가명•익명정보 처리•결합 관련 법령

가명•익명정보 처리•결합 및 안전조치 관련 법령준수사항

 

 

□  관련법령 해석   
    개인(신용)정보를 통계작성, 연구, 공익적목적 등으로 가명정보 처리시 법적으로 준수해야할 관리적/기술적 안전조치 필요  

 

신용정보의 이용 및 보호에 관한 법률 (시행 : 23.09.15)   

제40조의2(가명처리ㆍ익명처리에 관한 행위규칙)
① 신용정보회사등은 가명처리에 사용한 추가정보를 대통령령으로 정하는 방법으로 분리하여 보관하거나 삭제하여야 한다.   
② 신용정보회사등은 가명처리한 개인신용정보에 대하여 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험으로부터 가명정보를 보호하기 위하여 내부관리계획을 수립하고 접속기록을 보관하는 등 대통령령으로 정하는 바에 따라 기술적ㆍ물리적ㆍ관리적 보안대책을 수립ㆍ시행하여야 한다.
③ 신용정보회사등은 개인신용정보에 대한 익명처리가 적정하게 이루어졌는지 여부에 대하여 금융위원회에 그 심사를 요청할 수 있다.
④ 금융위원회가 제3항의 요청에 따라 심사하여 적정하게 익명처리가 이루어졌다고 인정한 경우 더 이상 해당 개인인 신용정보주체를 알아볼 수 없는 정보로 추정한다.
⑤ 금융위원회는 제3항의 심사 및 제4항의 인정 업무에 대해서는 대통령령으로 정하는 바에 따라 제26조의4에 따른 데이터전문기관에 위탁할 수 있다.
⑥ 신용정보회사등은 영리 또는 부정한 목적으로 특정 개인을 알아볼 수 있게 가명정보를 처리하여서는 아니 된다.
⑦ 신용정보회사등은 가명정보를 이용하는 과정에서 특정 개인을 알아볼 수 있게 된 경우 즉시 그 가명정보를 회수하여 처리를 중지하고, 특정 개인을 알아볼 수 있게 된 정보는 즉시 삭제하여야 한다.
⑧ 신용정보회사등은 개인신용정보를 가명처리나 익명처리를 한 경우 다음 각 호의 구분에 따라 조치 기록을 3년간 보존하여야 한다.
   1. 개인신용정보를 가명처리한 경우
          가. 가명처리한 날짜
          나. 가명처리한 정보의 항목
          다. 가명처리한 사유와 근거   
   2. 개인신용정보를 익명처리한 경우
          가. 익명처리한 날짜
          나. 익명처리한 정보의 항목
          다. 익명처리한 사유와 근거

제40조의3(가명정보에 대한 적용 제외)
가명정보에 관하여는 제32조제7항, 제33조의2, 제35조, 제35조의2, 제35조의3, 제36조, 제36조의2, 제37조, 제38조, 제38조의2, 제38조의3, 제39조 및 제39조의2부터 제39조의4까지의 규정을 적용하지 아니한다.

       

개인정보 보호법 (시행 : 24.03.15)   

제3절 가명정보의 처리에 관한 특례
제28조의2(가명정보의 처리 등)
① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

제28조의3(가명정보의 결합 제한)
① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관*이 수행한다.
② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.
③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 대통령령으로 정한다.

제28조의4(가명정보에 대한 안전조치의무 등) 
① 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. 
② 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우 처리목적 등을 고려하여 가명정보의 처리 기간을 별도로 정할 수 있다.
③ 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자, 가명정보의 처리 기간(제2항에 따라 처리 기간을 별도로 정한 경우에 한한다) 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 하며, 가명정보를 파기한 경우에는 파기한 날부터 3년 이상 보관하여야 한다. 

제28조의5(가명정보 처리 시 금지의무 등) 
① 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
② 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다. 

 

     *  가명정보 결합이 가능한 데이터전문기관(12곳)

          - 20.08.06 : 신용정보원, 금융보안원,  국세청(20.12.22) ,  금융결제원(21.03.08)
          - 23.07.19 : 통계청, BC카드, 삼성SDS, 삼성카드, 신한은행, 신한카드, LG CNS, 쿠콘

 

 

※ 출처 : 국가법령정보센터(신용정보법, 개인정보보호법)

 

가명정보 처리 가이드라인_개인정보보호위원회(2024.02).pdf

7.60MB

 

이상.  끝.