[디지털데일리 김보민기자] 개인정보보호위원회(이하 개인정보위)가 전 분야 마이데이터 제도가 정착하기 위해 개인정보 관리 체계를 강화해야 한다고 강조했다. 의료·통신 분야부터 마이데이터 제도를 우선 시행하는 가운데, 추후 에너지·교통 등 10대 중점 분야로 대상을 확대하겠다는 의지도 재확인했다.

하승철 개인정보위 범정부마이데이터추진단장(이하 단장)은 28일 서울 강남구 포스코타워 역삼에서 열린 '개인정보관리 전문기관 지정 심사 설명회'를 통해 "마이데이터 제도는 국민에게 정보 통제권을 행사할 수 있도록 하고, 번거로운 절차 없이 데이터 전송을 가능하게 해 개인별 특성에 맞는 맞춤형 서비스와 통합 조회를 향유하게 한다"며 "이를 위해 프라이버시 보호와 신뢰 확보가 우선돼야 하고, 신뢰할 수 있는 환경에서 영역 간 융합·활용이 자유로워야 한다"고 밝혔다.

신뢰할 수 있는 환경을 만들기 위해 개인정보 관리 전문기관의 역할이 크다는 점도 시사했다. 하 단장은 "프라이버시를 보호하고 신뢰를 확보하기 위해서는 전송 목적이 명확해야 하고, 안전한 전송과 보관을 위해 암호화 접근제어, 침해 예방 및 탐지·방어 등 보호 체계와 설비를 갖춰야 한다"며 "무분별한 활용, 부당한 전송 요구는 금지돼야 한다"고 강조했다.

개인정보 관리 전문기관은 정보 전송자가 보유한 개인정보를 다른 기관과 기업으로 전송할 수 있도록 중계를 지원하고, 전송받은 정보를 분석해 활용하는 개인정보 처리자다. 마이대이터 전면 시행을 구현하는 데 있어, 정보 전송 관리를 수행하는 중심축인 셈이다.

개인정보관리 전문기관은 ▲일반전문기관 ▲특수전문기관 ▲중계전문기관 등 세가지로 나뉜다. 많은 사업자들이 관심을 보이고 있는 일반전문기관의 경우 통합조회, 맞춤형 서비스 등을 위해 정보전송자로부터 받은 개인정보를 관리하고 분석하는 업무를 한다. 보건의료전송정보는 관리 영역에서 제외된다. 특수전문기관은 일반기관과 업무가 유사하지만, 보건의료전송정보를 다룬다는 점에 차이가 있다.

중계전문기관은 전송요구권 행사를 지원하는 역할을 한다. 개인정보 전송 중계에 필요한 기능을 제공하고, 관련 시스템을 운영하는 업무를 보는데 정보 주체, 수신자, 개인정보전송지원플랫폼 등을 연결하는 허브 역할을 한다.

전문기관이 개인정보 침해 혹은 정보주체 권리 제한 등 금지행위를 행해 위반사항이 적발될 경우에는 3000만원 이하 과태료가 부과된다. 중계전문기관 금지 행위로는 업무 종료 후 개인정보를 파기하지 않거나, 전송 절차 중단을 이유로 경제적 대가를 요구하는 일이 포함된다. 일반전문기관의 경우 전송 요구 목적과 관련이 없는 개인정보를 수집하기 위해 정보를 전송하도록 요구하는 행위 등이 위반 사항으로 꼽힌다.

이날 행사에는 고영하 한국인터넷진흥원(KISA) 마이데이터정책팀장, 김대현 KISA 팀장, 장민철 한국보건의료정보원 단장이 참석해 개인정보관리 전문기관의 역할과 통신·의료 영역 마이데이터 운영 방안을 소개했다. 통신 분야 응용프로그램인터페이스(API) 운영 방안과, 건강정보 고속도로 사업 현황을 공유하는 시간이 이어졌다.

하 단장은 "정부는 통신·의료 분야 마이데이터 시행을 출발점으로, 제도가 국민 생활에 조기 안착되는 데 모든 역량을 집중할 것"이라며 "국민 생활에 밀접한 10대 중점 분야를 중심으로 제도 도입 취지, 수용성, 기업 준비 부담 등을 고려해 단계적으로 추진하겠다"고 말했다. 10대 중점 분야로는 에너지, 교통, 교육, 고용, 부동산, 복지, 유통, 여가 등이 있다.

한편 개인정보위는 이날 현장에서 마이데이터 제도에 대한 참가자들의 궁금증을 해소하는 시간을 가졌다.

개인정보위는 활용하고자 하는 데이터 분야마다 전문기관 지정 심사를 받아야 하느냐는 질문에 "의료 정보는 특수 지정을 받아야 해서, 통신과 의료 정보를 활용한 서비스를 기획할 경우 일반과 특수를 모두 지정받아야 한다"고 답했다. 이어 "에너지 등 다른 분야로 추가 확대를 할 경우, 의료 정보를 제외해서 서비스를 계획하는 기관은 일반 전문기관 지정만 신청하면 된다"고 답했다.

정보전송자에 상급종합병원이 포함돼 있는데, 병원과 의원으로 대상을 확대할 계획이 있느냐는 질문에는 "올해 상급종합병원 47곳을 연계할 계획이고, 병원과 의원으로 확대 추진할 것"이라며 "예산 및 정책적으로 검토할 부분이 있고, 올해는 47개를 중심으로 시작된다"고 설명했다.

한편 개인정보위는 '전 분야 마이데이터 전송 절차 및 기술 가이드라인(제3자 대상 전송요구권 중심)', '전 분야 마이데이터 표준 API 및 명세' 등 가이드라인을 배포할 예정이다. 가이드라인은 API 기반 연동을 위해 요청 및 응답 메시지 규격을 안내하고, 제3자 전송요구에 대한 세부 전송절차 및 기술 표준, 기능 개발 등에 대한 내용을 담을 전망이다.