Improvement Plan to Expand the Role of Expert Data Combination Agency

결합전문기관의 역할 확대를 위한 개선방안

Abstract

The importance of data in the era of the 4th industrial revolution, a hyper-connected society based on information technology such as data and AI, is increasing, and the government is actively enacting and revising laws to revitalize the data economy. It is necessary to prevent and improve problems that may set an obstacle to the revitalization of the data industry or setting the wrong direction, such as possibility of conflict between the regulatory law(Personal Information Protection Act) and the Data Activation Act, differences in position by type of specialized agencies, performance scope of Data Specialist Organization and Expert Data Combination Agency, etc. In regard, I would like to analyze the role, current situation, and use cases of Expert Data Combination Agency, listen to field opinions, and derive and introduce measures to expand the role of Expert Data Combination Agency and improve them to vitalize the data economy

데이터, AI 등 정보기술 기반의 초연결 사회인 4차 산업혁명 시대의 데이터 중요성이 증가하고 있으며 이에 발맞추어 정부도 데이터경제 활성화를 위한 법률 제정 및 개정이 활발히 진행되고 있으나 규제 법률인 개인정보보법과 데이터 활성화 법률(데이터기반행정 활성화에 관한 법률, 데이터 산업진흥 및 이용촉진에 관한 기본법, 산업디지털 전환 촉진법) 간 충돌 가능성, 결합전문기관 유형별 입장차, 데이터전문기관과 결합전문기관의 수행 범위 등 데이터산업 활성화의 발목을 잡거나 잘못된 방향 설정 등의 문제를 예방하고 개선할 필요가 있다. 이에 결합전문기관의 역할 및 현황, 활용 사례를 분석하고 현장의견을 청취하여 데이터경제 활성화를 위한 결합전문기관 역할 확대 방안과 개선방안을 도출하여 소개하고자 합니다.

I. 서론

1.1 연구 배경 및 목적

4차 산업혁명과 디지털 대전환의 핵심이자 원유라고 불리는 데이터의 중요성이 부각되고 경제·사회 전반에 데이터 결합 및 융합을 통한 새로운 산업과 서비스가 창출되는 데이터경제 시대의 도래를 증명하듯 세계 기업 시가총액 순위 상위를 차지하던 석유와 자동차 회사들이 4차 산업혁명 시대에는 데이터를 다루는 거대 플랫폼 서비스 기업인 알파벳(구글), 아마존, 애플, 페이스북, 마이크로소프트로 대체되었고 모든 기업과 기관의 빅데이터 플랫폼 구축 확대와 SNS 등의 비정형 데이터 증가로 2016년 이후 데이터는 폭발적으로 증가하였으나 축적된 데이터의 70% 이상에 개인정보가 포함되어 있어 각 기관·기업 담당자들의 외부 활용을 위한 데이터 공개를 주저하고 있고, 지금까지 기관·기업별 내부 비즈니스 프로세스에 최적화된 데이터를 빅데이터 플랫폼에 그대로 축적하는 방식이여서 데이터 결합·융합을 통한 새로운 가치 창출하는데 많은 제약과 한계가 발생하였다.

4차 산업혁명 동력인 데이터 활성화를 위해 데이터3법(개인정보보호법, 정보통신망법, 신용정보법)이 개정(‘20.2)되고 시행(’20.8) 되었는데 데이터3법 중 「개인정보보호법」의 주요 개정 내용은 개인정보보호위원회(약칭: 개인정보위)를 대통령 소속에서 국무총리 소속의 정부조직법에 따른 중앙행정기관으로 변경하였고, 현행 행정안전부와 방송통신위원회의 개인정보 관련 사무를 개인정보위로 이관하여 개인정보 보호 컨트롤타워로서의 기능을 강화하였다.

또한 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체자의 동의 없이 가명정보를 처리할 수 있고, 서로 다른 개인정보 처리자 간의 가명정보를 개인정보위 또는 관계 중앙 행정기관의 장이 지정하는 결합전문기관을 이용하여 결합하고 활용 가능하도록 법적 토대를 만들었다.

「신용정보의 이용 및 보호에 관한 법률」(약칭: 신용정보법)은 신용정보회사 등이 보유한 개인신용정보를 금융위원회가 지정한 데이터전문기관을 통해서 결합하도록 하였다.

다수의 데이터 활성화 법률이 제정되어 시행되고 있는데 첫째로 「데이터기반행정 활성화에 관한 법률」(약칭: 데이터기반행정법) 제정 및 시행(‘20.12)으로 행정기관과 공공기관은 타 기관의 데이터를 활용하여 정책 수립 및 의사결정을 할 수 있는 법적 토대를 만들었고 둘째로 데이터 산업 관련 생산·분석·결합·활용 촉진과 인력양성·국제협력 등 산업 육성을 아우르는 「데이터 산업진흥 및 이용촉진에 관한 기본법」 (약칭: 데이터산업법)이 세계 최초로 제정(’21.10) 및 시행(‘22.4) 되었으며, 셋째로 산업데이터의 생성·활용을 활성화하고 지능정보기술의 산업 적용을 촉진하는 목적의 「산업 디지털 전환 촉진법」(약칭: 산업디지털전환법)이 제정(’22.1)되어 시행(‘22.7) 되고 있다.

1.2 연구 내용 및 방법

데이터 산업 활성화를 위한 투자와 역할 확대를 추진하고 있는 결합전문기관들이 법적으로 부여 받은 기능을 제대로 수행할 수 있도록 기술적 환경, 제도적 환경, 서비스산업 생태계 환경들이 잘 갖추어져 가고 있는지 등의 현장 문제점을 분석하여 개선방안을 도출하기 위해 개인정보보호법 기반의 결합전문기관 수행 범위 및 수행절차 등 문제점이나 개선사항을 도출할 필요가 있다.

결합전문기관과 가명정보 결합에 대한 법적 근거인 개인정보보호법, 동법 시행령 및 관련 고시와 개정된 가명정보 처리 가이드라인(’22.4)[1]과 결합전문기관 결합·반출 매뉴얼(‘21.11)[2] 뿐만 아니라 신용정보법 기반의 데이터전문기관 수행범위 및 수행 절차와 결합전문기관의 차이점을 분석하기 위해 금융 분야 가명·익명처리 안내서(’20.8, 금융위원회·금융감독원)[3] 그리고 개인정보보호 및 데이터 결합에 관련 논문을 분석하여 결합전문기관의 지정 절차 및 기준과 수행업무 및 해외사례를 파악한다.

또한 개인정보위 등 관련 중앙부처의 보도자료 등 관련 자료를 검토하여 결합전문기관의 유형별 운영 현황과 가명정보 결합 업무현황을 파악하여 개선과제를 도출하고자 한다.

이를 위해 ①결합전문기관에 대한 선행 연구인 국회입법조사처 보고서(가명정보 결합전문기관 운영실태와 개선과제[4])를 분석하고 ②결합전문기관 운영상 개선과제를 도출하여 분석하며 마지막으로 ③분기별 개최하는 가명정보 결합전문기관 협의회(가명정보활용 활성화 방안 등 이견수렴을 위해 개인정보위, 결합전문기관, 데이터전문기관, 결합지원기관) 현장 담당자들의 심층면담으로 도출된 의견(‘21.12)들을 분석한다.

II. 결합전문기관 제도 및 운영현황

2.1 결합전문기관의 의의

결합전문기관는 서로 다른 2개 이상의 기관이나 기업이 보유한 가명정보를 안전하게 결합하는 전문기관을 말한다.

개인정보가 포함된 데이터 활용으로 새로운 산업과 서비스가 창출되는 데이터경제 기반 조성과 개인 정보 보호(가명정보에 추가 정보의 결합으로 재식별될 가능성 방지)라는 상반된 측면 모두 부합하기 위해서 개인정보보호법에서는 서로 다른 개인정보처리 자가 보유한 가명정보의 자체적인 결합을 금지하고 일정한 지정요건(보안 시설·인프라, 조직·인력, 정책·절차, 재정 등)을 갖춘 신뢰성 있는 기관을 통해 결합하도록 규정하고 있다.

이러한 역할을 수행하기 위해서 개인정보보호법(제28조의3 제1항)에서 결합전문기관을 “서로 다른 개인정보처리자 간의 가명정보 결합을 수행하기 위해 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정한 전문기관” 라고 정의하고 있으며 결합 절차와 방법 및 결합전문기관 지정과 관련된 사항을 시행령에 위임하고 있다.

이는 가명정보 결합을 통해 다양한 이종 산업간 데이터를 서로 연계하여 새로운 데이터 부가가치 창출이 가능하게 하는 가명정보 결합의 법적인 근거를 일반법에 마련하고 상세 기준을 안내하는 것으로 세계적으로도 유례가 없는 시도이다.

해외 사례를 비교해 보면 유럽 GDPR이나 미국 CCPA에서는 가명정보 결합기관이라는 존재가 없는데 그 이유는 가명정보라는 개념 자체가 그 사람의 식별에 관한 추가정보 없이는 해당 개인이 누구인지 알 수 없는 정보를 의미하기에 결합이 된다고 하더라도 여전히 가명정보로서 인정되는 것으로 보고 있기 때문인 것으로 보인다.

미국 HIPPA(의료정보보호법) 사례도 비식별조치 전문기관이 없이 전문가 결정 방식에 따라 비식별 조치를 할 때에는 먼저 HIPAA 프라이버시 규칙(가이드 및 프레임워크)에 따라 비식별 정보인지를 판단할 전문가를 선임한 후 전문가와 비식별화 위험성 평가 관련 계약을 체결하고 전문가 의견을 바탕으로 위험성 판단 및 전문가가 인정하는 방식으로 비식별화를 추진한다[5].

국내 결합전문기관 역할은 결합처리 수행으로 제한되어 결합데이터를 활용하여 연구는 불가능한데 영국 ICO의 사례처럼 비식별조치 전문기관이나 또는 전문성을 갖추고 신뢰할 수 있는 제3의 연구기관에게 결합정보를 가지고 다양한 분석을 할 수 있는 역할도 부여하는 것을 검토할 필요가 있다[6].

또한 해외 데이터 브로커의 개인정보 수집 및 판매에 따라 발생하고 있는 프라이버시 침해 이슈 등의 문제점을 고려한 우리나라 데이터 브로커 시장 또는 데이터 거래소 시장의 활성화 방향을 결합전문기관의 역할 확대로 접근하여 결합전문기관과 데이터 거래소 시장을 동시에 활성화하는 방향이 필요하다.

2.2 결합전문기관의 지정 절차 및 기준

결합전문기관 지정을 받고자 하는 기관·기업은 개인정보 보호법 시행령 제29조의2(결합전문기관의 지정 및 지정 취소)와 가명정보 결합·반출 고시[7] 제3장 결합전문기관의 지정기준 요건을 완료한 후 결합전문기관 지정기관인 개인정보위 또는 관계 중앙행정기관의 장에 신청한다.

지정기관은 신청된 접수 서류를 확인 후 심사위원회를 구성(전문가 5명 구성)하여 서류 심사, 현장심사, 결합 테스트 및 종합심사를 통해 지정 요건이 통과되면 지정고시를 관보 공고 및 각 기관 홈페이지에 게시하고 지정서를 발급한다.

가명정보의 결합 및 반출 등에 관한 고시가 일부 개정(‘21.10)되어 결합전문기관 운영에 지장이 없는 수준의 합리적 범위에서 인력(법률ㆍ기술 전문가 중 1인에 한하여 다른 부서 소속 직원의 겸임 허용) 및 재정(감독체계 및 법률상 출연근거 등 기관운영 건전성ㆍ지속성이 확보된 공공기관에 재정요건 미적용) 요건을 완화하였고 결합전문기관 신청 후 2개월 이내(서류보완 등의 사유로 지체되는 기간 제외)에 지정 여부를 통지하도록 심사기간을 명확화 하였다.

2.3 결합전문기관의 수행 업무

결합전문기관의 주요업무는 두 개 이상의 기관·기업의 개인정보가 포함된 데이터를 결합하기 위해서(1단계) 결합신청 접수 및 사전협의로 ① 특정 목적에 해당되는 각 기관·기업의 결합 대상 데이터를 선택하고 ② 동일 항목을 결합키로 선정하여 결합키를 생성하고 ③ 각 기관·기업 별 일련번호를 추가한다. ④ 결합 대상 데이터에서 결합키 이외의 개인정보가 포함된 컬럼은 가명처리를 진행하고 ⑤ 결합신청을 한다. ⑥ 일련번호와 결합키는 결합키관리기관인 한국인터넷진흥원(KISA)으로 보내고 ⑦ 일련번호와 결합 데이터는 결합전문기관으로 보내면(⑥⑦결합키 관리기관과 결합전문기관 분리를 통해 개인정보를 보호하면서 안전하게 데이터 결합을 처리하는 구조) 결합키관리기관에 수신된 일련번호와 결합키를 가지고 ⑧ 결합키연계정보를 생성하여 ⑨ 결합전문기관으로 보낸다.[시계열 결합(주기적, 반복적으로 동일 신청 자·목적·형태의 결합)인 경우 시계열 결합키와 결합키연계정보를 결합전문기관으로 전달]

(2단계) 가명정보 결합수행은 ⑩ 결합전문기관은 결합키관리기관에서 수신한 결합키연계정보를 활용하여 2개 이상의 결합신청자에서 수신한 일련번호와 결합 데이터의 결합처리를 진행한다.

(3단계) 추가처리 및 반출심사는 결합신청자의 ⑪ 결합데이터의 안정성 확보를 위해 추가 익명·가명처리 후 ⑫ 반출요청을 위한 반출신청서를 제출하면 결합전문기관은 ⑬ 반출신청서 검토·접수 ⑭ 반출심사위원회 구성 및 운영을 통해 반출심사를 하고 ⑮ 반출승인 및 결합데이터 반출(시계열 결합인 경우 시계열 결합키 포함) 후 ⑯ 결합키연계정보 및 관련 정보를 파기한다.

(4단계) 반출·활용 및 사후관리는 ⑰ 안정성 확보 조치 이행 및 ⑱ 가명정보 처리 내역 기록·보관한다. 이러한 가명정보 결합 신청 접수 및 처리 현황과 결합전문기관 소개 등은 개인정보위의 결합종합지원시스템(link.privacy.go.kr, KISA 위탁운영)을 통해 확인할 수 있다.

결합·반출 절차에서 결합전문기관은 스스로 결합 신청자가 되어 직접 가명정보를 결합할 수 없다. 다시 말해 결합전문기관은 자신(기관·기업)이 보유한 가명정보를 다른 개인정보처리자(타 기관·기업)가 보유한 가명정보와 결합하거나, 자신이 사용할 목적으로 다른 개인정보처리자가 보유한 가명정보 결합을 직접 수행할 없도록 하고 있다. 다만, 공공결합전문기관은 결합정보를 자신을 제외한 결합신청자에게 제공하는 경우에는 자신이 보유한 가명정보를 다른 개인정보처리자가 보유한 가명정보와 직접 결합이 가능하다[8].

결합전문기관이 가명정보 결합 및 반출 진행시 결합 단계보다 사전준비 및 신청 단계에서 많은 시간이 소요되고 있다. 아직까지 결합신청 기관·기업 담당자들이 절차·방법에 대한 이해가 부족하여 결합전문기관 담당자가 각 절차를 상세히 설명하는 데 시간이 많이 소요될 뿐만 아니라 신청기관이 처음 가명처리를 진행하기 위해서는 기관·기업의 내부관리 계획 개정이 선행되어야만 하여 더욱 더 많은 시간이 소요된다. 또한 결합신청자들끼리 결합키 항목, 가명처리 수준 등을 일치시키는 과정에서 오류가 많이 발생하여 결합키를 여러 번 생성하는 과정을 거쳐야 해서 결합 절차가 지연되며 결합신청자의 가명처리도 아직 미흡하여, 가명처리 적정성 심의 후 추가 가명처리가 필요한 경우가 많다. 결합신청 기관·기업 결합 요청 부서, 데이터 소유 부서와 내부관리 계획 수립하는 부서 등이 상이하여 결합신청자 내 의사소통이 어렵거나 결합신청자의 담당 인력 변경으로 진행 경과에 대한 지속적인 공유와 협의에 차질 발생 등의 문제를 해결하기 위해서 결합전문기관이 결합 전 가명처리, 반출 전 처리ㆍ분석 등을 지원할 수 있도록 업무 범위를 확대(가명정보의 결합 및 반출 등에 관한 고시, ‘21.10.5 일부개정) 하였다.

결합전문기관 추가 업무의 유의사항은 결합 전 가명처리, 반출 전 추가처리(가명·익명처리), 반출 전 분석, 반출 후 분석 등의 업무 지원을 수행하는 결합 전문기관 담당자는 해당 결합에 대한 결합신청서 접수, 결합 대상 정보의 가명정보 처리 수준 검토, 모의결합 대상 정보의 처리 수준 검토의 업무를 수행하여서는 아니 된다. 그 이유는 가명정보 또는 추가정보에 접근할 수 있는 담당자를 가명정보 처리업무 목적 달성에 필요한 최소한의 인원으로 엄격하게 통제하고, 접근권한도 업무에 따라 차등 부여하기 위함이다.(개인정보보호법 시행령 제29조의5 제1항제3호)

2.4 결합전문기관의 유형별 운영현황

개인정보보호법의 가명정보 결합처리를 수행하는 결합전문기관의 유형은 민간결합전문기관과 공공결합 전문기관으로 크게 구분되어 있고, ‘신뢰할 수 있는 제3자(TTP)’ 모델은 연계키를 생성하는 기관을 데이터 연계 및 접근을 제공하는 기관과 분리하고 있는 많은 해외 사례처럼[9] 결합키관리기관이 별도로 존재하여 결합전문기관의 결합키에 대한 접근을 제한하여 결합간 보안성을 강화한 이중모델로 외부결합을 수행하고 있다. 반면 신용정보법의 가명정보 결합처리를 수행은 결합키관리기관의 별도 관여 없이 단일 모델로 데이터전문기관이 외부결합을 수행한다.

결합전문기관은 현재(’22.6) Table 1.와 같이 22개(한국보건산업진흥원 1개 지정 취소 기관 제외) 기관·기업이며 공공결합전문기관 12기관과 민간결합 전문기관은 10개社로 모두 개인정보위 또는 과학기술정보통신부로부터 지정을 받았으며 보건복지부, 국토교통부, 교육부, 산업통상자원부, 행정안전부는 민간결합전문기관을 지정한 사례가 없다.

Table 1. Status of Expert Data Combination Agency

결합전문기관은 공공과 민간, 데이터 보유 여부, 미보유社 중 그룹사 內 SI기업과 일반 IT기업 등으로 분류되며 결합전문기관의 유형 차이에 따른 성격별 다양하게 활성화를 위한 제도 개선 요구를 제시하고 있다. 예를 들어 민간결합전문기관은 공공결합전문기관의 수익성 사업이나 민간부문에 참여를 원치 않으며 공공성 서비스 위주로 데이터산업 참여를 원하나 공공결합전문기관은 공공성과 수익성 두 마리 토끼를 잡고 싶어 한다.

또한 데이터를 보유한 결합전문기관은 셀프결합을 원하고 있지만 셀프결합을 허용하였을 때의 결합데이터와 기존 보유한 개인정보의 비교를 통해 개인정보 유출 가능성이 상존하고 셀프결합을 허용한다면 데이터 미보유 결합전문기관의 존립이 어려워지는 문제도 발생할 뿐만 아니라 데이터 보유 결합전문기관 소속의 결합처리 위주로 진행된다면 결합전문기관 지정 목적(4차 산업혁명 시대의 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성)을 저해 할 수 있다.

셀프결합이 아닌 경우라도 A공공기관의 가명정보와 B공공기관(또는 기업)의 가명정보를 C공공결합 전문기관에서 결합한 결합데이터는 C공공기관에서 활용이 불가능 한 문제는 데이터경제 활성화에 가장 의지와 투자 노력을 많이 하고 있는 공공결합전문기관의 향후 투자와 역할 확대를 제한 시킬 수 있다.

또한 신용정보법에서 지정받는 데이터전문기관에 비해 개인정보보호법에서 지정받는 결합전문기관의 역할 제한으로 인해 전체적으로 결합전문기관의 향후 존립 기반이 악화될 가능성도 상존한다.

데이터전문기관 현황과 주요 특징은 Table 2.으로 신용정보 데이터를 많이 보유하고 있으며 마이데이터 산업을 추진할 수 있어서 다수 활용 사례 발굴 등 향후 데이터전문기관이 가명정보 및 결합데이터 활성화를 주도할 가능성이 높다.

Table 2. Status of Data Specialist Organizations

금융위원회는 ‘22년 민간기업으로 데이터전문기관을 확대할 예정이며, 개인정보위는 데이터전문기관이 결합전문기관 지정을 신청한 경우 지정절차를 간소화하도록 가명정보의 결합 및 반출 등에 관한 고시를 개정(‘21.10) 하였다.

III. 결합전문기관의 가명정보 결합 업무현황

3.1 가명정보 결합 시범사례

개인정보위는 가명정보 결합 시범사례 발굴을 통해 안전한 가명정보 결합 인식전환과 홍보를 강화하여 가명정보 제도의 효과를 널리 알리고 있다.

개인정보위와 관계부처가 합동으로 발굴하여 추진한 1기 가명정보 결합 시범사례가 대표적으로 ‘21.5월부터 12월까지 29개 기관·기업과 31종의 데이터를 결합하여 도출한 가명정보 결합 선도 사례는 Table 3.과 같이 7건을 추진하였고[10] 이중 6건의 결과(①~⑥시범사례)가 발표(’21.5~12)되었고 1건(⑦)은 비공개하였는데 결합전문기관을 활용하는 1기 가명정보 결합 시범사례를 보면 시범사례 7건 중 5건이 보건복지 분야가 차지하고 있다.

Table 3. Demonstration case of combining pseudonymous data

NIA(한국지능정보사회진흥원)가 주관(주최: 개인정보위, 과학기술정보통신부, 금융위원회, 보건복지부)한 결합전문기관과 데이터전문기관을 활용하는 결합사례인 「2021 가명정보 활용 아이디어우수사례 경진대회[11]」에서 가명정보 활용사례 부문 수상작 9건 중 1기 시범사례와 중복된 2건(노후소득보장 종합연구, 암환자의 합병증 및 만성질환 예측 연구)을 제외한 7건은 Table 4.와 같이 모두 데이터전문기관의 결합사례인 금융 분야가 차지하고 있다.

Table 4. Cases of using pseudonyminformation

개인정보위에서 ’22.2월 발표한 2기 가명정보 결합 4대 선도 사례 Table 5.은 중앙행정·지방자치단체·공공기관 대상 1차 수요조사(’21.5.28~6.21)와 민간기업·협회 대상 2차 수요조사(‘21.8.18~8.31)를 통해 신청된 가명정보 결합 시범사례 중 관계기관협의 및 실무자 회의(’21.9~‘22.1) 등을 통해 4대 선도 사례를 선정하여 추진하고 있는데[12] 결합전문기관을 활용하는 결합사례로 4건 중 3건이 보건복지 분야가 차지하고 있다.

Table 5. Combination Pilot Case of Pseudonymous Data

이와 같이 데이터전문기관을 활용한 금융분야와 결합전문기관을 활용하는 보건복지 분야로 결합사례 발굴에 집중되고 있어 다양한 분야에 결합사례 발굴을 위한 노력과 제도적 개선이 필요해 보인다.

3.2 결합전문기관 별 결합업무 현황

결합 시범사례와 가명정보 활용 아이디어 우수사례 경진대회에서 보듯 데이터전문기관을 이용하는 금융 분야와 결합전문기관을 이용하는 경우는 보건복지 분야 위주로 확산되고 있는 추세이다.

개인정보위와 관계부처 합동 보도자료(2기 가명정보 결합 선도 사례 추진계획, ‘22.2)의 결합전문기관의 ‘21년 말 기준 157건의 가명정보 결합이 완료 및 진행 중으로 보건복지 분야가 대부분 차지하고 있다.

4차 결합전문기관 실무협의회(‘21.12)에서 기관별 일부 공개한 결합 처리 실적은 국민건강보험공단 3건 완료 및 28건 준비 중이며, 금융보안원 60여건, 한국신용정보원 60여건, 금융결제원 20여건으로 데이터전문기관 중심으로 다수의 결합처리 수요가 발생하고 있고, 결합전문기관은 보건복지 분야를 제외하면 결합처리 실적이 없거나 시범사례 등 미미한 수준이다.

마이데이터 활용 수요조사 결과[13]인 개인정보위의 수요조사(조사규모: 국민 1,557명, 기업 148개/조사기간: ‘21.12.6~12.27) 결과인 Table 6.과 4차산업혁명위원회(약칭: 4차위)의 수요조사(조사규모: 국민 1,000명, 기업 40개 / 조사기간: ’21.12.10~12.14) 결과인 Table 7.도 보건·의료 및 금융 분야가 상위권을 차지하는 것을 확인할 수 있다.

Table 6 Mydata Utilization Demand Survey (Personal Information Protection Commission)

Table 7. Mydata Utilization Demand Survey (Presidential Committee on The 4th Industrial Revolution)

가명정보 결합 시범사례를 활용하여 본격적인 공익·수익서비스를 진행할 수 있는 실시간 데이터결합 기술이 부족한 현 시점에서 가명정보 결합 시범사례 후 마이데이터 서비스로 전환이 예상되는데 사회·경제 전 분야의 다양한 결합사례 발굴과 마이데이터 서비스 발굴을 통한 데이터경제 시장 안착을 위해 금융, 보건·의료 이외 분야 활성화를 위한 추가적인 제도개선이 필요하다.

3.3 가명정보 결합·활용 활성화를 위한 협업 현황

보건복지부와 보건의료분야 결합전문기관으로 지정된 3개 기관(국민건강보험공단, 건강보험심사평가원, 한국보건산업진흥원)은 보건의료분야 결합전문기관 협의체를 출범(‘21.11)하여 안전한 보건의료 가명정보 결합·활용의 현장 조기 안착을 위해 나서고 있다.(이후 ’21.9월 국립암센터의 결합전문기관 추가 지정되고 ‘22.5월 한국보건산업진흥원의 결합전문기관은 지정이 취소 됨)

결합전문기관 협의체는 산업 및 의료현장에서 가명정보 결합·활용 시 발생 가능한 문제점과 애로사항을 선제적으로 파악, 해결하여 조속한 제도 안착을 지원하고자 구성되었으며 가명정보 결합·활용을 위한 편의 증진 방안도 다각적(공통 심의기준 등 업무지침 마련, 심의위원 공동 풀 구성, 결합전문기관 통합 포털 구축 등)으로 추진하고 있다.

이러한 협업의 결과들이 앞서 설명한 결합 시범사례와 가명정보 활용 아이디어 우수사례 경진대회 결과와 마이데이터 활용 수요조사의 결과에서 보듯 보건복지 분야 위주로 확산되고 있는 추세를 뒷받침하는 노력의 결과로 보인다.

금융, 보건·의료 이외 분야의 가명정보 활성화를 위해 행정부처 주관 및 공공기관 협업을 위한 협의체 구성이 매우 중요하며 향후 개정 추진 중인 개인정보보호법의 마이데이터 추진을 위해 기반이 되어야 할 분야별 데이터표준화 등을 위한 협의체로 발전해 나갈 필요가 있다.

또한 행정안전부는 가명정보 결합전문기관(국가정보자원관리원, 한국지역정보개발원, 한국지능정보화진흥원)과 함께 ’22.2월 가명정보 결합전문기관 실무협의회를 출범하여 공공과 민간분야 결합전문기관 간 적극적인 소통·협력 체계 구축을 통해 가명정보 결합·활용 활성화를 도모하고 데이터 분석·활용을 촉진하고 있을 뿐만 아니라 가명정보 활용 정책의 확산 및 정착을 위해 「공공분야 가명정보 제공 실무 안내서」 발간, 행정공공기관 대상 설명회 개최 등을 통해 적극적으로 노력하고 있다.

개인정보위는 가명정보 제도를 활성화하고 지역 소재 스타업과 중소기업 등을 지원하기 위하여 가명 정보 활용 지원센터를 3개소(’21년 서울 송파와 강원 원주, ‘22년 부산)를 운영하고 있다.

원주의 가명정보 활용 지원센터는 강원도 소재 결합전문기관(국민건강보험공단, 의료보험심사평가원, 더존비즈온)과 개인정보위, KISA, 강원도, 강원테크노파크 등 업무협약에 참여하여 강원과 인근의 데이터 기업 및 기관들이 안전하게 가명처리를 할 수 있도록 지원하고 있으며 향후 ’23년(충청, 전라), ‘24년(경인, 경북), ’25년(지자체와 협의) 등 권역별로 설치하여 가명정보 뿐만 아니라 마이데이터를 포괄하는 개인정보 활용 지원센터로 개편하여 디지털플랫폼 정부의 국민 맞춤형 서비스를 위한 데이터 활용의 마중물 역할을 해 나갈 계획이다.

또한 결합데이터 활용 활성화 및 가명정보 활용 현장의 불확실성 해소를 위해 구체적 사례와 설명 등을 안내하는 분야별 가이드라인(개인정보위 「가명정보 처리 가이드라인(제정 ‘21.9, 1차 개정 ’21.10, 2차 개정 ‘22.4)」, 행안부·개인정보위 「공공분야 가명정보 제공 실무 안내서(제정 ‘21.1)」, 복지부·개인정보위 분야의 보건의료 데이터 활용 가이드라인(제정 ’20.9, 개정 ‘21.1) , 교육부·개인정보위 「교육분야 가명·익명정보 처리 가이드라인(제정 ’20.12)」)을 발간하고 지속적으로 개정 중이다.

IV. 결합전문기관의 운영상 문제와 개선과제

4.1 선행 연구 검토

4.1.1 선행연구로 도출된 개선과제

국회입법조사처 보고서(가명정보 결합전문기관 운영실태와 개선과제, ‘21.12)의 실태조사는 가명정보 결합 서비스를 공급하는 결합전문기관 위주로, ‘21년 9월까지 지정된 결합전문기관 15곳을 대상으로 개인정보위로부터 관련 자료를 수집하고 인터뷰 대상을 선정하여 Table.8와 같이 실태조사를 실시하였다.

Table 8. Survey on the status of Expert Data Combination Agency

또한 문헌자료 조사와 온라인 세미나 청취를 통해 기초자료를 수립하고 분석하였는데 ①가명정보 결합에 대한 정부 및 관련 기관이 발표한 보고서·정책 등을 분석하여 결합전문기관 현황을 파악하였고 ②개인정보위 등 관계부처의 ’가명정보 결합·활용 성과 및 규제 혁신 보고회‘(’21.7) 및 한국지능정보사회진흥원이 개최한 ‘데이터3법 시행 1년, 가명정보 결합의 현황과 과제’ 포럼 등을 파악하였다.

그리고 운영 실태조사로 개인정보위에서 제출한 자료와 결합전문기관 담당자 인터뷰(공공 결합전문기관 2곳과 온라인 대면 인터뷰를, 민간 결합전문기관 4곳과 서면 인터뷰를 진행함으로써, 신청 목적, 결합 절차, 결합 과정에서의 애로사항, 수수료 및 담당 인력, 향후 계획 등을 질의하여 업무 담당자 의견을 청취)을 통해 진행하였다.

공공결합전문기관 2개 기관 담당자의 온라인 인터뷰와 민간결합전문기관 4개社의 서면 인터뷰를 바탕으로 개선과제를 다음과 같이 도출하였다.

첫째. 결합전문기관 이용 활성화를 위한 과제로 ① 결합 사례 및 응용 사례 확보와 ②결합신청자에 대한 지원 강화를 제시 하였는데 이 부분은 개인정보위가 주관하는 가명정보 결합 선도 사례 추진과 가명 정보의 결합 및 반출 등에 관한 고시 개정(‘21.10)으로 부분적으로 개선되었지만 결합전문기관이 지원할 수 있는 범위를 명확히 할 필요와 ’가명정보 결합종합지원시스템‘을 가명정보 신청 접수창구만 활용하지 말고, 결합신청자에게 더 많은 정보(결합사례 성과, 결합전문기관별 특성과 성과 현황, 현재 대기 중인 결합 건수, 상세한 가명처리 방식 등)를 제공할 필요하다고 제시했다.

둘째. 효율적인 결합전문기관 운영을 위한 개선과 제로는 ①결합전문기관과 데이터전문기관 운영 기준 일치 필요성을 제시하였는데 신용정보법상 데이터전문기관과 유사한 업무를 수행함에도 불구하고 결합전문기관과 데이터전문기관이 서로 다른 법률에 규정되어 있어 중복 업무 발생으로 더 많은 비용을 지출하고 결합신청자 입장에서 결합전문기관과 데이터전문기관을 선택하는데 혼선을 겪을 뿐만 아니라 규제 수준이 상이할 경우 보다 쉬운 방향으로 결합 신청이 집중되는 현상이 발생할 수 있다고 우려하였다.

이는 20개 결합전문기관과 4개의 데이터전문기관 대비 결합성과 건수를 비교하면 Table 9.과 같이 더 확연히 드러난다.

Table 9. Combined processing status by specialized institution (Jul. 2021)

또한 결합전문기관 분야별 결합 현황은 Table 10.와 같이 보건의료 분야에 결합성과가 치중되고 있다. 이는 앞서(3.2. 결합전문기관 별 결합업무 현황) 언급했던 개인정보위와 4차위의 마이데이터 활용 수요조사에 알 수 있듯 서비스 활성화 기대 및 요구가 많음을 알 수 있다.

Table 10. Combined status by field of Expert Data Combination Agency (Jul. 2021)

② 공공·민간 결합전문기관 간 역할을 구분해야 한다는 개선과제는 공공과 민간의 역할 구분 방안의 한 예시(국회입법조사처 보고서에서 제시한 공익적 기록목적을 위한 경우와 상업적 목적이 없는 통계 작성이나 연구를 수행하는 경우 등 공공성이 강한 개인 정보 결합은 공공 결합전문기관에서 수행하고, 그렇지 않은 결합은 민간 결합전문기관이 수행하도록 하는 방법 검토)를 제시하였다. ③ 반출심의위원회 공동 운영을 통한 비용 절감 방안으로 결합전문기관별로 별도의 반출심사위원회를 구성하도록 하기 보다는 결합전문기관들이 심사 기간이 비슷한 결합 건을 모아 공동 반출심사위원회를 구성하여 운영하는 개선 방향을 제시하였다.

셋째. 안전한 결합전문기관 운영을 위한 개선과제로는 ① 현재 결합 목적이 법에서 정한 사유(통계작성, 과학적 연구, 공익적 기록보존)에 해당하지 않을 때 결합 신청을 반려할 수 있는 절차 등 심사 기준과 절차 등을 보다 구체적으로 마련하여 가명정보 신청 절차 통제 강화 필요성을 제시하였으며 ② 결합전문기관에 대한 주기적인 현장실사로 결합전문기관 운영 실태 점검을 강화하고, 해당 결합전문기관 시스템의 보안성을 진단할 수 있는 진단 프로그램을 마련하여 심도 있는 평가 필요성을 제시하였다.

4.1.2 선행연구 개선과제의 분석

결합전문기관 22개 기관·기업의 유형별(공공·민간, 데이터 보유 유·무, 그룹사 內 SI기업과 일반 IT기업 등) 문제점과 개선 방향이 다름을 제4차 가명정보 결합전문기관 실무협의회 참석한 전문기관 유형별 담당자들의 다양한 개선 방향이 국회입법조사처 보고서의 특정 유형의 담당자 인터뷰에서 도출된 개선과제 사이에 차이는 있지만 충분히 고려하고 검토하고 분석할 필요가 있다.

선행연구인 국회입법조사처 보고서에서 도출된 개선과제를 분석해 본다면 첫째. 결합전문기관 이용 활성화를 위한 과제로 ① 결합 사례 및 응용 사례 확보와 ② 결합신청자에 대한 지원 강화로 제시한 가명정보 결합 선도 사례 추진과 가명정보의 결합 및 반출 등에 관한 고시 개정(‘21.10) 그리고 ’가명정보 결합 종합지원시스템‘ 활용 강화 방안으로는 결합전문기관 이용 활성화 개선과제로 부족하다고 판단되어 뒤 부분(4.2. 결합전문기관 운영상 도출된 개선과제)에서 추가적인 개선과제를 도출하고자 한다.

둘째. 효율적인 결합전문기관 운영을 위한 개선과 제로 ① 결합전문기관과 데이터전문기관 운영 기준 일치는 가명정보 중 신용정보가 있는 경우에는 특별 법인 신용정보법상의 데이터전문기관을 통해서 만 결합할 수 있으며 신용정보(신용정보법 제2조제1호14)의 범위가 넓고 금융 관련 데이터의 디지털화 및 품질이 매우 높기 때문에 활용성 측면에서 많은 결합 기회를 창출할 수 있을 것으로 예상되어 결합사례가 많아 가명정보 결합 수요가 데이터전문기관에 치중되는 경향이 있기 때문으로 뒤 부분(4.2. 결합전문기관 운영상 도출된 개선과제, 4.3. 결합전문기관 협의회 심층면담으로 도출된 개선과제)에서 필요성을 추가적으로 언급할 예정이다.

그리고 ② 공공·민간 결합전문기관 간 역할을 구분해야 한다는 개선과제는 공공결합기관이 결합 신청이 계속 집중되는 구조를 전제로 하고 있기 때문에 향후 공공결합전문기관과 민간결합전문기관의 결합성과 및 실적 등을 확인 후 필요성을 판단 할 문제로 보인다.

또한 ③ 반출심의위원회 공동 운영을 통한 비용 절감 방안은 개별 결합 건의 결합처리 및 반출일정 지연을 발생시키는 등 반출 심사료 대비 효과가 크지 않을 것으로 보이며 비용 부담 완화를 위한 방안으로 뒤 부분(4.2. 결합전문기관 운영상 도출된 개선과제)에서 추가적인 개선과제를 도출하고자 한다.

셋째. 안전한 결합전문기관 운영을 위한 과제로 ① 가명정보 신청 절차 통제 강화와 ② 결합전문기관에 대한 주기적인 현장실사로 운영실태 점검을 강화하는 개선과제는 개인정보위와 KISA가 방안을 마련하여 진행할 필요가 있다고 판단하나 본 연구(결합전문기관의 역할 확대를 위한 개선방안)와 직접적인 관계성이 부족하여 분석 대상에서 제외 하였다

4.2 결합전문기관 운영상 도출된 개선과제

결합전문기관 지정(산업통상자원부 1호, ’21.9.6) 및 운영 경험과 결합 시범사례 발굴 2건 - ① 앞서 설명한 개인정보위(’22.2월, 2기 가명정보 결합 선도 사례) 사전 선정(저소득층 에너지 복지정책 실효성 분석 및 개선방안 도출’, ‘21.7)으로 ’21년7월부터 ’22년2월까지 4개(한국전력공사, 한전KDN, 한국에너지공단, 한국에너지재단) 공공기관 협업으로 진행 중 중단되고 산업통상자원부 주관 과제로 변경(‘에너지 복지 이용현황 조사 가명정보 결합 분석’, ‘22.2) 및 확대(산업통상자원부, KISA, 도시가스사업자 추가 포함)되어 추진하고 있다.

② 또한 신용정보와 전력이용정보를 결합을 통해 1단계 분석(전력이용정보 기반 사업자 신용 상승 방안 분석 및 결합, KCB 분석 진행)을 진행하고 있고 2단계(결합데이터 분석을 통한 전력데이터 활용 사업모델 제시, 한전KDN 분석 예정) 진행 준비 등을 위한 협업(한국전력, 한전KDN, KCB, 금융보안원)으로 추진하고 있다.- 을 추진했던 경험들을 통하여 개선과제를 도출하였다.

첫째. 결합 사례 발굴 및 홍보 강화를 통한 결합 전문기관 이용 활성화를 위해 개인정보위가 주관하는 가명정보 결합 시범사례 아이디어를 발굴하려 할 때 가장 어려운 점은 어떠한 개인정보(가명정보)가 포함된 결합 활용 데이터가 어떤 기관·기업에 보유하고 있는지 정확히 알 수 없다는 문제가 가장 크다.

또한 결합 시범사례 아이디어를 발굴하고도 해당 데이터가 있는 여러 기관·기업을 직접 방문하여 결합 시범사례 추진 취지를 설명하고 해당 기관의 보유 데이터의 정보를 요청해야만 하고 취지 공감을 이끌어도 기관·기업 내부 데이터의 외부 공유 및 활용에 거부감을 표하는 경우가 많아 결합 사례 발굴을 저해하고 있는 이러한 문제를 해결하고 자유롭게 결합 사례 아이디어를 발굴하기 위해서는 각 기관·기업의 보유하고 있는 데이터 현황이라도 쉽게 접근할 수 있는 환경이 제공될 필요가 있다.

지난 정부의 한국판 뉴딜정책의 뉴딜1.0 10대 대표과제 중 하나인 데이터 댐이 Table 11.와 같이 16개 분야별 허브 빅데이터 플랫폼이 과기부 주도로 구축(16개, 289개 기업·기관 참여)되어 운영되고 있고 있으며 향후 확대(‘25년, 31개)될 예정이다.

Table 11. Big data platform status by field of data dam

또한 테이터 활용 접근성 강화를 위해 데이터 댐의 분야별 빅데이터 플랫폼을 연계하여 통합 데이터 지도(https://www.bigdata-map.kr)를 제공하고 있지만 민간 보유 데이터 위주의 데이터 개방이라 공공기관 보유 데이터 참여 확대가 필요하며 특히 에너지 분야의 허브 빅데이터 플랫폼이 구축되지 않아서 에너지 공공기관의 데이터 접근성이 원활하지 못하는 점이 아쉽다.

둘째 ‘결합신청자에 대한 지원 강화’는 가명정보의 결합 및 반출 등에 관한 고시 개정(‘21.10)으로 부분적으로 개선되었지만 이 부분의 추가적인 개선사항은 데이터 결합의 필요성 인식 및 결합 목적을 가지고 있는 적극적인 데이터 보유 기관·기업 측면의 지원 강화책이라는 한계가 있으며 데이터 결합 요청에 의해 움직이는 소극적인 데이터 보유 기관·기업을 위한 지원 및 홍보 방안들이 추가로 강구되어야 할 것이다. 특히 결합 사례뿐만 아니라 가명정보 처리 경험이 없는 기관·기업 입장에서는 내부 데이터의 외부 활용을 위한 공유에 거부감이 큰 상태에서 외부 반출 전 각 기관·기업의 개인정보 내부 관리계획과 운영지침에 가명정보 관리(가명정보 관리책임자 지정, 가명 정보 관리, 가명정보 및 추가정보의 안정성 확보 등)에 대한 내용을 추가하여 개정해야 하며 반출 데이터의 가명처리를 위한 가명·익명처리 기술 교육과 상황에 따라 가명처리 솔루션 도입 등 추가적으로 준비해야 하는 상황이 외부 데이터 반출에 대한 거부감을 증가 시키고 있다.

물론 결합전문기관의 가명·익명처리 지원 및 교육 등을 제공할 수 있도록 가명정보의 결합 및 반출 등에 관한 고시( ‘21.10)가 개정되어 개선된 부분이나 소극적인 데이터 보유 기관·기업의 담당자 입장에서는 기관·기업 내부의 결합 요청 부서, 데이터 소유 부서와 내부관리 계획 수립하는 부서 등이 상이하여 데이터 제공을 결정하기 까지 많은 시간이 소요되고 그 과정에서 데이터 제공에 대한 거부감을 증가시켜 결국 제공하지 않을 명분으로 작용할 수 있다.

이러한 부분을 해결하기 위해서는 개인정보위의 공공기관을 대상 매년 실시하는 개인정보 관리수준 진단 시 가명정보 관리를 반영한 공공기관 개인정보 내부 관리계획과 운영지침 개정과 외부 반출 환경 준비 여부를 점검하여 가명정보 반출을 위한 내부 제도 및 환경 정비를 사전에 준비하는 방안이 필요하다.

셋째. 공공기관들의 자발적으로 가명정보 제공 및 결합사례 발굴 확대를 유도하여 정부의 데이터경제 활성화 국정과제 및 디지털플랫폼 정부 정책에 기여하기 위해서는 공공기관별 자체 실적 보다는 타 공공 기관(또는 기업)과의 협업을 통한 가명정보 제공 건수나 결합 시범사례 발굴 실적 등을 매년 시행하고 있는 공공기관 경영평가 심사 지표로 활용한다면 공공기관의 내부 비즈니스 데이터와 경험들을 활용하여 많은 결합 시범사례를 발굴할 것이며 이를 통한 공공 서비스 확대와 민간에 더 많은 데이터 제공의 기회가 만들어 질 수 있는 장이 될 것이다.

이러한 정부의 거버넌스 관점의 해결책 보다 장기적 관점에서 더 나은 방법은 데이터 가치평가와 권리 보장을 위해 가격산정 기준과 표준계약서 등 마련을 준비 중인 데이터산업법의 방향처럼 결합을 위한 가명정보를 거래하여 데이터경제 시장 활성화 시키는 방안도 향후에 검토해 볼 필요가 있다.

물론 많은 논란(공공데이터를 돈을 받고 제공하고 거래하는 것이 부합한지와 공공데이터의 무료 제공이 데이터경제 시장 활성화 저해 의견 등)이 있지만 공익 서비스에 활용되는 가명정보는 무료로 제공하고 수익서비스에 활용되는 가명정보는 수익을 배분(공공 기관에 배분된 수익 부분은 공익서비스 발굴에 재투자 활용으로 제한 등 명분 확보 필요)하는 투 트랙으로 가는 것이 데이터경제의 시장 활성화에 기여할 것으로 판단된다.

넷째. 개인정보위에서 발간(‘21.11)한 결합전문기관 결합·반출 매뉴얼에 따르면 결합데이터는 반출 후 결합·반출 과정에서 Fig 1.와 같이 제공받거나 생성한 정보는 결합전문기관의 관리·감독을 위한 자료 및 정보(시행령 제29조의4제2항 및 결합고시 제12조제 2항 각 호의 서류)를 제외하고 모두 파기해야 한다.

Fig. 1. Combination processing and export procedure of pseudonymous information

데이터경제 활성화 측면에서 결합전문기관에서 결합처리에 활용된 가명정보와 결합데이터를 공동 저장소(개인정보위 또는 KISA에서 주관하여 구축 및 운영하면 안전성 확보 가능)에 공유하여 타 기관·기업들이 데이터 상관분석 등 데이터 기반 융·복합 서비스 개발에 재활용할 수 있는 방안을 Fig 2.와 같이 검토해 볼 필요가 있다.

Fig. 2. Recycling procedure for pseudonymous information and combined information

재식별 위험성과 재활용에 대한 데이터 제공기관(보유기관)의 외부 공유에 대한 거부감이 문제가 된다면 재활용하기 위한 수준의 가명·익명처리를 강화하는 방법도 고민해 볼 수 있고 데이터 제공기관(보유기관) 또한 타 기관의 가명정보 또는 결합데이터를 활용하여 부가서비스를 개발할 수 있다는 협업의 자세가 필요하다.

결합처리 전 가명정보, 결합처리 후 추가 가명처리로 비식별화된 가명정보 그리고 결합데이터를 공동 저장소에 안전하게 보관하여 타 기관·기업들이 보유하고 있는 데이터(개인정보 미포함)와 상관분석 등 융·복합에 활용할 수 있다면 데이터 기반의 新서비스 발굴에 크게 기여 할 것이며 이는 데이터기반행정법과 「공공데이터의 제공 및 이용 활성화에 관한 법률」(약칭: 공공데이터법) 취지에도 부합한 방향이 될 것이다.

또한 추가정보를 이용한 식별 가능성의 위험요소를 우려한다면 결합데이터의 익명처리를 통해 식별 가능성을 제거한 후 활용하는 방법도 고려해 볼 수 있다.

이를 통해 정보주체의 법익(법적으로 보호되는 이익 또는 가치)에 실질적으로 영향을 주지 않으면서 산업적 활용의 가치가 높은 정보까지 규제 대상으로 삼아 신사업을 위축시키는 부작용을 견제할 필요가 있다[14].

다섯째. 결합전문기관과 데이터전문기관 운영 기준 일치 필요성 부분은 현재 신용정보원, 금융보안원, 금융결제원, 국세청 등 4곳이 데이터전문기관으로 지정되어 있는데 혁신적인 금융서비스 출현의 촉진책으로 데이터전문기관을 확대하여 데이터 결합을 활성화해야 한다는 지적에 따라 민간기업으로 개방하기 위해 금융위원회와 금융감독원 등에서 ’22.7월 데이터전문기관 예비 지정 신청을 받고 심사한 결과 BC카드, LG CNS, 삼성SDS, 삼성카드, 신한은행, 쿠콘, 통계청 등 8개 기관에 대해 ‘22.12.7일 데이터전문기관 예비 지정을 의결하였다.

예비 지정社 중 BC카드, LG CNS, 삼성SDS, 통계청은 기존 결합전문기관 지정社로서 결합전문기관과 데이터전문기관 운영 기준 일치의 필요성을 확인 시켜 주고 있다.

가명정보의 결합 및 반출 등에 관한 고시 개정(‘21.10, 데이터전문기관이 결합전문기관 지정을 신청한 경우 지정절차를 간소화)에 따라 향후 데이터전문기관들이 결합전문기관을 신청할 것으로 예상되고 있다.

또한 데이터전문기관의 ’셀프결합‘을 허용하고 금융지주 계열사가 데이터전문기관에 지정될 경우 계열사간 데이터 공유를 확대 할 예정인데 이는 앞서(2.4. 결합전문기관의 유형별 운영현황) 언급했던 셀프결합이 아닌 경우라도 A공공기관의 가명정보와 B공공기관(또는 기업)의 가명정보를 C공공결합전문기관에서 결합한 결합데이터를 C공공기관은 활용이 불가능한 문제를 해결하는 사례로 참고할 필요가 있으며, 데이터기반행정법과 공공데이터법 취지에 부합한 방향으로 허용하여 결합 시범사례 발굴에 적극적이며 데이터경제 활성화에 가장 큰 의지와 투자 노력을 많이 하고 있는 결합전문기관이 소속된 기관·기업의 향후 투자와 역할 확대 유도뿐 만 아니라 수수료 등으로 결합전문기관 운영비용 확보가 곤란한 상황을 타계할 방법이라고 판단된다.

여섯째 반출심의위원회 공동 운영을 통한 비용 절감 방안과 관련하여 국회입법조사처 보고서에서 도출된 개선과제에 추가적인 개선방향은 개별 결합 건의 결합처리 및 반출일정 지연이 발생시키는 등 반출 심사료 대비 효과가 크지 않을 것으로 보이며, 이보다는 스타트업·중소기업의 가명정보 결합 비용 부담을 완화하고 지원하기 위한 방법으로 디지털 뉴딜의 핵심, 데이터댐의 여러 종류의 AI·데이터 바우처 지원 사례[15]를 참고하거나 데이터산업법의 데이터 전문기업 육성[16] (창업지원, 중소기업자 특별지원 등)과 산업디지털전환법의 산업 디지털 전환 선도사업 육성[17] (산업 디지털 전환 선도사업 발굴 및 지원 등) 등의 근거를 활용한 비용 지원을 강구하는 것이 더욱 효과적으로 판단된다.

일곱째 개인정보보호법을 기반으로 하고 있는 결합전문기관의 역할 확대를 위해서 위해서는 “개인정보 보호”를 답보할 수 있는 기술적 뒷받침이 되어야 제도 개선이 많이 이루어 질 것으로 보고 있으며 특히 정보보안 기술을 활용한 개인정보 보호법의 안전 조치 의무 대응에 한계로 시민단체들의 많은 우려가 개인정보위의 “데이터 활용” 보다 “개인정보 보호”에 치중하게 만드는데 이를 해결하기 위해서 개인정보위는 2026년까지 정보주체 권리보장, 유출·노출 최소화, 안전한 활용을 보장할 수 있는 개인정보 보호·활용기술 11개 중점 추진과제 R&D 로드맵[18]을 발표하여 개발을 진행하고 있다.

또한 공공기관의 내부 가명정보의 민간·대국민 서비스 확대 및 데이터 제공을 위해 향후 가장 큰 이슈가 될 개인정보·보안 문제를 해결하기 위해 중앙 집중 기관(또는 시스템) 방식에서 블록체인 기반[19]의 분산형 방식으로 대응 방안을 검토하여야 하며 이런 기술적 뒷받침을 바탕으로 향후 데이터경제 활성화와 결합전문기관 역할 확대를 위한 제도 개선이 필요하다.

4.3 결합전문기관 협의회 심층면담으로 도출된 개선 과제

가명정보 활용 활성화 방안 및 제도 개선을 위한 현장의 이견을 수렴하기 위해서 개인정보위, 결합전문기관, 데이터전문기관, 결합키관리기관 책임자들이 모여 결합전문기관 협의회를 분기별 1회 개최하고 있다.

지난 ’21.12월에 오프라인으로 개최된 제4회 가명 정보 결합전문기관 실무협의회(개인정보위, 결합전문기관 21개 기관·社, 데이터전문기관 4개 기관, 결합키관리기관인 KISA 등 30여명 참석)에 직접 참석하여 각 기관의 책임자 및 담당자들의 가장 우선적으로 현장에서 느끼는 문제점을 제시한 의견 중 가장 많은 의견들을 정리하여 개선과제를 도출하였다.

첫째. 결합처리 데이터별 제도 정비 및 기술 확립이 추가적으로 필요한 개선과제는 현재 과거의 시점 가명정보 데이터에 대한 제도와 기술은 완료되었고 과거 시계열 가명정보 데이터에 대한 제도는 완료되었으나 결합처리 사례 발굴을 통한 기술은 좀더 보완이 필요할 것이며 향후 시범사례들이 활성화 되어 본격적인 공익·수익서비스를 위한 실시간 가명정보 데이터와 동영상 등 비정형 가명정보 데이터에 대한 결합처리 제도 정비 및 기술이 확립되고 체계화 될 필요가 있다.

특히 무인자동차, 영상인식 등 차세대 킬러 서비스 확대 및 활성화를 위한 동영상 데이터는 개인정보, 가명정보, 익명정보의 기준에서부터 기술까지 아직 정립된 것이 하나도 없어 시급한 당면 과제이다.

동영상 비식별 처리 및 결합처리 기준과 기술 정립을 통한 자율주행자동차의 기술 개발 및 산업의 발전을 도모하는 한편 개인정보 보호에도 충실할 수 있을 것이다[20].

둘째. 신용정보법의 데이터전문기관 대비 개인정보보호법의 결합전문기관에 대한 규제가 많다는 개선과제는 신용정보법이 개인정보보호법보다 가명처리와 데이터 결합에 대하여 더 유연하고 넓게 허용하고 있다는 것으로 해석[21]될 뿐만 아니라 신용, 금융 정보가 일부 포함되면 데이터전문기관만 결합처리가 가능하고 신용정보법 기준으로 신용정보가 광범위할 뿐만 아니라 마이데이터를 포함하고 있어 데이터 결합 처리 활용 사례가 증가되고 있는 현 추세를 볼 때 향후 데이터전문기관 결합처리에 집중될 가능성이 높으며 이에 따른 결합전문기관의 결합처리 사례 부족 등으로 존립 위기가 예상되는 문제는 시급히 개선해야 한다.

셋째. 데이터결합 시장 초기 시장 활성화를 위해 다수의 결합전문기관에서 무료로 결합처리를 진행하고 있지만 향후 데이터결합 시장 활성화를 위해서는 수수료 및 심사료 체계 확립이 필요하고 이를 위해 공통의 수수료 체계와 표준계약서 등 수립이 필요한데 데이터 자산가치 평가와 권리보장을 위한 가격산정 기준과 표준계약서 수립 등을 추진하는 데이터산업법과 보조를 맞출 필요가 있다.

넷째. 데이터3법 개정이 개인정보보호 측면보다는 개인정보(가명정보) 활용의 활성화에 보다 무게를 두었다는 의견도 있지만[22] 개인정보보호법은 규제법으로 “데이터 활성화”보다 “개인정보 보호”가 조금 더 우선하고 있어 결합처리 후 내부연구를 제한하는 문제의 해결 과제로 셀프결합이 아닌 경우인데 결합전문기관의 결합데이터를 같은 기관의 사업부서 및 연구부서 등에서 활용을 금지하는 부분은(금지하는 이유는 셀프결합이 아닌 경우는 정보보호 측면이 아니라 결합데이터 활용 서비스 발굴 역량이 결합전문기관의 소속 기관·기업에 집중·편중을 방지하기 위한 정책적 판단으로 금지) 초기 시장 활성화 측면에서 개선할 필요가 있다. 그리고 셀프결합 허용 문제는 제공만 가능하고 활용은 불가능 현재 구조의 개선은 다각적인 측면에서 신중하게 접근할 필요가 있는데 그 이유는 셀프결합 후 활용까지 가능하다면 가명정보 노출 위험이 높아지기 때문이다. 향후 가명정보 보호 기술이 발전되어 뒷받침이 된다면 개선이 필요하다.

4.4 도출된 개선과제의 유형별 분류 및 분석

연구에서 도출된 개선과제의 제3자적 검토 과정을 걸쳐 타당성을 확보하기 위해서 개인정보보호 박사이며 개인정보위 담당 사무관의 특강(‘22.11, 보다 안전하고 유용한 데이터 활용방안 “가명정보 제도”를 중심으로)을 수강하여 가명정보 제도의 내용과 결합 전문기관에 대한 이해를 확보한 고려대학교 정보보호대학원 석사과정 대학원생 16명(공공기관의 정보보안 및 개인정보보호 담당자들)을 대상자로 선정하여 1차 대면·화상 인터뷰(도출 개선과제 동의 여부, ’22.11.25~11.30)와 2차 대면·화상 인터뷰(개선과제 우선순위 도출, ’22.12.2 ~12.7)를 진행하여 조사 결과(Table.12)가 도출 되었다.

Table 12. Priority survey results

1차 인터뷰를 종합해 보면 도출된 개선과제 10건(제도적 관점 3건, 기술적 관점 3건, 서비스 생태계 관점 4건) 중 8건은 전원 동의를 하였고 제도적 관점 1건(③공공기관 내부관리 계획과 운영지침에 가명정보 관리 추가 및 반출환경 사전 준비 의무화)은 공공기관 담당자들의 업무 증가 부담을 해소하기 위해 개인정보위, KISA 또는 결합전문기관 지원 필요 등 조건부 동의 3명과 동의 13명 결과가 나왔고 서비스 생태계 관점 1건(④공공기관 경영평가 심사 지표 활용)은 현실성과 실효성 확인 필요 등 조건부 동의 2명과 동의 14명 결과가 도출되었다.

개선과제 10건에 대하여 2차 인터뷰(개선과제 우선순위 도출)의 단·중·장기적 우선순위 투표결과를 분석하기 위해 Table.12의 Priority(person) 현황에 가중치(단기×3, 중기×2, 장기×1) 부여하고 평균 가중치를 구한 후 가중치 간격 3등분(단기 2.34~3, 중기 1.66~2.34, 장기 1~1.66)을 기준으로 단·중·장기적 개선과제 분류와 우선순위를 Table.13과 같이 도출하였다.

Table 13. Priority Analysis

도출된 결과를 반영한 개선과제의 우선순위는 제도적 관점은 ② 결합전문기관의 결합데이터 활용을 허용, ③ 공공기관의 내부관리 계획과 운영지침 의무화는 단기적으로 시급하게 개선할 필요가 있고, ① 결합전문기관과 데이터전문기관 기준 동일화는 全산업 분야별 데이터 표준화 진행 경과를 지켜보면서 중기적으로 개선할 필요가 있다.

기술적 관점은 ①암호화 기술로 개인정보 침해를 최소화, ③실시간 트랜잭션 데이터 등 가명 처리기술 개발은 단기적으로 시급하게 개선할 필요가 있고, ② 비정형 데이터의 선택적 개인정보 파기 기술 개발은 중기적으로 개선할 필요가 있다.

물론 개인정보위의 개인정보 보호·활용기술 R&D 로드맵 일정을 고려하여 개선할 필요가 있고 개발이 지연되지 않게 지원이 필요하다.

서비스 생태계 관점은 ①대가산정 기준 및 표준계약서 확립, ④공공기관 경영평가 심사 지표 활용은 단기적으로 시급하게 개선할 필요가 있고, ②운영비 확보와 공익서비스 발굴 재투자 활용, ③공동저장소 운영 및 상생·협력 생태계 구축은 중기적으로 결합서비스 생태계 확대 및 서비스 발굴 활성화의 진척 등을 반영하여 개선할 필요가 있다.

또한 조건부 동의 의견이 있는 개선과제 ③공공기관의 내부관리 계획과 운영지침에 가명정보 관리 추가 및 가명정보 반출환경 사전 준비 의무화는 공공기관 담당자들의 업무 증가 부담(임직원 수가 적은 공공기관 일수록 심화)은 관계 결합전문기관 지원을 통해 충분히 해소할 수 있다고 판단된다.

④공공기관 경영평가 심사 지표 활용의 현실성과 실효성은 새정부의 국정과제인 디지털 자원 활용 확대 및 경쟁력 강화를 위한 디지털플랫폼 정부 구현 측면으로 볼 때 실행력이 충분이 있으나 기획재정부가 주관하는 공공기관 경영평가 지표 추가를 위한 개인정보위 노력과 설득이 중요할 것으로 판단된다.

V. 결론 및 제언

데이터경제 활성화를 위한 결합전문기관 역할 확대의 방안을 국회입법조사처 보고서, 결합전문기관 지정·운영 경험 및 결합전문기관 협의회의 현장 담당자 의견을 통해 도출된 개선과제를 종합해 제도적 환경 관점, 기술적 관점 및 서비스 생태계 관점으로 정리를 하였다.

첫째. 결합전문기관 제도적 환경 관점의 개선과제는 ①개인정보보호법의 결합전문기관과 신용정보법의 데이터전문기관 지정 및 운영 기준 동일화가 필요하며 ②셀프결합이 아닌 가명정보의 결합처리인 경우 결합을 수행한 결합전문기관의 소속 사업&연구 부서에서 결합데이터 활용을 허용해야 하며 ③공공기관의 내부관리 계획과 운영지침에 가명정보 관리 추가 및 가명정보 반출환경 사전 준비 의무화를 통해 가명정보 제공을 위한 준비 및 공공기관 별 담당자의 인식 전환이 필요하다.

둘째. 앞으로 현장에서 결합처리 사례들을 만들어 내면서 대두될 문제들에 대한 지속적인 제도 개선을 위한 뒷받침인 기술적 관점의 개선과제는 ①新서비스 발굴 확대를 위한 동형암호, 영지식증명, 차분 프라이버시 등 암호화 기술로 개인정보 침해를 최소화하고 ②가명정보 공유 및 결합데이터 활용 확대를 위한 비정형 데이터의 선택적 개인정보 파기 기술 및 ③실시간 트랜잭션 데이터 등 다양한 형태의 데이터에 적합한 가명·익명 처리기술 개발이 완료된다면 추가적인 결합전문기관 역할 확대뿐만 아니라 데이터경제 활성화를 위한 가명정보 및 결합데이터 공유·활용을 위한 더욱 과감한 제도 개선이 기대될 것이다.

셋째. 결합전문기관 서비스 생태계 관점의 개선과제는 ①결합처리 수수료 및 반출심의위원회 심사료에 대한 대가산정 기준 및 표준계약서 확립을 통해 ②공익서비스에 활용되는 가명정보는 무료로 제공하고 수익서비스에 활용되는 가명정보는 수익을 배분하는 투트랙 구조를 통해 확보된 재원을 가지고 결합전문기관 운영비 확보와 공익서비스 발굴 재투자 활용 및 스타트업·중소기업의 비용 지원 등 생태계 활성화에 기여해야 한다. 또한 ③데이터의 자유로운 접근을 위한 공공·민간 전 분야의 데이터 댐(또는 데이터 레이크) 확대와 가명정보 및 결합데이터 재활용을 위한 공동저장소 운영으로 데이터 활용 상생·협력 생태계 구축이 필요하며 ④타 공공기관(또는 기업)과의 협업으로 가명정보 제공 건수나 결합 시범사례 발굴 실적 등을 공공기관 경영평가 심사 지표 활용을 데이터경제 시장 초기에 적용하여 서비스 생태계 구축을 뒷받침할 필요가 있다.

2020년8월 데이터3법 개정 및 시행 이후 많은 변화들이 있었지만 앞으로 데이터 기반의 사회·경제 전 분야에 4차 산업혁명 선도를 위해서 정부(개인정보위, 과기부, 산업부 등 관계부처)와 산·학·연 간 원활한 소통 채널 다각화를 통해 데이터 산업 현장의 문제점과 의견을 지속적으로 반영하는 제도개선 선순환 구조 정착이 필요하며 이를 통해 데이터 산업 활성화의 발목을 잡거나 잘못된 방향 설정 등을 사전에 예방하고 향후 현장에서 결합 사례를 통해 다양하게 도출될 문제들의 개선방향을 도출하여야 한다.

분기별 개최되고 있는 결합전문기관 실무협의회가 좋은 사례이나 의례적인 정기 모임이 아니라 유형별 차이가 나는 결합전문기관의 문제점과 애로사항을 조정하고 실질적인 방안을 찾는 기회와 전문기관(결합 전문기관, 데이터전문기관, 결합키관리기관) 간의 상생·협력의 장으로 삼아야 한다.

또한 학회의 전문가 의견도 귀 기울어야 하는데 개인정보위 1주년과 개인정보보호법 제정 10주년 기념 4대 학회 컨퍼런스가 좋은 사례처럼 행사에 그치지 말고 논의되고 도출된 개선과제의 빠른 제도화가 무엇보다 필요하며 이를 통해 규정과 제도가 결합전문기관의 지속적인 투자와 데이터경제 선도 의지를 뒷받침할 수 있어야 하며 결합전문기관의 고유한 업무에 멈추지 않고 향후 지속적으로 데이터경제 선도를 위한 가명정보 결합 시범사례 뿐만 아니라 新사업 비즈니스 모델 발굴 등의 과정에서 발생하는 문제점을 보안하기 위한 제도 및 기술 개선과 다시 이를 통한 新사업 발굴로 이어지는 선순환 구조가 필요하다.