한국사회보장정보원

개인정보 비식별 조치 전문기관이란?

보건복지 분야 개인정보 비식별 조치 지원 전문기관으로 보건복지부가 “한국사회보장정보원” 지정(2016.08.01)

개인정보 비식별 조치 가이드라인 바로가기

비식별 정보의 개념

가. 비식별 정보의 개념 : 개인정보를 비식별 조치한 정보, 즉 ‘비식별 정보’란 정보의 집합물에 대해 「개인정보 비식별 조치 가이드라인」에 따라 적정하게 ‘비식별 조치’된 정보를 말합니다.
‘비식별 조치’란 정보의 집합물에서 개인을 식별할 수 있는 요소를 전부 또는 일부 삭제하거나 대체 등의 방법을 통해 개인을 알아볼 수 없도록 하는 조치를 말합니다.(자세한 내용은 「개인정보 비식별 조치 가이드라인」참고)
비식별 정보가 개인정보에 해당하는지 여부가 의문이 있을 수 있으나, 가이드라인에 따라 적정하게 비식별 조치가 된 정보는 더 이상 특정 개인을 알아볼 수가 없으므로 개인정보가 아닌 것으로 추정합니다.
개인정보가 아닌 것으로 추정된다는 의미는 개인정보에 해당한다는 반증이 없는 한 개인정보가 아니되, 개인정보라는 반증이 나오는 경우 개인정보로 본다는 뜻입니다.
나. 비식별 정보의 활용 : 비식별 정보는 개인정보가 아닌 정보로 추정되므로 정보주체로부터의 별도 동의없이 해당 정보를 이용하거나 제3자에게 제공할 수 있습니다.
다만, 개인정보가 아닌 것으로 추정되더라도 불특정 다수에게 공개되는 경우에는 다른 정보를 보유하고 있는 누군가에 의해 해당 정보주체가 식별될 가능성이 있으므로 비식별 정보의 공개는 원칙적으로 금지 됩니다.

재식별 시 제재

가. 비식별 정보를 재식별하여 이용하거나 제3자에게 제공한 경우에는 개인정보의 목적 외 이용·제공에 해당하여 5년이하의 징역 또는 5천만원 이하의 벌금형에 처해집니다(개인정보 보호법 제18조1항 위반, 정보통신망법 제24조 및 제24조의2 위반, 신용정보법 제32조 및 제33조 위반)
예를 들어, 비식별 정보를 제3자에게 제공하면서 비식별 조치 요령을 공유하거나 공개되어 있는 알고리즘으로 암호화하여 쉽게 복호화될 수 있도록 정보를 제공하는 경우 등이 이에 해당 할 수 있습니다.
나. 비식별 정보를 처리하는 자(비식별 정보를 제공받은 자 포함)가 해당정보를 이용하는 과정에서 재식별하게 된 경우에는 해당 정보를 즉시 처리중지하고 파기하여야 합니다.(개인정보 보호법 제15조제1항 위반, 정보통신망법 제22조제1항 위반, 신용정보법 제15조제2항 위반)

전문기관 주요 역할

비식별 조치 적정성 평가단 풀 구성 및 운영

비식별 조치 적정성 평가 지원을 위해 법률전문가 및 비식별 조치 기법 전문가 각 1명 이상 추천

보건복지 분야 비식별 조치 이행권고(K-익명성 수치 등)

보건복지 분야 비식별 조치 시 최소한의 이행기준 권고

비식별 조치 적정성 실태 점검

보건복지 분야 비식별 조치수행한 기관 대상

교육 및 컨설팅

보건복지 분야 비식별 조치를 수행하고자 하는 기관 및 종사자

기업간 정보집합물 결합지원

보건복지 분야 내 정보집합물 결합지원
이종산업 간 정보집합물의 경우 대량의 정보집합물을 결합하고자 하는 사업자가 속한 분야별 전문기관 또는 사업자 간 상호 협의하여 선정한 분야별 전문기관

비식별 조치 및 사후관리 절차

1단계(사전 검토) 2단계(비식별 조치) 3단계(적정성 평가) 4단계(사후 관리) 개인정보(식별정보) → 비식별 조치(개인식별 요소 제거) → 비식별적정성 평가(K-익명성) → YES(적정), NO(부적정) → 비식별 정보 그 자체로 특정 개인을 알아볼 수 있는 정보(다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보 포함) 개인정보가 아닌 것으로 추정(단, 다른 정보와 결합하여 재식별 되지 않도록 필수적인 관리조치는 이행