개인정보보호위원회의 ‘가명정보 처리 가이드라인’ 개정 주요내용(안) 발표


법무법인 대륙아주 김정은 변호사¹
법무법인 대륙아주 나희수 변호사



1. 들어가며

최근 AI 연구개발 과정에서 가명정보 활용 수요가 급격히 증가하고 있음에도 AI 기술의 특성과 현행 가명정보 제도의 적용 방식 사이에 상당한 간극이 존재하는 등 기업들이 가명정보 제도를 활용하는 데 현실적인 어려움이 존재하고 있습니다. 이에 개인정보보호위원회는 기업들이 가명정보를 보다 효과적으로 활용할 수 있도록 제도 및 운영지침을 정비할 필요성을 인식하고, 2025. 12. 「가명정보 처리 가이드라인」 개정 주요내용(안)을 발표하였습니다.

이하에서는 ‘가명정보 처리 가이드라인’ 개정 주요내용(안)을 설명드리겠습니다.



2. ‘가명정보 처리 가이드라인’ 개정 주요내용(안)

가. 가명처리 관련 서류 통폐합·간소화

① 가명처리 단계별 관련 서류 일부 폐지
‘내부관리계획’은 개인정보 보호법 제29조에 따라서 이미 수립되어 있을 것이므로, 별도 작성 없이 가명정보 관련 사항만 일부 추가하여 시행할 수 있도록 하고, 데이터 제공 계약서 역시 폐지하여 기관 간 자유로운 의사에 따라서 처리할 수 있도록 함.

② 가명처리 단계별 관련 서류 통합·간소화
서류 간 중복되는 항목을 검토하여 가명정보 활용 계획서, 위험성 검토서, 가명처리 계획서, 가명처리 결과서, 적정성 검토 결과서, 적정성 평가위원 서약서, 가명(추가)정보 관리대장으로 통합 정비하고, 가명정보 이용·제공 신청서, 비정형데이터 추가검수 결과서, 안전조치 이행확약서 등 필요한 서류는 유지하되 작성 내용은 쉽고 간결하게 간소화함.

③ 작성주체 명시
각 서류 양식별로 누가 작성하여야 하는지에 관한 혼란이 없도록 작성주체(제공기관, 이용자, 검토자)를 명확히 안내함.
구체적으로, (i) 가명정보 이용·제공 신청서, 가명정보 활용 계획서, 안전조치 이행 확약서, 가명(추가)정보 관리대장은 가명정보 이용자가, (ii) 위험성 검토서, 가명처리 계획서, 가명처리 결과서, 비정형데이터 추가검수 결과서, 가명(추가)정보 관리대장은 가명정보 제공기관이, (iii) 적정성 검토 결과서, 적정성 평가위원 서약서는 적정성 검토자가 작성하도록 함.


나. 표준화된 위험도 판단기준 마련

① 기본 위험도 판단
가명정보 활용주체와 처리환경을 기준으로 아래와 같이 기본 위험도를 제시함.
• 저위험: 동일 개인정보처리자가 직접 활용하는 경우
• 중위험: 가명정보 제공기관이 가명정보를 제3자에게 제공하고 제공기관이 해당 제3자를 통제할 수 있는 경우
• 고위험: 가명정보 제공기관이 가명정보를 제3자에게 제공하고 제공기관이 해당 제3자를 통제할 수 없는 경우

② 위험도 조정
기본 위험도 판단 후 데이터 자체의 위험도, 가명정보 처리 맥락·상황, 기관 자체 지침 등 요소를 고려하여 개별 사례마다 최종 위험도를 조정하도록 함.


다. 위험도 기반 가명처리 절차·서류 차등화

① 아래와 같이 위험도에 기반한 절차·서류를 적용하여 가명정보 활용의 효율성을 제고하고 불필요한 절차를 완화함.
• 저위험: 내부 담당자가 적정성 검토, 가명정보 활용 계획서, 위험성 검토서, 가명(추가)정보 관리대장 등 필요 최소한 서류만 작성 가능
• 중위험: 최소 2인 이상 인원을 포함한 내부심의로 적정성 검토, 대부분의 서류를 작성·보관하여야 하지만 적정성 평가위원 서약서 및 안전조치 이행확약서 생략 가능
• 고위험: 데이터 심의위원회(외부 전문가 포함 권고)를 개최하여 적정성 검토, 모든 서류를 작성·보관하여야 하나 비정형데이터 미포함시 비정형데이터 추가검수 결과서 생략 가능


라. AI 기술특성과 조화를 위한 운영지침 개선

① 가명정보 처리 사전목적 설정기준 정비
개인정보 보호법은 ‘목적 명확화’, ‘최소 수집’ 원칙을 규정하고 있으나 AI의 연구개발 및 활용을 위해서는 다양한 목적을 위한 최대한 많은 데이터의 수집·학습이 필요하므로, 최초 가명정보 처리 목적 설정 시 단일 목적 외에 비슷한 특성을 공유하는 확장 가능한 목적의 범위를 사전에 설정할 수 있도록 안내함. 다만, 확장 가능한 목적은 최초 목적과 직접 연관된 추가 분석 목적 또는 동일 연구 과정에서 파생되는 유사 목적의 응용연구로 한정함.

② 가명정보 처리기간 설정기준 보완
AI 모델 개발·고도화 목적의 경우 가명정보 처리·보관 기간을 ‘AI 서비스 개발·운영 종료 시’까지 폭넓게 인정함.
또한, 최초 설정 기한이 도래하더라도 처리자가 필요한 범위 내에서 처리·보관 기간을 손쉽게 갱신·연장할 수 있는 절차를 마련함. 즉, 가명처리·적정성 검토 관련 별도 서류 작성 없이 담당자가 연장 사유와 변경 요소만 확인하는 방식으로 간단히 처리·보관 기간을 갱신할 수 있도록 함.

③ 특이정보* 삭제 관행 개선 및 안전한 활용 기준 확립
특이정보가 필수 삭제 대상은 아님을 분명히 하여 획일적 삭제 관행을 완화하고, 특이정보의 안전한 활용조건으로 다른 식별 가능 항목의 가명처리 수준을 강화하여 데이터셋 전체의 재식별 위험을 낮추는 데이터 안전조치와 기관 내부 분석공간·폐쇄형 연구망·SW반입 제한구역·개인정보 이노베이션존(개인정보보호위원회가 높은 수준의 처리환경 안전성을 갖췄음을 검증하여 지정한 공간)에서의 이용 등 환경적 안전조치를 제시함.
＊ 특이정보(Outliers): 데이터의 일반적인 패턴을 벗어난 값이나 예외적인 데이터로, 희귀성씨, 희귀직업, 희귀병명 등 고유 (희소)값, 편중된 분포를 가지는 정보

④ 비정형데이터에 대한 위험도 기반 가명처리 절차·서류 차등화
비정형데이터에 대하여 항상 전수 검수 방식을 채택하여야 하는 것은 아니라는 전제에서, 위험도를 기반으로 하여 전수 검수, 부분 검수, 표본 검수 등 다양한 검수방식을 선택할 수 있도록 함.
검수방법 및 사유, 잔존 위험을 낮추기 위한 조치 사항, 적정성 검토 결과 등을 기록·보관하여 실무자의 정당성 확보 및 면책 근거로 활용하도록 권고함.



3. 시사점

이번 「가명정보 처리 가이드라인」 개정 주요내용(안)은 개인정보보호위원회가 기업들이 AI 연구개발을 비롯한 다양한 분야에서 가명정보를 실질적으로 활용할 수 있도록 제도 운영 방향을 재정비하고자 하는 정책적 의지를 보여준다는 점에서 의미가 큽니다.

그동안 가명처리 및 가명정보 처리 실무에서 가장 큰 부담으로 지적되어 온 과도한 서류 작성과 형식적 절차, 위험도 판단 기준의 모호성 등이 상당 부분 해소됨에 따라 기업들이 가명처리 및 가명정보 활용에 있어 부담하고 있던 현실적 제약이 대폭 경감될 것으로 보입니다.

이번 개정 주요내용(안)이 확정되면 가명정보 처리 관련 절차가 합리적으로 정비됨으로써, 기업들은 예측 가능한 기준 하에 가명정보를 보다 적극적으로 활용할 수 있을 것으로 기대됩니다.




 

1. 현재 법무법인(유한) 대륙아주의 파트너변호사로서, 주요 업무분야는 지적재산, 정보보안, TMT (Technology, Media & Telecom), 엔터테인먼트, 바이오/헬스케어 등입니다. 지적재산권, 영업비밀, 부정경쟁행위, 개인정보보호 관련 민·형사 소송 및 자문 등의 업무를 주로 담당하고 있으며, 개인정보보호위원회 개인정보보호 기본계획(2024-2026) 수립 연구반으로 활동하였습니다.