1. 개인정보보호법과 법 체계
우리나라 법 체계에서 개인정보보호법은 개인정보 보호 분야의 일반법에 해당합니다.
즉, 개인정보 보호와 관련된 기본 원칙과 일반적인 처리 기준을 정하는 법입니다.
다만 모든 경우에 개인정보보호법만 적용되는 것은 아닙니다.
다른 법률에 개인정보 처리에 관한 특별한 규정이 있는 경우에는 해당 법률이 우선 적용됩니다.
예를 들어 의료, 감염병, 농축산, 금융, 이동통신, 암관리 등 특정 분야에서는 각 분야의 개별 법령이 가명정보 처리와 관련된 별도 기준을 둘 수 있습니다.
2. 개인정보보호법과 다른 법률의 관계
개인정보보호법은 사회 전반의 개인정보 보호를 규율하는 일반법입니다.
적용 대상은 공공기관, 사업자, 법인, 단체, 개인 등 매우 넓습니다.
하지만 다른 법률에 특별한 규정이 있으면 그 법률을 우선 적용합니다.
예시로는 다음과 같은 법률이 있습니다.
분야관련 법률 예시
| 보건의료 | 의료법, 감염병예방법 |
| 금융 | 신용정보법 |
| 공공데이터 | 데이터기반행정법 |
| 농축산 | 농수산물 유통 및 가격안정 관련 법령 |
| 사회보장 | 사회보장기본법 |
| 통신 | 이동통신 관련 법령 |
| 암 연구 | 암관리법 |
즉, 가명정보 처리는 개인정보보호법을 기본으로 하되, 분야별 특수 법령을 함께 확인해야 합니다.
3. 의료법과 개인정보보호법의 관계
의료 분야에서는 의료법이 우선 적용되는 경우가 있습니다.
의료기관이 보유한 환자 관련 기록은 의료법상 보호 대상이기 때문에, 의료인이 환자에 관한 기록을 열람하거나 제공하는 경우에는 의료법 규정을 우선 확인해야 합니다.
그러나 의료법에서 명확하게 규정하지 않은 사항은 개인정보보호법을 적용할 수 있습니다.
예를 들어, 진료기록을 연구 목적으로 활용하려는 경우에도 단순히 개인정보보호법상 가명처리만으로 충분한 것이 아니라, 의료법상 환자 기록 제공 제한 규정을 함께 검토해야 합니다.
핵심은 다음과 같습니다.
의료정보는 민감성이 높기 때문에 개인정보보호법뿐 아니라 의료법, 생명윤리법 등 관련 법률을 함께 고려해야 한다.
4. 데이터3법 외 가명정보 처리 관련 법령
교안에서는 개인정보보호법 외에도 여러 법률에서 가명정보 처리 관련 규정을 두고 있음을 설명합니다.
대표적으로 다음과 같은 법령들이 제시됩니다.
4-1. 데이터기반행정 활성화에 관한 법률
공공기관은 데이터기반행정을 위해 데이터를 처리할 수 있습니다.
이때 필요한 경우 개인정보를 가명처리하여 활용할 수 있습니다.
주요 내용은 다음과 같습니다.
- 공공기관은 정책 수립, 행정 개선, 공공서비스 제공 등을 위해 데이터를 활용할 수 있음
- 개인정보가 포함된 경우 개인정보보호법에 따라 가명처리 가능
- 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 등의 목적에 활용 가능
4-2. 감염병의 예방 및 관리에 관한 법률
감염병 분야에서는 질병관리청 등이 감염병 예방과 관리, 정보 분석 및 연구를 위해 정보를 처리할 수 있습니다.
감염병 정보에는 민감한 건강정보가 포함될 수 있으므로, 필요한 경우 개인정보를 가명처리하여 활용할 수 있습니다.
주요 활용 목적은 다음과 같습니다.
- 감염병 예방
- 감염병 관리
- 감염병 정보 분석
- 공중보건 연구
- 감염병 확산 방지
다만 감염병 정보는 개인의 건강상태와 직결되기 때문에 안전조치와 목적 제한이 매우 중요합니다.
4-3. 농수산물 유통 및 가격안정 관련 법령
농축산 분야에서도 가명정보 처리가 활용될 수 있습니다.
예를 들어 축산물 유통, 농가 정보, 생산 및 거래 정보 등을 분석할 때 개인정보가 포함될 수 있습니다.
이 경우 개인정보를 가명처리하여 통계나 연구 목적으로 활용할 수 있습니다.
주요 활용 목적은 다음과 같습니다.
- 농수산물 유통 분석
- 가격 안정 정책 수립
- 생산 및 공급 현황 파악
- 축산물 이력 관리
- 공익적 연구 및 통계작성
4-4. 디지털 기반 원격교육 활성화 기본법
원격교육 분야에서도 학생의 학습 데이터가 활용될 수 있습니다.
예를 들어 학습이력, 접속기록, 과제 수행, 평가 결과 등은 교육 개선과 학습 지원에 중요한 데이터입니다.
그러나 학생 정보는 개인정보에 해당할 수 있으므로, 교육 연구나 정책 개선을 위해 활용할 때는 가명처리가 필요할 수 있습니다.
주요 활용 목적은 다음과 같습니다.
- 원격교육 운영 개선
- 학습 성취도 분석
- 교육격차 분석
- 학습지원 정책 수립
- 교육 콘텐츠 품질 개선
4-5. 사회보장기본법
사회보장 분야에서는 복지 서비스 제공과 정책 분석을 위해 다양한 개인정보가 처리됩니다.
예를 들어 복지급여, 소득, 가구구성, 건강, 고용상태 등 민감한 정보가 포함될 수 있습니다.
이러한 정보는 사회보장 정책 수립과 서비스 개선을 위해 활용될 수 있지만, 개인정보 보호를 위해 가명처리가 필요합니다.
주요 활용 목적은 다음과 같습니다.
- 사회보장 정책 수립
- 복지 사각지대 분석
- 서비스 대상자 분석
- 복지급여 제공 현황 분석
- 사회보장제도 개선 연구
4-6. 이동통신 관련 법령
이동통신 분야에서는 위치정보, 통신 이용 정보, 서비스 이용 정보 등이 활용될 수 있습니다.
이러한 정보는 개인을 식별하거나 생활 패턴을 추정할 수 있기 때문에 보호 필요성이 높습니다.
따라서 연구나 통계 목적의 활용 시 가명처리 또는 익명처리가 필요합니다.
주요 활용 목적은 다음과 같습니다.
- 통신서비스 품질 개선
- 이용자 행태 분석
- 위치 기반 서비스 연구
- 재난 대응 및 공익 목적 분석
- 통신 인프라 개선
4-7. 암관리법
암관리법에서는 암 연구와 암 관리사업을 위해 관련 정보를 처리할 수 있습니다.
암 환자 정보는 매우 민감한 건강정보에 해당하므로, 연구 목적 활용 시 가명처리가 중요합니다.
주요 활용 목적은 다음과 같습니다.
- 암 발생 원인 연구
- 암 예방 정책 수립
- 암 환자 생존율 분석
- 암 치료 성과 분석
- 국가 암관리사업 개선
5. 분야별 가명처리 절차 설명
교안의 후반부는 분야별 가명처리 절차를 설명합니다.
특히 적합성 검토, 적정성 검토, 데이터심의위원회, 적정성평가위원회 등의 개념이 중요합니다.
5-1. 적합성 검토
적합성 검토는 가명처리 절차 중 사전 준비 단계에서 수행하는 업무입니다.
즉, 가명정보를 만들기 전에 해당 처리가 법적으로 가능한지, 목적이 정당한지, 신청 내용이 적절한지 확인하는 단계입니다.
검토 내용은 다음과 같습니다.
- 가명정보 신청의 적합성
- 활용 목적의 적정성
- 법령상 허용 가능성
- 제공 또는 결합 가능 여부
- 필요한 절차 준수 여부
“이 데이터를 가명처리해서 활용해도 되는가?”를 먼저 판단하는 절차입니다.
5-2. 적정성 검토
적정성 검토는 가명처리가 완료된 후 수행하는 절차입니다.
가명처리 결과가 안전한지, 재식별 위험이 낮은지, 활용 목적에 비해 과도한 정보가 포함되지 않았는지를 확인합니다.
주요 검토 내용은 다음과 같습니다.
- 가명처리 수준이 적절한지
- 재식별 가능성이 낮은지
- 목적 달성에 필요한 정보만 남아 있는지
- 안전조치가 충분한지
- 가명처리 결과를 제공해도 되는지
“가명처리 결과물이 안전하고 적절한가?”를 확인하는 절차입니다.
5-3. 데이터심의위원회
데이터심의위원회는 가명처리 과정에서 적합성 검토를 수행하는 조직입니다.
교안에서는 보건의료 분야의 경우, 데이터 심의위원회가 기관 내에서 구성되어 데이터 활용 신청의 적합성과 제공 여부 등을 심의하는 구조를 설명합니다.
주요 역할은 다음과 같습니다.
- 데이터 활용 신청 심의
- 가명처리 여부 결정
- 활용 목적의 적합성 판단
- 제공 가능 여부 판단
- 데이터 활용 범위 검토
위원회는 객관성과 전문성을 확보하기 위해 일정 기준을 충족하는 위원들로 구성됩니다.
5-4. 적정성평가위원회
적정성평가위원회는 가명처리 결과의 적정성을 평가하는 조직입니다.
즉, 가명처리된 정보가 안전한지, 재식별 위험이 관리 가능한 수준인지 검토합니다.
주요 역할은 다음과 같습니다.
- 가명정보 또는 익명정보 산출 적정성 평가
- 재식별 가능성 검토
- 가명처리 수준 평가
- 안전조치 여부 확인
- 활용 또는 제공 가능 여부 판단
정리하면, 데이터심의위원회가 처리 전 적합성을 본다면, 적정성평가위원회는 처리 후 결과의 안전성을 본다고 이해하면 됩니다.
6. 공공분야 가명처리 절차
공공분야의 가명처리 절차는 대체로 다음 순서로 진행됩니다.
- 가명정보 제공 신청
- 신청서 접수
- 위험성 검토
- 가명처리
- 적정성 검토
- 안전한 관리
- 제공 결정 또는 제공 거부
이 절차에서 중요한 것은 신청 단계부터 최종 제공 단계까지 모든 과정에서 목적의 적합성, 법적 근거, 재식별 위험, 안전조치가 함께 검토된다는 점입니다.
7. 보건의료 분야 가명처리 절차
보건의료 분야는 민감정보를 다루기 때문에 절차가 특히 엄격합니다.
7-1. 내부 활용 절차
의료기관 내부에서 데이터를 활용하는 경우, 예를 들어 병원 내 연구나 내부 분석을 위해 데이터를 사용하는 경우에는 다음 절차를 거칩니다.
- 데이터 활용 신청서 작성 및 제출
- 심의위원회 심의
- 가명처리 방법 및 활용 범위 결정
- 가명처리 실시
- 가명처리 적정성 검토
- 데이터 분석 또는 연구 수행
- 데이터 수정 또는 보완
내부 활용이라 하더라도 동일 목적 또는 동일 유형의 데이터라고 해서 무조건 자유롭게 활용할 수 있는 것은 아닙니다.
기존 처리 목적과의 관련성, 활용 목적의 적정성, 가명처리 수준 등을 검토해야 합니다.
7-2. 외부 결합 절차
A병원, B병원, C병원이 각각 보유한 정보를 결합하여 연구하려는 경우에는 외부 전문기관 또는 결합전문기관이 개입합니다.
절차는 다음과 같이 이해할 수 있습니다.
- 각 병원 또는 기관이 데이터 활용 신청서 작성
- 데이터 활용 연구 자료 검토
- 심의위원회 심의
- 결합전문기관에 신청서 제출
- 데이터 제출
- 결합 적정성 검토
- 결합 수행
- 반출 심의
- 결합 데이터 활용
이 경우 여러 기관의 데이터가 결합되므로 재식별 위험이 커질 수 있습니다.
따라서 결합전문기관의 역할과 반출 심의가 중요합니다.
8. 금융 분야 가명처리 절차
금융 분야에서는 신용정보법과 관련하여 데이터 결합 및 가명처리 절차가 설명됩니다.
금융 데이터는 개인의 신용, 거래, 소비, 자산, 대출 정보 등 민감한 정보를 포함할 수 있으므로 엄격한 절차가 필요합니다.
8-1. 결합신청 기관과 데이터전문기관
금융 분야에서는 데이터 결합을 위해 결합신청 기관과 데이터전문기관이 등장합니다.
결합신청 기관은 데이터를 결합하려는 기관이고, 데이터전문기관은 결합 절차를 수행하거나 지원하는 기관입니다.
주요 절차는 다음과 같습니다.
- 결합 신청
- 가명처리
- 결합신청서 제출
- 결합키 생성
- 결합키 전달
- 정보집합물 전달
- 데이터 설명회
- 정보집합물 결합
- 가명처리 또는 익명처리
- 적정성 평가
- 결합정보 전달
- 관련 파일 완전 파기
- 결합정보 활용 및 사후관리
8-2. 데이터 설명회
데이터 설명회는 데이터전문기관이 결합할 정보집합물의 구조와 특성을 이해하고, 가명처리 수준을 확인하기 위해 진행됩니다.
주요 목적은 다음과 같습니다.
- 데이터 구조 파악
- 가명처리 수준 확인
- 결합 데이터의 특성 이해
- 결합 과정에서 필요한 사항 확인
- 데이터 명세 확인
즉, 단순히 데이터를 결합하기 전에 데이터의 의미와 위험성을 충분히 이해하는 절차입니다.
8-3. 적정성 평가
금융 분야의 적정성 평가는 데이터전문기관이 결합 결과물을 제공하기 전에 수행하는 절차입니다.
평가 내용은 다음과 같습니다.
- 가명처리 또는 익명처리 수준
- 재식별 가능성
- 데이터 활용 목적
- 결합정보 이용기관의 재식별 의도 및 능력
- 개인정보 보호 수준
- 반출 가능 여부
즉, 결합된 데이터가 외부로 제공되거나 활용되기 전에 충분히 안전한지 검토하는 단계입니다.
9. 보건의료 분야와 금융 분야 절차 비교
구분보건의료 분야금융 분야
| 주요 데이터 | 진료기록, 건강정보, 환자정보 | 신용정보, 거래정보, 금융정보 |
| 주요 위험 | 민감한 건강정보 노출 | 신용·자산·거래정보 노출 |
| 심의 주체 | 데이터심의위원회, 적정성평가위원회 | 데이터전문기관, 적정성평가 절차 |
| 핵심 절차 | 연구 목적 검토, 가명처리, 적정성 검토 | 결합신청, 데이터 설명회, 결합, 적정성 평가 |
| 특징 | 생명윤리, 의료법 등 함께 고려 | 신용정보법 중심의 결합 절차 강조 |
1번. 객관식
개인정보보호법과 다른 법률의 관계에 대한 설명으로 가장 적절한 것은?
① 개인정보보호법은 모든 분야에서 항상 우선 적용된다.
② 다른 법률에 특별한 규정이 있는 경우 해당 법률이 우선 적용될 수 있다.
③ 의료정보는 개인정보보호법의 적용을 전혀 받지 않는다.
④ 가명정보 처리는 금융 분야에서만 가능하다.
정답: 2번
풀이:
개인정보보호법은 개인정보 보호 분야의 일반법이지만, 의료법·신용정보법 등 다른 법률에 특별한 규정이 있는 경우에는 그 법률이 우선 적용될 수 있다. 따라서 분야별 가명정보 처리를 할 때는 개인정보보호법뿐 아니라 관련 개별 법령도 함께 확인해야 한다.
2번. 객관식
다음 중 가명처리 전 단계에서 “이 데이터를 가명처리하여 활용해도 되는지”를 검토하는 절차는 무엇인가?
① 적합성 검토
② 적정성 검토
③ 반출 심의
④ 데이터 설명회
정답: 1번
풀이:
적합성 검토는 가명처리를 수행하기 전에 신청 목적, 법적 근거, 활용 가능성 등을 확인하는 절차이다. 즉, 데이터 활용 자체가 적절한지 사전에 판단하는 단계이다.
3번. 객관식
다음 중 적정성 검토에 대한 설명으로 가장 적절한 것은?
① 가명정보 제공 신청서를 처음 접수하는 절차이다.
② 가명처리 결과가 안전하고 재식별 위험이 낮은지 확인하는 절차이다.
③ 데이터 결합을 신청하는 기관을 지정하는 절차이다.
④ 개인정보를 원본 상태로 복원하는 절차이다.
정답: 2번
풀이:
적정성 검토는 가명처리가 완료된 후 결과물이 안전한지 평가하는 단계이다. 재식별 가능성, 가명처리 수준, 목적 달성에 필요한 정보만 남아 있는지 등을 검토한다.
4번. 객관식
금융 분야의 가명정보 결합 절차에서 데이터전문기관이 수행하는 역할로 가장 적절한 것은?
① 병원의 진료기록을 직접 작성한다.
② 결합정보의 적정성 평가와 결합 절차를 수행하거나 지원한다.
③ 모든 개인정보를 삭제하고 원본 데이터를 공개한다.
④ 학생의 학습 성취도를 평가한다.
정답: 2번
풀이:
금융 분야에서는 신용정보법 등을 바탕으로 데이터 결합 절차가 운영된다. 이때 데이터전문기관은 결합 신청 접수, 데이터 설명회, 정보집합물 결합, 가명처리 또는 익명처리, 적정성 평가 등을 수행하거나 지원한다.
5번. 단답형
가명정보 처리 절차에서 적합성 검토와 적정성 검토의 차이를 간단히 설명하시오.
예시 정답:
적합성 검토는 가명처리 전에 데이터 활용 목적과 법적 근거가 적절한지 확인하는 절차이고, 적정성 검토는 가명처리 후 결과물이 안전하고 재식별 위험이 낮은지 확인하는 절차이다.
풀이:
두 절차는 모두 가명정보 활용의 안전성을 확보하기 위한 과정이지만 시점과 목적이 다르다. 적합성 검토는 “처리해도 되는가?”를 보는 사전 검토이고, 적정성 검토는 “처리 결과가 안전한가?”를 보는 사후 검토이다.
'4학년 > 강의수강' 카테고리의 다른 글
| 개인정보 관련 개념 이해(입문)_개인정보 처리 단계별 절차 이해-저장/관리 (0) | 2026.05.24 |
|---|---|
| 개인정보 관련 개념 이해(입문)_개인정보 처리 단계별 절차 이해-이용/제공 (1) | 2026.05.18 |
| 가명정보 전문인력 양성 교육 기본과정_가명정보 관련 제도에 대한 이해 (0) | 2026.05.10 |
| 개인정보 관련 개념 이해(입문)_개인정보 처리 단계별 절차 이해-수집/동의 (0) | 2026.05.10 |
| 개인정보 개념과 원칙 이해 (0) | 2026.04.13 |