가명정보 처리 규정을 위반한 공공기관에 과태료가 부과됐다. 가명정보 위반 관련 첫 제재다.
개인정보보호위원회(개인정보위)는 24일 전체회의를 열고 개인정보보호법상 가명정보 처리 특례 규정을 위반한 대한적십자사와 국립중앙도서관에 대해 640만원의 과태료를 부과했다. 시정명령 및 개선권고도 의결됐다.
가명정보는 추가정보의 사용·결합 없이 특정 개인을 알아볼 수 없는 정보다. 가명정보 처리에 관한 특례 적용 대상이 된다. 안전조치 의무 준수와 처리 내역 작성·보관, 추가정보와 분리 보관, 재식별 금지, 결합전문기관에 의한 가명정보 결합 등의 의무가 부과된다.
세부적으로 살펴보면 대한적십자사는 헌혈자 행동데이터 통계분석을 토대로 헌혈 참여 확산 등을 위한 과학적 연구를 위해 다른 기관과 업무협약(MOU)을 추진하던 중 가명정보 처리 규정을 어겼다. 헌혈정보시스템 내에서 혈액형·성별·직업 등 특정 개인이 식별되지 않는 11개의 정보를 추출해 가명정보 약 176만건을 생성, 이를 타 기관에 전송했다. 이 과정에서 가명정보의 처리 내역을 작성·보관하지 않았다. 가명정보를 타 기관에 제공하면서 정상적 결재 절차도 거치지 않았다.
개인정보위는 조사를 통해 이를 확인, 대한적십자사에 과태료 100만원을 부과하고 시정명령 및 개선권고를 의결했다.
국립중앙도서관도 가명정보를 부실하게 다뤘다. ‘도서관 빅데이터 사업’과 ‘도서추천시스템(솔로몬시스템)을 운영하면서 1490여개 참여 도서관으로부터 출생연도, 우편번호, 성별 등 개인이 식별되지 않는 11개 항목과 도서 대출데이터를 제공받았다.
그러나 솔로몬 관리자페이지에 접속할 때 안전한 접속 또는 인증수단이 적용되지 않았다. 접속기록 중 일부가 누락됐으며 가명정보 처리 내역도 작성·보관하지 않았다. 이에 개인정보위는 과태료 540만원 부과하고 참여 도서관 지도·감독 등 개선권고도 함께 의결했다.
개인정보위는 “가명정보는 인공지능(AI)·데이터 경제시대에 매우 유용하나 원본정보 등 추가정보와 결합되면 개인이 특정될 우려가 있다”며 “추가정보와 분리 보관하거나 처리대장 작성·보관 등 안전조치 의무를 준수하는 것이 반드시 필요하다”고 당부했다.
이소연 기자 soyeon@kukinews.com