개인정보보호, 소프트웨어 정책
ISO/IEC에서는 2014년부터 개발한 비식별 처리 기술 표준(ISO/IEC 20889)의 CD버전*을 공개함
* 표준 개발 단계 중 3단계(위원회 단계)에 해당되는 것으로 표준 내용에 대한 의견을 수렴하는 단계로 반대의견이 없을 경우 4 단계(승인 단계)로 진행
본 표준은 ISO/IEC 29100(privacy framework)에서 제시하고 있는 프라이버시를 강화하기 위한 비식별 기술을 정의
ISO/IEC 20889의 기존 버전에서는 비식별 관련 용어 정의, 비식별 기술에 대한 분류, 비식별 모델, 비식별 기술의 적용 원칙을 포함
본 내용은 최근 개정된 ISO/IEC 20889 비식별 표준에 추가된 주요내용으로 비식별 개념, 식별자에 대한 상세 분류에 대해 소개
개인식별정보에 대한 개념
(식별의 개념) 주어진 정보를 통해 그 정보를 “특정인의 것으로 식별”하거나 “동일인의 것으로 식별”하는 경우로 정의
(사례) 사과와 오랜지를 판매하는 신용카드 가맹점이 존재할 때, 가맹점에서 누가 사과를 구입했는지 알고 있다면 “특정인으로 식별 상태”임을 의미함. 해당 가맹점에서 사과를 구입한 사람과 오랜지를 구입한 사람이 같은 사람인지 여부만을 알 수 있다면 “동일인으로 식별 상태”임을 의미
(식별 가능성의 개념 구분) 개인 식별정보(Personally identifying information)와 개인 식별가능 정보(Personally identifiable information)의 개념을 구분
(개인 식별 정보) 주어진 정보를 통하여 특정인으로서 같은 사람이라는 것을 식별하는 정보(예, 주민번호, 여권번호 등)
(개인 식별가능 정보(PII)2)) 개인 식별 정보를 포함하여 주어진 정보를 통하여 특정인의 것으로 식별 가능한 잠재적 위험을 내포하는 정보
(정보의 식별성 분류) <그림1>에서와 같이 주어진 정보 혹은 정보 간에 ① 특정인의 것으로 식별되는 정보 ② 동일인의 것으로 식별되나 특정인은 식별하지 못하는 정보 ③ 동일인 및 특정인의 것으로도 식별되지 못하는 정보
<그림 1 정보 식별성의 개념적 분류>
ISO/IEC 29100에서 PII(Personally Identifiable Information)로 명명
비식별에 대한 개념
(비식별 개념 분류) 비식별 개념은 서로 다른 식별성을 갖는 정보 상태 간 변환 프로세스의 차이에 따라 3가지 형태로 정의
(개념1) 특정인의 것으로 식별되는 정보를 개인 식별 가능 정보 (예: 가명 처리된 개인식별자)로 처리하는 프로세스
(개념2) 특정인의 것으로 식별되는 정보를 개인 식별 불가능한 다른 정보로 처리하는 프로세스
(개념3) 개인 식별가능 정보를 개인 식별 불가능한 다른 정보로 처리하는 프로세스
<그림 2 비식별 처리의 3가지 개념>
(비식별 개념 분류의 의미) <그림2>의 “개념1″과 같이 주어진 정보를 비식별 처리했더라도 개인식별 가능정보 상태*에 놓일 수 있으며, “개념3″과 같이 이러한 정보에 대한 추가적인 비식별 처리가 필요할 수 있음을 내포함
* 현재 특정인을 식별하지 못하나 정보간의 결합 분석 및 추론을 통해 재식별 가능성을 가지는 정보
(비식별의 위험) 다양한 비식별 개념에 따라 비식별 위험이란 비식별 처리된 데이터가 비식별 처리전 상태인 “특정인의 것으로 식별 가능한 정보” 혹은 “개인식별가능정보” 상태로 재식별되는 상태 혹은 가능성을 의미
(개인식별가능정보 범위) <그림4>는 주어진 정보 범위 중에서 식별 가능성을 내포하고 있는 개인식별가능정보(점선)의 범위가 달라 질 수 있음을 표현
<그림 3 가변적인 개인식별가능정보(PII)의 범위>
따라서, 비식별 처리 대상 정보로서 개인식별가능정보에 대한 재식별 위험 분석이 필요하고 이러한 정보의 판별 여부가 효과적인 비식별 처리의 중요 인자임을 제시
식별자에 대한 분류
(식별자 의미) 데이터*셋(dataset)에서 특정 개인을 식별할 수 있는 속성들의 전체 집합
* 행과 열로 구성되는 데이터 집합을 가정할 때, 각 행(레코드)은 특정 개인을 의미하고 여러 속성(열)들의 결합으로 구성할 수 있음
(지역 식별자) 데이터셋에서 특정 개인을 식별가능토록 하는 속성들의 집합
(직접 식별자) 일정 문맥(context)하의 정보안에서 그 자체로 특정 개인을 유일하게 식별하는 속성
(유일 식별자) 직접 식별자 중에서 데이터셋에서 그 자체로 동일 개인을 식별가능한 속성 (예: 가명화처리된 일련번호)
(준 식별자) 데이터셋 내부 혹은 외부의 다른 속성과 결합하여 특정 개인을 식별하는 속성(예: 생일, 우편번호, 성별 등)
(지역 준 식별자) 데이터셋 내에서 혹은 데이터셋에 포함된 다른 속성과 결합하여 동일 개인을 식별 가능한 속성
<그림 4 식별자의 타입>
추가된 표준 내용의 시사점 및 전망
(주요 내용) 최근 개정된 ISO/IEC 20889 CD버전에서는 비식별 및 정보의 식별성에 대한 개념 정의, 식별자에 대한 상세 분류와 정의를 통해 비식별 처리에 관련된 명확한 개념과 분류를 포함
식별자로 포함되는 정보를 직접식별자 뿐만이 아니라 다른 정보와 결합을 통해 간접적으로 특정 개인을 나타낼 수 있는 모든 속성들의 집합으로 정의
(시사점) 비식별 개념과 식별자에 대한 상세 정의를 통해 비식별 처리 시 재식별 가능성 경감을 위한 기준 마련이 요구됨을 시사
비식별 처리 결과의 수준이 특정인을 나타내지 않으나 정보 결합 등에 의해 재식별 가능성을 가진 상태*를 가질 수 있음을 정의하여, 비식별 처리 결과에 따른 정보의 상태에 따라 부가적인 관리적·기술적 조치**가 필요할 수 있음을 시사
* <그림 2> 비식별 처리의 개념 중 (개념1)의 경우 “동일인의 것으로 식별되나 특정인은 식별하지 못하는 정보”상태
** 추가적인 비식별 처리가 필요하거나, 비식별화된 정보 활용에 대한 제약 등
또한, 특정 문맥(context)안에서 주어진 정보 중 효과적인 비식별 처리를 위해서 데이터셋 내에서 재식별 가능한 “개인식별가능 정보”의 선별*과 위험 분석이 주요 요소임을 시사
* <그림 4> 식별자의 타입에서 나타내는 것처럼 다양한 속성의 식별자로 분류될 수 있음을 나타냄
(전망) 본 개정 표준에 포함된 주요내용들은 용어정의 수준의 기존 비식별과 식별자 개념을 분석적으로 확대 정의함으로서 비식별 처리를 위해 추가적으로 고려해야 할 사항의 필요성을 제시
향후, 비식별 처리에 관련된 국제표준화 과정에서 비식별 처리 결과에 따른 위험 경감 조치로 기술적·관리적 요구사항에 대한 가이드라인이 추가적으로 제시 될 수 있을 것으로 전망