5일 시행된 ‘데이터 3법’ 가운데 하나인 개정 신용정보법에서 허용한 데이터 결합을 진행할 수 있는 데이터전문기관으로 신용정보원과 금융보안원이 공식 지정됐다.

금융위원회는 디지털 경제 시대 핵심 자원인 데이터를 원활히 결합‧가공‧활용할 수 있는 기반이 신용정보법 개정으로 조성됨에 따라, 신속하게 데이터 결합이 이뤄질 수 있도록 법 시행 바로 다음 날인 6일 데이터전문기관을 지정했다.

이번에 시행된 개정 신용정보법은 익명‧가명정보 개념을 도입했고, 정부가 지정한 데이터전문기관을 통한 데이터 결합을 허용한 것이 핵심이다.

데이터전문기관은 기업간 데이터 결합을 전문적으로 지원한다. 익명정보의 익명처리 적정성도 평가한다. 데이터 결합은 두 기관 가운데 한쪽이 금융회사 등인 경우 신청해 신용정보법에 따라 진행할 수 있다.

이에 따라 데이터 결합 수요자가 데이터를 안전하고 편리하게 결합‧활용할 수 있는 환경이 조성돼 다양한 융합 신서비스 개발이 이뤄질 것이란 기대가 나온다. 금융위는 현재 금융, 통신, 유통 기업 등 새로운 부가가치 창출을 시도하는 기업들이 준비하고 있는 데이터 결합을 통한 신서비스 개발이 촉진될 것으로 전망하고 있다.

예를 들어 신한은행과 CJ올리브네트웍스, LG유플러스는 은행이 가진 소득·소비·자산 정보와 온라인 채널 택배정보, 통신사 IPTV 시청정보(통신) 결합을 추진하고 있다. 상권별 소비행태 분석과 주거지 인근 상권 마케팅 전략 수립 등이 가능해질 것으로 예상된다.

신한카드와 SK텔레콤은 카드사가 보유한 카드 이용정보와 통신사 고객 기지국 접속 정보를 결합해 여행자들의 여행·관광 정보 분석해 다양한 서비스에 활용하기 위해 준비하고 있다.

데이터결합 지원, 익명처리 적정성 평가 수행

데이터전문기관은 기업들이 결합을 신청한 데이터를 안전하게 결합한 후 정보주체를 알아볼 수 없도록 익명‧가명처리해 전달하는 역할을 한다. 이를 위해 결합 데이터의 외부 유출이나 재식별 방지를 위해 엄격한 보안대책을 마련해 운영해야 한다.

결합업무 전담 수행 인력과 시스템을 운영해야 하고, 결합데이터를 제공한 뒤에는 지체없이 파기해야 한다. 결합 관련 사항 기록‧관리는 물론 금융위에 정기적 보고와 주기적 취약점 분석·평가 및 보안관제 등을 수행해야 한다.


아울러 데이터전문기관은 신용정보회사 등이 개인신용정보를 안전하게 익명처리해 활용할 수 있도록 익명처리 적정성을 평가하는 기능도 수행한다. 적정성평가를 통과한 정보는 익명정보로 추정된다.

신용정보원과 금융보안원은 가명‧익명처리와 데이터결합 관련 현장 문의에 대응할 수 있는 안내데스크를 운영한다.

신정법 시행 후속조치…금융분야 가명‧익명안내서 발간

금융위원회와 금융감독원은 가명‧익명정보 결합‧가공‧활용이 안전하게 활성화 될 수 있도록 ‘금융분야 가명‧익명처리 안내서’도 배포했다.

이에 따르면, 가명정보는 추가정보의 사용 없이는 특정 개인을 알아볼 수 없게 조치한 정보다. 익명정보는 더 이상 개인을 알아볼 수 없게 조치한 정보로, 개인정보로 보지 않는다.

익명정보는 개인정보가 아니기 때문에 제한 없이 자유롭게 활용할 수 있지만, 가명정보는 통계작성(상업적 목적 포함), 연구(산업적 연구 포함), 공익적 기록보존 등 목적에 한해서만 정보주체 동의없이 활용할 수 있다.

출처 : 금융분야 가명․익명처리 안내서

가명처리는 정보 이용 목적‧환경‧주체, 정보 특성, 위험도 등을 고려해 그 수준과 보유기간을 결정해 수행한다. 가명처리 방법은 식별자(성명, 전화번호 등) 삭제 또는 대체(암호화 등), 그 외 정보(주소, 자산 등)는 결정된 가명처리 수준에 맞춰 일반화, 범주화 등 비식별조치 실시 등이 있다.

가명처리한 이후에 해야하는 적정성 검토는 적절하게 가명처리 수준이 결정됐는지, 이에 따라 가명처리가 제대로 되었는지 여부를 확인하고, 재식별 가능성 등도 검토해 추가로 가명처리를 수행 여부가 판가름된다.

출처 : 금융분야 가명․익명처리 안내서


가명정보는 목적에 맞게 이용·제공·결합한 후 목적달성시 가명정보를 파기해야 한다. 신용정보업감독규정 등에서는 가명정보의 목적달성에 필요한 최소기간을 보존기간으로 설정하고, 주기적으로 검토해 재설정토록 규정하고 있다.

익명처리는 정보집합물에서 신용정보주체를 알아볼 수 없도록 처리한 것으로, 개인을 식별가능한 요소를 전부 또는 일부 삭제하거나 대체하는 등의 방법을 활용해야 한다.

금융회사 등은 필요시에 데이터전문기관에 익명처리 적정성 평가 요청할 수 있다. 이는 익명처리된 정보가 다른 정보와 결합 등을 통해 신용정보주체를 알아볼 수 있는지를 평가하는 것이다.

익명정보는 재식별 가능성이 객관적으로 입증되지 않는 한 해당 정보는 익명정보로 간주해 제한없이 활용할 수 있기 때문이다.

출처 : 금융분야 가명‧익명처리 안내서

데이터 결합은 ▲결합의뢰기관들이 협의해 결합할 정보집합물의 결합키를 생성, 가명처리 후 데이터전문기관에 정보집합물 결합을 신청하면 ▲데이터 전문기관이 정보집합물 결합과 가명‧익명처리 후 ▲적정성 평가를 진행해 완료된 경우 ▲결합된 정보집합물을 결합의뢰기관에 전달한 후 파기하는 절차로 이뤄진다.

금융위는 데이터 결합 수요 및 데이터 결합에 대한 사회적 신뢰 등을 고려해 민간기업 등도 데이터전문기관으로 지정할 계획이다.

한편, 데이터전문기관을 통해 결합된 데이터가 원활히 유통돼 새로운 부가가치를 창출할 수 있도록 금융분야 데이터거래소도 지속적으로 고도화해 나갈 방침이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network


--------------------------------------------------

[바이라인플러스 1월 무료 웨비나 ]

  • 오피스365·구글 워크스페이스 보안 강화 방안 : ‘사람 중심(People-Centric) 보안’ 👉  사전등록 


이런 뉴스레터 어때요?