개인정보보호위원회(위원장 송경희, 이하 개인정보위)가 가명정보 처리 가이드라인을 전면 개정한다. 기관마다 들쭉날쭉했던 위험도 판단 기준을 표준화하고, 복잡한 서류와 절차는 대폭 간소화하는 것이 핵심이다.

[블랙엣지뉴스=장우영 기자] 개인정보위는 AI 기술 발전 등 급변하는 데이터 활용 환경을 반영해 「가명정보 처리 가이드라인」을 전면 개정한다고 밝혔다. 이번 개정은 AI 기업 50개사와 전체 공공기관 1,441개를 대상으로 실태조사와 심층 인터뷰를 실시하고, 실무자·전문가가 참여한 다수의 태스크포스(TF)를 거쳐 현장의 목소리를 반영해 마련됐다.

"담당자마다 판단이 달라요"…표준화된 위험도 기준 첫 도입

그동안 가명정보 제도는 기관별·담당자별로 판단 기준이 달라 동일한 사안에도 결과가 제각각이었다. 표준화된 기준 없이 검토자의 주관에 의존하다 보니 예측 가능성이 낮아지고 현장의 혼선이 심화됐다는 지적이 꾸준히 제기돼 왔다.

<가명정보 처리 위험도 판단 절차도, 출처: 개인정보보호위원회 보도자료>

이에 개인정보위는 '누가 활용하는지'와 '어떤 환경에서 처리되는지'를 기준으로 위험도를 구분하는 표준화된 판단 체계를 새롭게 마련했다. 내부에서만 활용하면 '저위험', 제3자에 제공할 경우에는 처리 환경의 통제 가능 여부에 따라 '중위험' 또는 '고위험'으로 판단한다. 다만 개별 사례의 특수성과 기관 내부지침을 감안해 위험도를 상향 또는 하향 조정할 수 있는 유연성도 함께 확보했다.

서류 24종→10종으로 축소…"위험 낮으면 절차도 가볍게"

복잡한 검토 절차와 방대한 서류 작성 부담도 대폭 줄어든다. 그동안 명확한 간소화 기준이 없어 실제 위험과 관계없이 모든 사안에 과도한 절차와 서류를 일률적으로 요구하는 경우가 많았다. 이로 인해 불필요한 심의와 문서 작성에 시간과 자원이 낭비됐고, 여력이 부족한 기관은 가명정보 활용 자체를 포기하는 사례도 있었다.

<위험도 기반 검토 절차 별 작성 서류, 출처: 개인정보보호위원회 보도자료>

이번 개정으로 위험도에 따라 검토 방식과 서류를 차등 적용하게 됐다. 기존 24종이었던 작성 서류 양식은 10종으로 줄었다. 예를 들어, 동일 기관 내에서 서비스 이용 통계 작성에 가명정보를 활용하는 경우 '저위험'으로 판단해 별도 검토위원회 없이 담당자 검토만으로 처리할 수 있고, 필요 최소한의 서류만 작성하면 된다.

AI 개발 현실에 맞게 기준 현실화…목적 확장·처리기간 유연화

AI 기술 특성에 맞게 가명정보 제도의 운영기준도 현실화됐다. 기존에는 사전에 정한 목적과 기간 안에서만 데이터를 활용할 수 있어, 반복 학습이 필요하거나 다양한 용도로 확장이 필요한 AI 개발 과정에서 제도가 현실과 동떨어진다는 지적이 많았다.

이번 개정으로 유사한 범위 내 '확장 가능한 목적'을 사전에 함께 설정해 검토할 수 있게 됐다. 같은 가명정보를 유사 목적으로 반복 활용할 수 있는 기반이 마련된 것이다. AI 서비스 개발·고도화를 위한 처리기간 설정 기준도 유연하게 개선됐다.

<대규모 비정형데이터 검수 개선 방안, 출처: 개인정보보호위원회 보도자료>

또한 영상·이미지·텍스트 등 대규모 비정형 데이터의 경우 전수조사가 현실적으로 어려운 점을 감안해, 일부 데이터를 선별해 확인하는 '표본 검수' 등 다양한 검수 방식을 허용해 데이터 처리의 효율성도 높였다.

가이드라인 구성도 독자 중심으로 재편

이번 개정에서는 가이드라인 구성도 손봤다. 일반 국민부터 실무자까지 다양한 독자층에도 불구하고 모든 내용을 하나의 문서에 담아 읽기 어렵다는 지적을 반영해, 가이드라인을 개념·절차 중심의 '본권(제도 안내편)'과 가명처리 기법·안전조치·서식 작성법 등 실무 내용을 담은 '별권(처리 실무편)'으로 분리했다. 다양한 활용 시나리오와 Q&A도 대폭 보강했다.

송경희 위원장은 "그간 가명정보 제도는 복잡한 절차와 보수적 운영으로 현장에서 진입장벽이 높은 편이었다"며 "현장의 애로사항을 밑바닥부터 청취해 실질적인 위험도를 기반으로 가이드를 전면 개편한 만큼, 가속화되는 AI 전환 환경에서 가명정보의 안전하고 효과적인 활용이 획기적으로 증가하는 전환점이 될 것으로 기대한다"고 밝혔다.

*개정된 「가명정보 처리 가이드라인」은 개인정보보호위원회 홈페이지(https://www.pipc.go.kr)에서 다운로드 받을 수 있다.

감사·내부통제 전문지 BLACK EDGE / 장우영 기자