ISMS-P 인증 기준 3.2.5.가명정보 처리: Difference between revisions

From CS Wiki
 
(One intermediate revision by the same user not shown)
Line 87: Line 87:
* 개인식별정보는 삭제하거나, 결합 등을 위해 필요한 경우 랜덤값 생성, 해시값 생성 등을 통해 특정 개인을 식별할 수는 없지만 구별은 가능한 값으로 대체
* 개인식별정보는 삭제하거나, 결합 등을 위해 필요한 경우 랜덤값 생성, 해시값 생성 등을 통해 특정 개인을 식별할 수는 없지만 구별은 가능한 값으로 대체
* 개인식별가능정보는 가명정보 처리목적 상 반드시 필요하지 않은 경우에는 삭제하고 나머지 개인식별가능 정보에 대해서는 처리목적 및 식별 위험성 등을 고려하여 적절한 방법 및 수준으로 가명처리
* 개인식별가능정보는 가명정보 처리목적 상 반드시 필요하지 않은 경우에는 삭제하고 나머지 개인식별가능 정보에 대해서는 처리목적 및 식별 위험성 등을 고려하여 적절한 방법 및 수준으로 가명처리
** 가명처리·익명처리 방법 예시(가명정보 처리 가이드라인) · (삭제 기술) 삭제, 부분삭제, 행 항목 삭제, 로컬 삭제, 마스킹  · (통계도구) 총계처리, 부분총계  · (일반화 기술) 일반 라운딩, 랜덤 라운딩, 제어 라운딩, 상하단코딩, 로컬일반화, 범위 방법, 문자데이터  범주화  · (암호화) 양방향 암호화, 일방향 암호화·암호학적 해시함수, 순서보존 암호화, 형태보존 암호화, 동형암호화, 다형성 암호화  · (무작위화 기술) 잡음 추가, 순열(치환), 토근화, (의사)난수생성기  · (기타 기술) 표본추출, 해부화, 합성데이터, 동형비밀분산, 차분프라이버시 등
** 가명처리·익명처리 방법 예시(가명정보 처리 가이드라인)
</div>
** · (삭제 기술) 삭제, 부분삭제, 행 항목 삭제, 로컬 삭제, 마스킹   
** · (통계도구) 총계처리, 부분총계  · (일반화 기술) 일반 라운딩, 랜덤 라운딩, 제어 라운딩, 상하단코딩, 로컬일반화, 범위 방법, 문자데이터  범주화   
** · (암호화) 양방향 암호화, 일방향 암호화·암호학적 해시함수, 순서보존 암호화, 형태보존 암호화, 동형암호화, 다형성 암호화   
** · (무작위화 기술) 잡음 추가, 순열(치환), 토근화, (의사)난수생성기   
** · (기타 기술) 표본추출, 해부화, 합성데이터, 동형비밀분산, 차분프라이버시 등
 
==== 결함전문기관 또는 데이터전문기관을 통한 가명정보 결함처리 ====
다른 개인정보처리자와 가명정보를 결합하는 경우 결합전문기관 또는 데이터전문기관을 통해 결합하여야 한다.
 
* 서로 다른 개인정보처리자가 보유한 가명정보를 결합하여 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 활용하고자 하는 경우에는 개인정보 보호위원회 또는 관계 중앙행정기관의 장이 지정한 결합전문기관을 통하여 수행
** 결합전문기관 현황 : 가명정보결합종합지원시스템 참고(link.privacy.go.kr)
** 금융회사가 보유한 정보집합물과 결합 시에는 신용정보법에 따른 데이터전문기관을 통하여 수행
* 가명정보 결함 절차(가명저보 처리 가이드라인)
 
{| class="wikitable"
|+
!단계
!구분
!설명
|-
|1
|결함신청
|
* 결합신청자는 신청자 간 결합신청에 필요한 사항의 협의, 결합신청서 작성 등 가명정보 결합에 필요한 사전 준비사항을 확인하고 결합전문기관에 결합을 신청
* 모의결합, 결합률 확인, 가명정보 추출 등 선택 가능
|-
|2
|결합 및 추가처리
|
* 가명정보를 제공하는 결합신청자는 결합키관리기관으로부터 결합키 생성에 이용되는 정보(Salt값)를 수신하여 결합키를 생성하고 결합신청 시 선택한 모의결합, 결합률 확인, 가명정보 추출 등이 완료되면 결합에 필요한 정보를 각 기관에 전송
|-
|3
|반출 및 활용
|
* 결합정보 또는 분석결과 등을 반출하려는 경우 결합전문기관에 반출을 신청
|-
|4
|안전한 관리
|
* 결합정보를 이용하는 결합신청자는 반출한 결합정보(이하 반출정보)를 당초 결합신청서 및 반출신청서에 기재한 목적에 따라 처리하고 안전조치 의무 등을 준수
|}
 
==== 가명정보 추가 정보를 삭제 또는 분리 보관, 관련 기록은 작성 보관 ====
 
* (관리적 보호조치) 가명정보 및 추가 정보를 안전하게 관리하기 위한 내부 관리계획의 수립·시행, 가명정보 처리업무 수탁자에 대한 관리·감독, 가명정보 처리업무 위탁 및 제3자 제공 시 계약서 상재식별 금지 등의 조항 포함, 가명정보 처리와 관련된 개인정보 처리방침의 수립 및 공개, 가명정보 보호에 관한 교육 등의 조치
* (기술적 보호조치) 추가 정보의 분리보관 또는 삭제, 가명정보 및 추가 정보에 대한 접근권한의 분리, 가명정보 처리 관련 기록의 작성·보관 등의 조치
* (물리적 보호조치) 가명정보 또는 추가 정보를 전산실이나 자료보관실에 보관하는 경우 비인가자의 접근으로부터 보호하기 위하여 출입 통제 등의 절차 수립·이행 등
* (기타 보호조치) 가명정보도 개인정보에 해당되므로 개인정보 보호법 제29조에 따른 개인정보의 안전성 확보조치 기준 이행, 특정 개인을 알아보기 위한 목적으로의 가명처리 금지 등
* (재식별 모니터링 등) 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우 즉시 해당 정보의 처리를 중지하고 지체 없이 회수·파기 조치 등
 
==== 가명정보 처리기간 경과한 경우 파기 ====
가명정보 처리목적 등을 고려하여 가명정보의 처리 기간을 적정한 기간으로 정하고, 해당 기간이 경과한 경우 지체 없이 파기하여야 한다
 
* 가명정보의 처리 기간은 가명정보 처리 목적을 달성하기 위해 필요한 기간으로 적정하게 설정
* 가명정보의 처리 기간이 경과한 경우 지체 없이 파기
 
==== 개인정보 익명처리 ====
개인정보를 익명처리하는 경우 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 특정 개인을 알아볼 수 없도록 적정한 수준으로 익명처리 하여야 한다
 
* ʻ익명정보ʼ란 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보를 말함
* 익명처리를 하는 경우 개인식별정보는 삭제되어야 하며, 개인식별가능정보는 익명처리 방법을 복합적으로 활용하여 적정한 수준으로 익명처리하여야 함
* 익명처리의 적정성을 보장하기 위하여 내·외부 전문가로 구성된 검토위원회 구성 등 익명처리 적정성 검토 절차를 수립하여 이행할 수 있음
 
==증거 자료==
*가명처리·익명처리 적정성 평가 절차 및 결과
*가명정보 처리 기록
*개인정보 처리방침(가명정보 이용·제공에 관한 사항) 등
==결함 사례==
*통계작성 및 과학적 연구를 위하여 정보주체 동의 없이 가명정보를 처리하면서 가명정보 처리에 관한 기록을 남기고 있지 않거나, 또는 개인정보 처리방침에 관련 사항을 공개하지 않은 경우
*가명정보와 동일한 데이터베이스 내에 추가 정보를 분리하지 않고 보관하고 있거나, 또는 가명 정보와 추가 정보에 대한 접근권한이 적절히 분리되지 않은 경우
*개인정보를 가명처리하여 활용하고 있으나 적정한 수준의 가명처리가 수행되지 않아 추가 정보의 사용 없이도 다른 정보와의 결합 등을 통하여 특정 개인을 알아볼 수 있는 가능성이 존재하는 경우
*테스트 데이터 생성, 외부 공개 등을 위하여 개인정보를 익명처리하였으나, 특이치 등으로 인하여 특정 개인에 대한 식별가능성이 존재하는 등 익명처리가 적정하게 수행되었다고 보기 어려운 경우
==같이 보기==
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
==참고 문헌==
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
 
*

Latest revision as of 01:59, 7 February 2024

개요[edit | edit source]

항목 3.3.5.가명정보 처
인증기준 가명정보를 처리하는 경우 목적제한, 결합제한, 안전조치, 금지의무 등 법적 요건을 준수하고 적정 수준의 가명처리를 보장할 수 있도록 가명처리 절차를 수립∙이행하여야 한다.
주요 확인사항
  • 가명정보를 처리하는 경우 목적 제한, 가명처리 방법 및 기준, 적정성 검토, 재식별 금지 및 재식별 발생 시 조치사항 등 가명정보를 적정하게 처리하기 위한 절차를 수립하고 있는가?
  • 개인정보를 가명처리하여 이용∙제공 시 추가 정보의 사용∙결합 없이는 개인을 알아볼 수 없도록 적정한 수준으로 가명처리를 수행하고 있는가?
  • 다른 개인정보처리자와 가명정보를 결합하는 경우 결합전문기관 또는 데이터전문기관을 통해 결합하고 있는가?
  • 가명정보를 처리하는 경우 추가 정보를 삭제 또는 별도로 분리하여 보관∙관리, 관련 기록의 작성∙보관 등 안전성 확보에 필요한 기술적∙관리적 및 물리적 조치를 하고 있는가?
  • 가명정보 처리목적 등을 고려하여 가명정보의 처리 기간을 적정한 기간으로 정하고 있으며, 해당 기간이 경과한 경우 지체 없이 파기하고 있는가?
  • 개인정보를 익명처리하는 경우 시간∙비용∙기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 특정 개인을 알아볼 수 없도록 적정한 수준으로 익명처리하고 있는가?
관련법규
  • 개인정보 보호법 제2조(정의), 제28조의2(가명정보의 처리 등), 제28조의3(가명정보의 결합 제한), 제28조의4(가명정보에 대한 안전조치의무 등), 제28조의5(가명정보 처리 시 금지의무 등), 제28조의7(적용범위), 제58조의2(적용제외)

세부 설명[edit | edit source]

가명정보 처리하기 위한 절차 수립, 이행[edit | edit source]

가명정보를 처리하는 경우 목적 제한, 가명처리 방법 및 기준, 적정성 검토, 재식별 금지 및 재식별 발생 시 조치사항 등 가명정보를 적정하게 처리하기 위한 절차를 수립·이행하여야 한다.

  • ʻ가명처리ʼ란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말함
  • ʻ가명정보ʼ란 개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보로서 개인정보의 범주에 포함됨
  • 가명정보는 가명정보 처리에 관한 특례에 따라 통계작성, 과학적 연구, 공익적 기록보존 등 3가지 목적에 대하여 정보주체의 동의 없이 이용·제공 등 처리 가능
  • 가명정보 처리에 관한 특례에 따라 정보주체의 동의 없이 처리가 가능한 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 등 목적에 한정되므로 처리 목적이 설정되지 않은 상황에서 보유하고 있는 개인정보를 가명처리하여 보관하는 것은 가명정보 처리에 관한 특례에 근거한 처리로 볼 수 없음
  • 처리 목적 및 이용환경, 데이터 특성 등을 고려하여 적정한 수준으로의 가명처리를 보장하기 위한 가명처리 절차 수립 및 이행
  • 가명처리 절차 예시(가명정보 처리 가이드라인)
단계 구분 설명
1 목적 설정 등 사전준비
  • 개인정보 보호법에서 정한 3가지 목적(통계작성, 과학적 연구, 공익적 기록 보존 등) 중에서 가명정보 처리의 목적을 구체적이고 명확하게 설정
  • 처리 목적 달성에 필요한 정보의 종류, 범위를 명확히 하여 가명처리 대상을 선정  처리 목적의 적합성 검토
  • 가명정보 처리를 위한 안전조치 이행(가명정보 처리에 관한 내부 관리계획 수립 등)
  •  필요 서류 작성 등(가명정보 처리 위탁 시 위탁계약서 작성 등)
2 처리 대상의 위험성 검토
  • 가명처리 대상 개인정보파일 및 개인정보항목 선정
  • 가명처리 대상 데이터의 위험성 검토

① 데이터 자체 식별 위험성 : 식별정보, 식별가능정보, 특이정보, 재식별 시 영향도 등

② 처리 환경 식별 위험성 : 활용 형태(내부 활용, 외부 제공, 외부 결합 등), 처리 장소, 처리 방법

3 가명처리
  • 식별 위험성 검토 결과를 기반으로 가명정보의 활용 목적 달성에 필요한
  • 가명처리 방법 및 수준을 정하여 항목별 가명처리 계획 설정
  • 항목별 가명처리 계획을 기반으로 가명처리 수행
  • 가명처리 과정에서 생성되는 추가 정보는 원칙적으로 파기하고 필요한 경우 가명정보와 분리하여 별도로 저장
4 적성성 검토
  • 가명처리에 대해 결과 적정성을 최종 검토
  • 가명처리 적정성 검토는 내부 인원을 활용하여 자체적으로 검토하거나, 외부 전문가를 통하여 검토 가능(단, 최소 3명 이상으로 검토위원회를 구성하는 것을 권고)
  • 적정성 검토 결과 부적정으로 판단될 경우 추가 가명처리 후 다시 적정성 검토 수행
5 안전한 관리
  • 사전준비 단계에서 수립한 내부 관리계획에 따라 가명정보에 대한 안전조치 의무 이행(추가정보 분리 보관 또는 삭제, 접근권한 분리 등)
  • 재식별 금지 및 재식별 가능성 모니터링
  • 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수·파기
  • 가명정보 처리 관련 기록 작성 및 보관
  • 가명정보 처리에 관한 사항을 개인정보 처리방침에 공개 등

적절한 방법으로 가명처리 수행[edit | edit source]

  • 개인식별정보는 삭제하거나, 결합 등을 위해 필요한 경우 랜덤값 생성, 해시값 생성 등을 통해 특정 개인을 식별할 수는 없지만 구별은 가능한 값으로 대체
  • 개인식별가능정보는 가명정보 처리목적 상 반드시 필요하지 않은 경우에는 삭제하고 나머지 개인식별가능 정보에 대해서는 처리목적 및 식별 위험성 등을 고려하여 적절한 방법 및 수준으로 가명처리
    • 가명처리·익명처리 방법 예시(가명정보 처리 가이드라인)
    • · (삭제 기술) 삭제, 부분삭제, 행 항목 삭제, 로컬 삭제, 마스킹
    • · (통계도구) 총계처리, 부분총계 · (일반화 기술) 일반 라운딩, 랜덤 라운딩, 제어 라운딩, 상하단코딩, 로컬일반화, 범위 방법, 문자데이터 범주화
    • · (암호화) 양방향 암호화, 일방향 암호화·암호학적 해시함수, 순서보존 암호화, 형태보존 암호화, 동형암호화, 다형성 암호화
    • · (무작위화 기술) 잡음 추가, 순열(치환), 토근화, (의사)난수생성기
    • · (기타 기술) 표본추출, 해부화, 합성데이터, 동형비밀분산, 차분프라이버시 등

결함전문기관 또는 데이터전문기관을 통한 가명정보 결함처리[edit | edit source]

다른 개인정보처리자와 가명정보를 결합하는 경우 결합전문기관 또는 데이터전문기관을 통해 결합하여야 한다.

  • 서로 다른 개인정보처리자가 보유한 가명정보를 결합하여 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 활용하고자 하는 경우에는 개인정보 보호위원회 또는 관계 중앙행정기관의 장이 지정한 결합전문기관을 통하여 수행
    • 결합전문기관 현황 : 가명정보결합종합지원시스템 참고(link.privacy.go.kr)
    • 금융회사가 보유한 정보집합물과 결합 시에는 신용정보법에 따른 데이터전문기관을 통하여 수행
  • 가명정보 결함 절차(가명저보 처리 가이드라인)
단계 구분 설명
1 결함신청
  • 결합신청자는 신청자 간 결합신청에 필요한 사항의 협의, 결합신청서 작성 등 가명정보 결합에 필요한 사전 준비사항을 확인하고 결합전문기관에 결합을 신청
  • 모의결합, 결합률 확인, 가명정보 추출 등 선택 가능
2 결합 및 추가처리
  • 가명정보를 제공하는 결합신청자는 결합키관리기관으로부터 결합키 생성에 이용되는 정보(Salt값)를 수신하여 결합키를 생성하고 결합신청 시 선택한 모의결합, 결합률 확인, 가명정보 추출 등이 완료되면 결합에 필요한 정보를 각 기관에 전송
3 반출 및 활용
  • 결합정보 또는 분석결과 등을 반출하려는 경우 결합전문기관에 반출을 신청
4 안전한 관리
  • 결합정보를 이용하는 결합신청자는 반출한 결합정보(이하 반출정보)를 당초 결합신청서 및 반출신청서에 기재한 목적에 따라 처리하고 안전조치 의무 등을 준수

가명정보 추가 정보를 삭제 또는 분리 보관, 관련 기록은 작성 보관[edit | edit source]

  • (관리적 보호조치) 가명정보 및 추가 정보를 안전하게 관리하기 위한 내부 관리계획의 수립·시행, 가명정보 처리업무 수탁자에 대한 관리·감독, 가명정보 처리업무 위탁 및 제3자 제공 시 계약서 상재식별 금지 등의 조항 포함, 가명정보 처리와 관련된 개인정보 처리방침의 수립 및 공개, 가명정보 보호에 관한 교육 등의 조치
  • (기술적 보호조치) 추가 정보의 분리보관 또는 삭제, 가명정보 및 추가 정보에 대한 접근권한의 분리, 가명정보 처리 관련 기록의 작성·보관 등의 조치
  • (물리적 보호조치) 가명정보 또는 추가 정보를 전산실이나 자료보관실에 보관하는 경우 비인가자의 접근으로부터 보호하기 위하여 출입 통제 등의 절차 수립·이행 등
  • (기타 보호조치) 가명정보도 개인정보에 해당되므로 개인정보 보호법 제29조에 따른 개인정보의 안전성 확보조치 기준 이행, 특정 개인을 알아보기 위한 목적으로의 가명처리 금지 등
  • (재식별 모니터링 등) 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우 즉시 해당 정보의 처리를 중지하고 지체 없이 회수·파기 조치 등

가명정보 처리기간 경과한 경우 파기[edit | edit source]

가명정보 처리목적 등을 고려하여 가명정보의 처리 기간을 적정한 기간으로 정하고, 해당 기간이 경과한 경우 지체 없이 파기하여야 한다

  • 가명정보의 처리 기간은 가명정보 처리 목적을 달성하기 위해 필요한 기간으로 적정하게 설정
  • 가명정보의 처리 기간이 경과한 경우 지체 없이 파기

개인정보 익명처리[edit | edit source]

개인정보를 익명처리하는 경우 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 특정 개인을 알아볼 수 없도록 적정한 수준으로 익명처리 하여야 한다

  • ʻ익명정보ʼ란 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보를 말함
  • 익명처리를 하는 경우 개인식별정보는 삭제되어야 하며, 개인식별가능정보는 익명처리 방법을 복합적으로 활용하여 적정한 수준으로 익명처리하여야 함
  • 익명처리의 적정성을 보장하기 위하여 내·외부 전문가로 구성된 검토위원회 구성 등 익명처리 적정성 검토 절차를 수립하여 이행할 수 있음

증거 자료[edit | edit source]

  • 가명처리·익명처리 적정성 평가 절차 및 결과
  • 가명정보 처리 기록
  • 개인정보 처리방침(가명정보 이용·제공에 관한 사항) 등

결함 사례[edit | edit source]

  • 통계작성 및 과학적 연구를 위하여 정보주체 동의 없이 가명정보를 처리하면서 가명정보 처리에 관한 기록을 남기고 있지 않거나, 또는 개인정보 처리방침에 관련 사항을 공개하지 않은 경우
  • 가명정보와 동일한 데이터베이스 내에 추가 정보를 분리하지 않고 보관하고 있거나, 또는 가명 정보와 추가 정보에 대한 접근권한이 적절히 분리되지 않은 경우
  • 개인정보를 가명처리하여 활용하고 있으나 적정한 수준의 가명처리가 수행되지 않아 추가 정보의 사용 없이도 다른 정보와의 결합 등을 통하여 특정 개인을 알아볼 수 있는 가능성이 존재하는 경우
  • 테스트 데이터 생성, 외부 공개 등을 위하여 개인정보를 익명처리하였으나, 특이치 등으로 인하여 특정 개인에 대한 식별가능성이 존재하는 등 익명처리가 적정하게 수행되었다고 보기 어려운 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)