[정보 보안] KISA 2023 가명정보 강의 요약

○ 가명정보 관련 용어정리

(1) 개인정보 : 살아 있는 개인에 관한 정보로서 개인을 식별 가능한 정보 또는 해당 정보만으로 식별 불가능하더라도 다른 정보와 결합하여 쉽게 알아 볼 수 있는 정보

(2) 가명정보 : 가명처이함으로써 원래의 상태를 복원하기 위한 추가 정보의 사용 또는 결합 없이는 특정 개인을 알아 볼 수없는 정보

(3) 익명정보 : 시간과 노력을 들여 추가정보를 알아내더라도 개인 식별이 불가능한 정보

(4) 가명처리 : 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보를 사용하거나 결합하지 않고는 특정 개인을 알아볼 수 없도록 처리하는 것

(5) 가명정보 처리 : 가명처리를 통해 생성된 가명정보를 이용,제공 하는 등 활용하는 행위 

(6) 식별정보 : 특정 개인과 직접적으로 연결되는 정보

(7) 식별 가능 정보 : 다른 항목과 결합하는 경우 식별 가능성이 높아지는 항

(8) 적합성 검토 : 사전준비 단계에서 가명처리 신청의 적합함을 검토하는 업무

(9) 적정성 평가 : 

(10) 적정성 검토 : 적정성 검토 단계에서 가명처리 사전준비, 위험성 검토, 가명처리 각 절차의 적정함을 검토하는 업무

(11) 결합키 : 가명정보 결합 과정에서 사용되는 정보로, 서로 다른 개인정보 처리자가 공통으로 보유하고 있는 단일 또는 다수의 정보를 동일한 암호화 알고리즘을 사용하여 대체한 정보

(12) 결합연계키 : 결합키가 동일한 정보를 결합할 수 있도록 서로 다른 결합신청자의 결합키를 연계한 정보

(13) 메타 데이터 : 자료의 생산규칙 등과 같은 자료를 설명하는 자료, 마이크로 데이터의 재집계에 필수적으로 필요한 자

 

 

○ 데이터 3법

-개인정보보호법 

-정보통신망법(약칭)

-신용정보법(약핑)

  법률, 시행령, 고시, 가이드 존재 O

 

 

○ 가명정보처리 가이드라인 5단계 절차

가명처리				가명정보처리
사전준비	위험성검토	가명처리	적정성검토	안전한관리

 

 

○ 특이정보 관찰 방법

1. K- 익명성

2. Outlier

3. 도수분포표

 

 

○ 서로 다른 개인정보처리자간 결합 

가명정보 내부 결합 절차도
목적설정 등 사전준비, 위험성 검토,	가명처리 및 결합키 생성	결합	적정성검토 및 추가처리	사후 관리

 

 

○ 개인정보보호법 VS 신용정보법기반 결합절차 차이

- 개인정보보호법은 이중모델로 결합키 관리 기관을 통해 협의된 방법으로 생성한 임시대체키 전송

그 후 결합전문기관에서 결합하고 이후 추가처리, 반출심사, 반출의 단계를 거침

- 그러나 신용정보법 기반은 단일모델로 결합키관리기관 없이 결합 생성 알고리즘을 협의를 통해 가지며

데이터 전문 기관에서 결함 후 익명처리 및 추가처리, 적정성 평가, 반출의 단계를 거친다.

 

 

○ 기초자료 생성관련 서류 목록

1. 가명정보 이용 제공 신청서

2. 가명 정보 안전조치 의무이행 확약서

3. 가명처리 목적 증빙 자료 

4. 개인정보 유형 분류표 작성

5. 항목별 가명처리 계획 작성

6. 가명정보 처리 기포자료 명세서 작성