수 있는 다양한 세부기술이 있으며, 데이터 이용 목적과 기법별 장·단점 등을 고려하여 적절한 기법·세부기술을 선택·활용
  ✽ (참고 3) 「개인정보 비식별 조치 방법」 참조
   ⇨ 비식별 조치가 완료되면 다음 단계의 조치 필요

< 예시 > 비식별 조치 방법

처리기법	예시	세부기술
가명처리 (Pseudonymization)	•홍길동, 35세, 서울 거주, 한국대 재학  → 임꺽정, 30대, 서울 거주, 국제대 재학	① 휴리스틱 가명화  ② 암호화  ③ 교환 방법
총계처리 (Aggregation)	•임꺽정 180cm, 홍길동 170cm, 이콩쥐 160cm, 김팥쥐 150cm  → 물리학과 학생 키 합 : 660cm, 평균키 165cm	④ 총계처리  ⑤ 부분총계  ⑥ 라운딩  ⑦ 재배열
데이터 삭제 (Data Reduction)	•주민등록번호 901206-1234567  → 90년대 생, 남자  •개인과 관련된 날짜정보(합격일 등)는 연단위로 처리	⑧ 식별자 삭제  ⑨ 식별자 부분삭제  ⑩ 레코드 삭제  ⑪ 식별요소 전부삭제
데이터 범주화 (Data Suppression)	•홍길동, 35세 → 홍씨, 30~40세	⑫ 감추기  ⑬ 랜덤 라운딩  ⑭ 범위 방법  ⑮ 제어 라운딩
데이터 마스킹 (Data Masking)	•홍길동, 35세, 서울 거주, 한국대 재학  → 홍◯◯, 35세, 서울 거주, ◯◯대학 재학	⑯ 임의 잡음 추가  ⑰ 공백과 대체

< 예시 > 비식별 조치 기법 적용

2-③ 적정성 평가 단계 : k-익명성 모델 활용

적정성 평가 필요성

•  비식별 조치가 충분하지 않은 경우 공개 정보 등 다른 정보와의 결합, 다양한 추론 기법 등을 통해 개인이 식별될 우려
•  개인정보 보호책임자 책임 하에 외부전문가가 참여하는 「비식별 조치 적정성 평가단 (이하, ‘평가단’)」을 구성, 개인식별 가능성에 대한 엄격한 평가 필요
• 적정성 평가 시 프라이버시 보호 모델 중 k-익명성을 활용
   - k-익명성은 최소한의 평가수단이며, 필요시 추가적인 평가모델(ℓ-다양성, t-근접성) 활용
   ✽ (참고 3) 「개인정보 비식별 조치 방법」 참조

넷플릭스 사례(2006, 미국)

• 온라인 영화대여 회사인 넷플릭스(Netflix)는 고객의 기호에 맞는 영화를 추천하는 알고리즘의 정확성을 높이기 위해 경연대회를 개최

 - 1999년 12월부터 2005년 12월까지 50만명의 이용자들이 영화에 대한 평점을 내린 1억건의 시청 이력 데이터를 공개

 ※ 사용자를 식별할 수 있는 이름 등은 삭제하였으나, 데이터 처리 내용을 연결하기 위해 독특한 식별자, 영화에 대한 평가 내용, 평가 일시 등을 공개

 • 텍사스 대학의 한 그룹이 넷플릭스사가 공개한 시청 이력 데이터와 영화정보 사이트 IMDb(Internet Movie Database)에 공개된 사용자 리뷰를 결합하여 일부 개인을 식별해냄

 ※ IMDb는 웹 사이트 상에서 아이디와 평가점수를 게시

 • 미국연방거래위원회(FTC)가 프라이버시에 관한 문제를 지적하여 제2회 경연은 중지됨

적정성 평가 절차

 ① (기초자료 작성) 개인정보처리자는 적정성 평가에 필요한 데이터 명세, 비식별 조치 현황, 이용기관의 관리 수준 등 기초자료 작성

 ② (평가단 구성) 개인정보 보호책임자가 3명 이상으로 평가단을 구성(외부전문가는 과반수 이상)

 ③ (평가 수행) 평가단은 개인정보처리자가 작성한 기초자료와 k-익명성 모델을 활용하여 비식별 조치 수준의 적정성을 평가

 ④ (추가 비식별 조치) 개인정보처리자는 평가결과가 ‘부적정’인 경우 평가단의 의견을 반영하여 추가적인 비식별 조치 수행

 ⑤ (데이터 활용) 비식별 조치가 적정하다고 평가받은 경우에는 빅데이터 분석 등에 이용 또는 제공이 허용

비식별 조치에 대한 적정성 평가 절차