티스토리 뷰
가명처리 절차와 산출물
가명정보 활용을 위한 법적 필수 요건을 모두 갖춘 개인정보처리자라면 이젠 가명처리 절차를 숙지하고 활용 방안을 모색해봐야 할 것이다.
산업분야별로 처리 기준은 다를 수 있지만 절차는 공통적으로 같다.
가명처리 절차와 주요 산출물
1단계(목적 설정 등 사전준비)
- 가명정보 처리 목적을 명확히 설정하고, 가명정보 처리 목적의 적합성 검토 및 계약서, 개인정보처리방침, 내부관리계획 등 필요한 서류를 작성하는 단계
- 주요 산출물
> 계약서(위탁/제공)
> 가명정보활용 신청서
> 관련 내부 규정 제·개정
> 가명처리계획서(통계작성, 과학적 연구, 공익적 기록보존)
> 개인정보 유형 분류표
> 활용데이터 요구 수준표 등
2단계(위험성 검토)
- 가명처리 대상 항목을 선정하고 데이터 자체 식별 위험성 및 처리환경 식별 위험성을 분석·평가하는 단계
- 주요 산출물
> 식별 위험성 검토 체크리스트
> 비정형데이터 개인식별 위험성 검토 체크리스트
> 식별 위험성 검토 결과보고서
3단계(가명처리)
- 2단계 검토 결과 기반으로 가명정보 활용 목적 달성에 필요한 가명처리 방법 및 수준 수립과 가명처리하는 단계
- 주요 산출물
> 항목별 처리 계획(수준 정의표)
> 가명처리된 가명정보
> 적정성 검토 기초자료
4단계(적정성 검토)
- 가명처리가 적정하게 수행되었는지, 가명처리 한 결과가 가명정보의 처리 목적을 달성하기 위해 적절한지 등을 최종 검토하는 단계
- 주요 산출물
> 위원회 회의록
> 적정성 검토 결과서 및 종합결과서
> 비정형데이터 자체 검증 결과서
> 데이터심의위원회 심의 결과서 및 종합결과서
5단계(안전한 활용)
- 가명정보가 처리 목적을 달성하기까지 안전하게 활용되도록 지속적으로 점검하고 관리하는 단계
- 주요 산출물
> 재식별 모니터링 체크리스트
> 가명/익명/추가정보 관리대장
> 가명/추가정보 파기대장
> 가명/추가정보 접근 권한 부여 관리대장 등
이제 절차는 알았고, 절차별로 누가 뭘 해야 하는지 알아볼까?
담당자와 역할
가명정보 활용을 위한 담당자와 역할
각 담당자의 명칭은 실무적으로 다를 수 있으나 해당 역할에 초점을 맞추면 된다.
1. 가명정보관리책임자
- 가명정보 활용 체계의 모든 권한과 책임을 가진 의사결정권자이며, 일반적으로 CISO 또는 CPO가 겸임한다.
- 가명처리 단계에 직접 참여하지 않고 체계 운영이 원활히 될 수 있도록 지원하고 점검하는 역할을 수행한다.
2. 가명정보담당자
- 가명정보관리책임자의 지휘를 받아 가명정보 활용 체계 운영 실무를 담당한다.
- 가명처리 단계 : 1, (2), (3), (4), 5
3. 가명정보취급자
- 가명정보를 최종적으로 활용하는 사람이다.
- 가명처리 단계 : 1, 5
4. 규정관리담당자
- 개인정보내부관리계획과 개인정보처리방침 등 사내규정을 제·개정 관리를 한다.
- 가명처리 단계 : 1
5. 가명처리담당자
- 개인정보처리솔루션에 접근할 수 있고 개인정보를 처리할 수 있는 담당자로 주로 DBA가 수행한다.
- 가명처리 단계 : 2, 3
6. 검토위원회담당자
- 적정성검토를 위해 적정성 검토위원회를 소집하는 등 위원회 운영 및 관리를 담당한다.
- 가명처리 단계 : (1), 4
7. 적정성검토위원
- 적정성검토담당자가 지정한 검토위원으로 가명처리에 대한 적정성을 검토하게 된다.
- 가명처리 단계 : 4
※ 가명처리 단계 중 괄호에 표기된 단계는 실무 환경에 따라 달라질 수 있음을 표현한 것
(실제 해당 단계에 해당 담당자가 참여할 수도 있고 그렇지 않을 수도 있음)
권한의 분리
권한분리
가명처리를 수행한 자, 가명처리의 적정성을 검토하는 자, 가명정보를 처리하는 자는 관리적·기술적으로 권한을 분리해야만 한다. 이유는 재식별의 위험성이 크기 때문이다.
구분 개인정보 취급 가명처리 적정성 검토 가명정보 취급 개인정보취급자 O O X X 가명처리 수행자 O O X X 적정성 검토자 X X O X 가명정보 취급(처리)자 X X X O
가명정보처리자(기관/기업)의 조직이 크지 않고 전담 조직을 갖출 수 없는 환경이라면 가명정보의 처리 건별 담당자의 역할과 권한을 순환시켜 운영할 수도 있다.
예) 3명이 활용 체계를 운영할 경우
- 가명정보 A 처리 건에 대해 1번이 가명정보취급자, 2번이 가명처리자, 3번이 적정성검토자가 된다.
- 가명정보 B 처리 건에 대해 2번이 가명정보취급자, 3번이 가명처리자, 1번이 적정성검토자가 된다.
- 가명정보 C 처리 건에 대해 3번이 가명정보취급자, 1번이 가명처리자, 2번이 적정성검토자가 된다.
가명정보 활용을 위한 법적 필수 요건
개인정보일반적으로 개인정보처리자(개인정보를 수집하고 활용하는 모든 기관 및 기업)가 개인정보를 활용하기 위해서는 개인정보를 보호하기 위한 체계를 갖춰야 한다. 그러기 위해 가장 먼
jstreambox.tistory.com
가명정보 관련 용어 및 참고자료
가명정보 관련 용어 정리1. 개인정보살아 있는 개인에 관한 정보로 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보와 더불어 해 당 정보만으로는 특정 개인을 알아볼 수
jstreambox.tistory.com
'IT정보 > 가명정보' 카테고리의 다른 글
| 재현데이터(합성데이터)는 왜 필요한가? (21) | 2024.09.13 |
|---|---|
| 가명정보와 데이터 보안: 기업이 알아야 할 필수 지식 (8) | 2024.09.11 |
| 가명정보는 선택 아닌 필수 (10) | 2024.09.11 |
| 가명정보 활용을 위한 법적 필수 요건 (0) | 2024.06.01 |
| 가명정보 관련 용어 및 참고자료 (0) | 2024.06.01 |