아직 확정된 안은 아니지만 드디어 가명처리 가이드라인안이 나왔다. 지난달 5일부터 시행된 개인정보 보호법이 '가명정보'와 '가명처리'의 개념, 그리고 가명정보의 처리에 관한 특례를 규정하여 그간 가명처리에 대한 가이드라인이 언제 어떻게 만들어지는지에 대해 관심이 상당했는데, 가명처리 가이드라인안(절차 및 관리체계 안내)이 같은 달 13일 사전 공개되어 의견수렴을 거치고 있고, 이후 가명처리 가이드라인(결합반출)안이 이달 8일 추가로 공개되어 의견수렴을 진행하고 있다.

가명처리 가이드라인(결합반출)안은 개인정보처리자간의 가명정보 결합을 외부 전문기관에서 수행함에 필요한 과정과 절차 등에 대해 규정하고 있다. 가명처리 가이드라인안(절차 및 관리체계 안내)은 가명처리와 관련된 기본 개념과 절차, 가명처리 안전조치를 규정하고 있는데 그 주요 내용은 ① 정보주체의 동의 없이 가명정보를 처리할 수 있는 개인정보 보호법상의 통계작성, 과학적 연구, 공익적 기록보존의 개념 설명. 새로운 기술·제품·서비스의 연구개발 및 개선 등 산업적 목적의 연구가 과학적 연구에 포함됨 ②가명처리 절차를 4단계(사전준비, 가명처리, 적정성 검토 및 추가처리, 사후관리)로 분류하여 세부절차 설명. 특히 2단계 가명처리는 대상선정, 위험도 측정, 가명처리 수준 정의, 가명처리의 4가지 단계로 구성되는데, 내부활용과 제3자 제공의 경우로 구분해서 가명처리 전 항목별로 위험도를 분석하여 가명정보에 대한 위험도를 측정해야 함 ③가명처리를 수행한 자와 가명정보취급자(활용 등), 가명정보의 적정성을 검토하는 자를 관리적 또는 기술적으로 권한을 분리하고 접근통제를 실시해서 재식별 위험성을 없애야 함 ④가명처리하여 제3자 제공을 하는 경우에도 제3자의 개인정보보호수준에 따라 가명처리 수준을 달리하고, 제3자가 사전에 보유하고 있는 정보 등을 파악하기 위해 관련 정보를 요청하는 등의 조치를 통해 재식별 위험성을 없애야 함 ⑤가명정보의 복원에 필요한 추가 정보를 별도 분리하여 보관, 관리하고 가명정보에 대해 취해야 할 안전성확보조치 설명 등을 들 수 있다.

개인정보 보호법 시행에 맞춰 가이드라인 내용이 미리 확정되지 않은 것은 아쉬우나, 늦게나마 가이드라인안이 나왔으니 다행이다. 이제라도 다양한 의견을 토대로 제대로 된 안을 확정하여 개인정보 보호법이 가명정보, 가명처리를 규정한 목적을 제대로 실현하는데 가이드라인이 유용하게 사용되길 바란다.

이근우 변호사 (법무법인 화우)