[디지털데일리 이민형기자] ‘빅데이터 개인정보보호 가이드라인(가이드라인)’에 개인정보 비식별화 조치를 검증·감사할 수 있는 규정돼 있지 않아 개인정보유출, 오남용 등이 발생할 수 있다는 지적이 나왔다.

여기서 ‘비식별화’란 데이터 값 삭제, 가명처리, 총계처리, 범주화, 데이터 마스킹 등을 통해 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 쉽게 결합해도 특정 개인을 식별할 수 없도록 하는 조치를 말한다.

15일 박춘식 한국정보보호학회 회장(서울여대 교수)은 “개인정보의 비식별화 조치가 제대로 이뤄졌는지를 확인할 수 있는 규정이 이번 가이드라인에는 없다”며 “비식별화 조치가 완벽하게 되지 않은 데이터가 제3자에게 넘어갈 경우 심각한 문제가 발생할 수 있다”고 강조했다.

가령 비식별화 조치가 완벽하게 이뤄질 경우에는 어떤 상황(데이터, 데이터간의 결합 등)에서라도 개인을 특정할 수 없기 때문에 다양하게 활용할 수 있다. 반대로 비식별화가 완벽하지 않다면 오히려 개인정보유출과 오남용의 문제가 발생할 수 있다는 지적이다.

방통위는 비식별화 조치를 하라는 규정만 만들었을뿐, 이를 위한 수단, 방법, 도구 등은 사업자에게 일임했다. 조치가 적절하게 이뤄졌는지 확인하거나 감사하는 규정도 없다.

실제로 제대로 조치가 취해지고 있는지를 정부, 사용자 그 누구도 판단할 수 없다는 것이 문제점이다.

이를 두고 박 회장은 가이드라인에 비식별화 조치가 제대로 됐는지를 확인하거나 판단할 수 있는 기준, 규정이 필요하다고 주장했다.

그는 “비식별화 조치를 할 경우 사업자들은 사용자 동의없이도 제3자에게 제공할 수 있게 된다. 사업자들은 활용도를 높이기 위해 비식별화 조치의 수준을 스스로 낮출 가능성이 있다”며 “이를 견제할 수 있는 방법이 필요하다. 제3의 기관이 사업자들의 빅데이터 비식별화 조치를 감시하는 등의 규정이 있어야 할 것”이라고 말했다.

이어 “가까운 일본의 경우 제3의 기관이 비식별화 조치에 대해 인증을 해주는 형태로 운영하고 있다”고 덧붙였다.

이 같은 지적에 방통위는 비식별화에 대한 정의는 이미 내려져있고, 이를 어떻게 처리할지는 사업자들의 선택이며 선택에 따른 책임을 지우겠다고 설명했다.

엄열 방통위 개인정보보호윤리과장은 “범주화, 통계화, 마스킹 처리 등으로 비식별화를 하라는 기술적인 정의는 규정돼 있다”며 “어떤 방법으로 비식별화할지는 사업자들이 알아서 선택할 수 있다. 다만 고의, 과실로 인해 식별성이 나타나거나 개인정보 오남용 등의 문제가 생겼을 경우 정보통신망법, 개인정보보호법 등으로 처벌할 것”이라고 전했다.

이에 대해 박 회장은 “기업이 자율적으로 조치를 취한다는 것에는 동의하나, 문제가 발생한 뒤라면 이미 늦은 것”이라며 “비식별화 조치에 대한 규정을 보강할 필요가 있어보인다”고 제언했다.

<이민형 기자>kiku@ddaily.co.kr