일본 개인정보보호법과 빅데이터 목적의 익명가공정보 (1)

2020년 12월 2일 업데이트됨


2013년부터 시작된 일본의 개인정보보호법에 관한 입법 개선 작업이 2015년 9월 3일 완료되었고, 2017년 전면적인 시행을 앞두고 있다. 일본의 개인정보보호법은 2003년 5월 23일 국회에서 의결되어 5월 30일에 공포, 2005년 4월 1일부터 시행되고 있는데, 이번 개정 작업으로 또 한 번의 전면적인 변화를 받아들였다.

한편 우리나라 개인정보보호법과 달리 일본의 개인정보보호법은 민간 분야만을 규율하고 있고, 공공 분야에 대하여는 ‘행정기관이 보유하는 개인정보보호법’, ‘독립행정법인등이 보유하는 개인정보보호법’이 규율하고 있다.

이번 일본의 개정 개인정보보호법은 변화하는 IT 환경에 발맞추고 데이터의 활용을 촉진시키고자 규제를 완화하였고, 해외 여러 나라, 특히 EU와의 국제적 조화를 위하여 필요배려 개인정보(민감정보, 제2조 제3호)의 도입 등 보호수준을 올리는 규제강화 조치도 동시에 이루어졌다.

특히 규제완화 조치 중 빅데이터로 대표되는 데이터의 활용 방안을 촉진시키고자 ‘익명가공정보(제2조 제9호)’ 개념의 도입 등의 조치를 취하였는바, 여기서는 이 부분에 대하여 집중적으로 설명하고자 한다.

익명가공정보의 개념

익명가공정보(匿名加工情報, 익명정보가 아님에 유의)는 개정 일본 개인정보보호법 제2조 제9항에 규정되어 있는바, 그 내용은 아래와 같다.

익명가공정보에 대하여는 일정한 기술적 조치와 관리적 조치가 취해져야 하는데 위 제2조 제9항은 기술적 조치에 대하여 언급한 것이라 할 수 있다. 즉 익명가공정보로서 보존이 되려면 제2조 제9항에 해당하는 기술적 조치도 취하여야 하고, 원래 데이터와 조합하여 재식별하는 행위를 하지 않는 등의 관리적 조치도 취하여야 한다.

일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보 개념에서 유래한다. 일본의 개인정보 개념(제2조 제1항 제1호)은 ‘생존하는 개인에 관한 정보로서 당해 정보에 포함되어있는 성명, 생년월일 기타 기술 등에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 쉽게 조합(照合, 대조, 조회ㆍ비교)할 수 있으며, 그로 인하여 특정 개인을 식별할 수 있는 것을 포함한다)’인바, 괄호 안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별 될 수 있기에 비개인정보로 단정하기 어려운 점에 그 원인이 있다.

이에 일본은 용이조합성에 대한 논의를 제쳐두고, 쉽게 조합할 수 있다 하더라도 제공처가 사람을 식별하는 행위 금지, 제3자 제공 취지의 공표 등의 관리적 조치를 취하게 함으로써 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다. 그와 동시에 데이터 활용성을 달성하였는바 즉 본인 동의 없이 제3자에게 제공할 수 있고 목적외 이용이 가능하게 한 것이다.

위 익명가공정보의 정의규정에서 제1항 제1호에 해당하는 개인정보는 ‘생존하는 개인에 관한 정보로서 당해 정보에 포함되어있는 성명, 생년월일 기타 기술 등에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 쉽게 조합(照合)할 수 있으며, 그로 인하여 특정 개인을 식별할 수 있는 것을 포함한다)’로 정의되는 ‘일반개인정보’를 말한다. 여기서 조합(照合)이란 대조라는 의미이며, 組合이 아님에 유의해야 한다.

반면 제1항 제2호에 해당하는 개인정보는 ‘개인식별부호’를 의미하는데, ‘개인식별부호’는 바이오인식정보나 여권번호, 주민등록번호 등을 가리킨다.

제1항 제1호에 해당하는 일반개인정보에 대하여는 해당 개인정보에 포함된 기술(記述) 등의 일부를 삭제하는 처리를 하되, 해당 개인정보를 복원할 수 없도록 하여야 한다.

여기서 ‘기술(記述)’이란 개인의 신체, 재산, 직종, 직위 등 속성에 대해 사실, 판단, 평가를 나타내는 모든 정보를 가리키는바, ‘개인식별부호’에 대응되는 용어이다.

나아가 제1항 제2호에 해당하는 개인식별부호에 대하여는 해당 개인정보에 포함된 개인식별부호의 전부를 삭제하는 처리를 하고, 해당 개인정보를 복원할 수 없도록 하여야 한다.

제1항 제1호에 해당하는 개인정보와 제1항 제2호에 해당하는 개인정보 사이에 차이점이 있다면, 전자의 경우는 일부를 삭제하는 것으로 익명가공정보에 해당할 수 있지만, 후자의 경우는 전부를 삭제하여야만 익명가공정보에 해당한다. 정보의 삭제는 다른 기술(記述)로의 대체 방법으로 갈음할 수 있다.

익명가공정보의 법적 취급

익명가공정보는 EU GDPR의 pseudonymous data(가명처리 정보)에 해당된다(한편 익명정보는 anonymous data에 해당됨). 다만 EU GDPR의 pseudonymous data는 개인정보에 해당한다고 보나, 일본의 익명가공정보는 개인정보가 아니라고 보아 본인 동의 없이 재이용이 가능하다는 점에서 EU GDPR의 pseudonymous data와는 근본적인 차이가 있다.

오히려 익명가공정보는 미국소비자 프라이버시 권리장전법의 ‘비식별화 정보(De-identified data)’에 해당되며, 미국소비자 프라이버시 권리장전법의 ‘비식별화 정보(De-identified data)’는 일본의 익명가공정보와 동일하게 개인정보가 아닌 것으로 본다.

참고로 EU GDPR는 ‘pseudonymous data’에 대하여 아래 (1)과 같이 정의하고 있고, 미국소비자 프라이버시 권리장전법은 ‘비식별화 정보(De-identified data)’에 대하여 아래 (2)와 같이 정의하고 있다.

<2편에 계속>


* 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2016. 3. 2.), 리걸인사이트(2016. 3. 2.) 기고.

  • Instagram

서울특별시 강남구 테헤란로 134 포스코타워역삼 21층

02-532-3483

​바로가기

© 2020 by NEPLA. All Rights Reserved.