데이터 3법 개정에 따른 개인정보 비식별 조치의 이해와 활용

★ 이 책에서 다루는 내용 ★

■ 입문자를 고려한 개인정보 비식별 조치의 기본 개념 설명
■ 입문자의 이해를 돕기 위한 비식별 조치의 일반적인 방법을 예시와 함께 설명
■ 데이터 상황을 고려한 비식별 조치 방법론 설명
■ 현업에서 바로 적용할 수 있는 비식별 조치 방법론 설명
■ 데이터 3법 개정에 따라 가명처리와 익명처리를 구분해 알기 쉽게 설명
■ 익명처리 시 자주 이용되는 프라이버시 보호 모델 설명
■ 한국인터넷진흥원 주최 개인정보 비식별 기술 경진대회 시 사용한 유용성 평가 지표 일부 설명
■ 실무자가 곧바로 현업에 활용할 수 있도록 부록에 각종 정보 수록

★ 이 책의 대상 독자 ★

■ 개인정보 비식별 조치 기술을 처음 접하거나 기초를 쌓고 싶은 학생
■ 데이터 3법 개정에 따라 개인정보를 가명처리해 활용하려는 기업ㆍ기관의 개인정보보호 담당자
■ 개인정보 비식별 조치 기술 등 전반을 이해하고 소속 기업ㆍ기관의 정책에 반영하려는 관리자나 정책 담당자

★ 이 책의 구성 ★

2020년 1월 9일, 개인정보보호법을 비롯한 이른바 데이터 3법이 국회 본회의를 통과했고, 지난 8월 5일 전격 시행됐다. 이번 법률 개정의 주요 내용은 원상태로 복원하기 위한 추가정보를 사용하지 않고는 특정 개인을 알아볼 수 없도록 처리한 정보, 즉 가명정보를 통계작성, 과학적 연구, 공익적 기록보존 등을 목적으로 동의 없이 활용할 수 있게 한 것이다.
가명정보의 개념은 개인정보를 가명처리한 정보로서 유럽의 경우, 지난 2018년 5월 25일부로 GDPR이 발효됨에 따라 이미 적용되고 있으며 미국에서도 NIST IR 8053 등 표준화 작업을 통해 이미 알려지고 활용돼 온 개념이다. 비식별 처리라 함은 이러한 가명처리뿐만 아니라 익명처리를 포함하는 개념으로 지난 2018년 11월 국제표준 ISO/IEC 20889에서 용어를 정의한 바 있다. 이 책에서는 개인정보의 비식별 조치 관점에서 기본 개념과 현업에서의 활용 방법 그리고 프라이버시 보호 모델을 비롯한 심화 내용을 포함한다.
다가오는 데이터 3법 개정과 함께 각 기관이나 기업 등 현업에서 개인정보 비식별 조치에 관한 기본적인 개념을 이해하고 이를 실무에 곧바로 적용할 수 있도록 하는 것이 이 책의 기본 목적이다. 아울러 개인정보 비식별에 대한 기본 개념과 기술들을 이해하고 연구하려는 대학생이나 대학원생에게도 유익한 정보를 제공해 줄 것이라 믿는다.
이 책의 1장에서는 개인정보 비식별 조치에 관한 기본 개념을 이해하도록 했고, 2장에서는 실무적인 관점에서 데이터와 데이터를 둘러싼 주변 환경에 대한 이해를 바탕으로 어떻게 하면 안전하게 비식별 조치 수준을 정할 수 있는지에 관한 방법론을 다룬다. 3장에서는 익명처리에 사용되는 프라이버시 보호 모델과 비식별 조치된 정보의 유용성을 측정하기 위한 측도를 소개한다. 이 책에서 소개하는 일부 측도의 경우 실제 우리나라 개인정보 비식별 기술 경진대회에서 사용된 바 있다. 아울러 부록을 통해 현업 실무자들에게 도움이 될 만한 참고자료들을 수록했다.

★ 지은이의 말 ★

2015년부터 개인정보 비식별 조치 기술 분야에 본격적으로 관심을 가지면서 이 분야는 다른 일반 보안기술 분야와는 참 다르다는 것을 깨달았다. 기술만 잘 안다고 되는 것이 아니고 개인정보보호와 관련된 법제나 정책 등도 함께 이해해야 한다. 또한 기술에 있어 개인정보를 안전하게 보호하면서도 동시에 활용할 수 있도록 데이터를 쓸모 있게 만들어야 한다. 이를 모두 만족하기란 쉬운 일은 아니지만 이 문제에 대한 해답을 찾고자 하는 분들에게 조금이나마 도움이 되고자 이 책을 집필했다. 이 책을 통해 부디 독자들이 개인정보 비식별 조치 분야에 한 발 더 쉽게 다가가는 계기가 되길 바란다.
-김순석-


2011년부터 개인정보 실태점검 업무를 수행하며 우리나라의 보안수준을 강화시키고 개선하는 데 많은 노력을 했다고 생각한다. 불과 몇 년 전까지만 해도 개인정보는 코에 걸면 코걸이, 귀에 걸면 귀걸이인 시절이 있었지만 이제는 데이터 활용이 방점이 돼 데이터 활용 환경에 따라 개인정보를 달리 해석하고, 정부도 데이터 경제 활성화 등을 위해 다양한 정책을 추진하고 있다는 점에서 개인정보 산업의 변화를 몸소 체험하고 있다. 개인정보에 대한 활용 시장이 더 커지려면 Positive 규제에서 Negative 규제로 방식이 변경돼야 한다고 본다. 그러나 그전에 관련 분야에 대해 공부하고 안전성을 판단할 수 있는 지식을 습득하는 것이 우선이라고 생각한다. 본 책을 통해 비식별 조치 관련 실무자들이 자체 가이드라인을 만들고 정책을 수립하는 데 도움이 됐으면 좋겠다.
-김동현-


2015년부터 국내 최초로 개인정보 비식별 조치 컨설팅을 수행하면서 많은 어려움이 있었다. 해외의 사례를 그대로 가지고 오기에는 법제 환경이나 데이터 활용환경이 너무 다르고 우리만의 컨설팅을 만들기에는 기반이 부족했다. 특히 이 분야는 전 세계적으로도 기술적으로 그리 성숙되지 않은 환경이고 2015년 당시만 해도 HIPAA의 가이드라인을 제외한 다른 문서는 거의 없는 상태였다. 그런 환경에서 컨설팅을 수행하기란 어려운 점이 정말 많았다. 다양한 해외의 가이드라인 등 문서를 쉽게 찾아볼 수 있고, 조금씩 법제적인 환경이 갖춰지고 있는 지금 환경에서도 아마 이 분야를 처음 접하시는 분들은 제가 겪었던 그 막막함을 느끼고 계실 거라 생각한다. 이 책은 가능한 한 실무적인 관점에서 도움이 되도록 구성했다. 이 책이 이제 막 이 분야를 시작하는 여러분들께 조금이나마 도움이 됐으면 좋겠다.
-김기태-