가명정보의 결합 및 반출 등에 관한 고시

From IT Wiki
Revision as of 22:23, 12 July 2023 by 미래심사원 (talk | contribs) (새 문서: = 제1장 총칙 = '''제1조(목적)''' 이 고시는 「개인정보 보호법」(이하 "법"이라 한다) 제28조의3과 「개인정보 보호법 시행령」(이하 "영"이라 한다) 제29조의2부터 제29조의4까지에 따른 결합전문기관 지정 및 가명정보의 결합ㆍ반출에 관한 기준ㆍ절차 등을 정함을 목적으로 한다. '''제2조(정의)''' 이 고시에서 사용하는 용어의 정의는 다음과 같다.   * 1. "보호위...)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

제1장 총칙[edit | edit source]

제1조(목적) 이 고시는 「개인정보 보호법」(이하 "법"이라 한다) 제28조의3과 「개인정보 보호법 시행령」(이하 "영"이라 한다) 제29조의2부터 제29조의4까지에 따른 결합전문기관 지정 및 가명정보의 결합ㆍ반출에 관한 기준ㆍ절차 등을 정함을 목적으로 한다.


제2조(정의) 이 고시에서 사용하는 용어의 정의는 다음과 같다.  

  • 1. "보호위원회등"이란 법 제28조의3제1항에 따라 전문기관을 지정할 수 있는 개인정보 보호위원회(이하 "보호위원회"라 한다) 또는 관계 중앙행정기관의 장을 말한다.
  • 2. "결합키"란 결합 대상인 가명정보의 일부로서 해당 정보만으로는 특정 개인을 알아볼 수 없으나 다른 결합 대상 정보와 구별할 수 있도록 조치한 정보를 말한다.
  • 3. "결합키연계정보"란 결합키가 동일한 정보를 결합할 수 있도록 서로 다른 결합신청자의 결합키를 연계한 정보를 말한다.
  • 4. "결합전문기관"이란 법 제28조의3제1항에 따라 서로 다른 개인정보처리자 간의 가명정보 결합을 수행하기 위해 보호위원회등이 지정하는 전문기관을 말한다.
  • 5. "결합키관리기관"이란 결합키연계정보를 생성하여 결합전문기관에 제공하는 등 가명정보의 안전한 결합을 지원하는 업무를 하는 한국인터넷진흥원을 말한다.

제2장 가명정보 결합체계 협의회 등[edit | edit source]

제3조(가명정보 결합체계 협의회)

  • ① 가명정보의 결합체계와 관련하여 다음 각 호에 관한 사항을 협의하기 위해 영 제5조의2제4항에 따라 가명정보 결합체계 협의회(이하 "협의회"라 한다)를 보호위원회에 둔다.
    • 1. 개인정보의 가명처리 및 가명정보 결합체계 연구ㆍ개선에 관한 사항
    • 2. 가명정보의 결합과 관련한 개인정보 보호 및 활용에 필요한 사항
    • 3. 결합전문기관의 지정ㆍ재지정 및 지정 취소에 관한 사항
    • 4. 결합전문기관의 관리ㆍ감독에 관한 사항
    • 5. 그 밖에 가명정보 제도 운영 등에 관하여 협의가 필요한 사항
  • ② 협의회는 보호위원회 및 관계 중앙행정기관의 가명정보 결합 등에 관한 업무를 담당하는 부서의 장으로 구성한다.


제4조(보호위원회의 지원) ① 보호위원회는 결합신청자, 결합전문기관 및 결합키관리기관 간 결합 신청, 결합, 반출 등에 필요한 시스템을 구축하여 운영할 수 있다.

  • ② 보호위원회는 반출심사의 전문성을 확보하기 위해 반출심사위원회 위원의 교육계획을 수립하여 운영할 수 있다.
  • ③ 보호위원회는 지방자치단체와 공동으로 지역 가명정보 활용을 위한 지원센터를 구축하여 운영할 수 있다. 이 경우 지방자치단체가 지원센터를 운영한다.
  • ④ 보호위원회는 결합신청자의 요청이 있는 경우 제1항의 시스템 또는 제3항의 지원센터를 통해 결합키 생성을 지원할 수 있다.

제3장 결합전문기관의 지정 등[edit | edit source]

제5조(결합전문기관의 지정 절차)

  • ① 결합전문기관으로 지정받으려는 법인, 단체 또는 기관(이하 "지정신청자"라 한다)은 다음 각 호의 서류를 보호위원회등에게 제출하여야 한다. 다만, 「신용정보의 이용 및 보호에 관한 법률」 제26조의4에 따라 데이터전문기관으로 지정받은 기관인 경우 제3호 서류 중 일부를 생략할 수 있다.
    • 1. 정관 또는 규약
    • 2. [별지 제1호서식]의 결합전문기관 지정신청서
    • 3. [별표1]의 결합전문기관 지정 기준 충족여부를 증빙할 수 있는 서류
  • ② 지정신청자는 필요한 경우 제1항에 따른 지정 신청 전 보호위원회등에게 결합전문기관 사업계획서 또는 그에 준하는 서류를 제출하여 해당 내용이 [별표1]의 결합전문기관 지정 기준에 적합한지 여부를 확인받을 수 있다.
  • ③ 보호위원회등은 제1항에 따른 신청을 받은 경우 [별표1]의 결합전문기관 지정 기준에 적합한지 여부를 결합전문기관 지정심사위원회(이하 "지정심사위원회"라 한다)를 구성하여 심사하여야 한다. 이 경우 지정심사위원회는 개인정보 보호에 관한 학식과 경험이 풍부한 5명의 위원으로 구성한다.
  • ④ 보호위원회등은 제3항에 따른 심사 결과 [별표1]의 결합전문기관 지정 기준을 충족한다고 인정하는 경우 결합전문기관으로 지정할 수 있다. 이 경우 [별지 제2호서식]의 결합전문기관 지정서를 발급하여야 한다.
  • ⑤ 보호위원회등은 제1항에 따른 신청을 받은 날의 다음날부터 2개월 이내에 결합전문기관 지정 여부를 결정하여야 하며, 부득이한 사정이 있는 경우 1개월의 범위에서 그 기간을 연장할 수 있다.
  • ⑥ 제5항에 따른 심사기간을 산정할 때에는 다음 각 호에 해당하는 기간은 심사기간에 산입하지 아니한다.
    • 1. 지정신청자의 서류보완 등에 소요된 기간
    • 2. 법 또는 영에 따른 의무의 위반과 관련하여 지정신청자를 상대로 형사소송 절차가 진행되고 있거나 보호위원회등에 의한 조사ㆍ검사 등의 절차가 진행되고 있고, 그 소송이나 조사ㆍ검사 등의 내용이 지정심사에 중대한 영향을 미칠 수 있다고 인정되는 경우에는 그 소송이나 조사ㆍ검사 등의 절차가 끝날 때까지의 기간
  • ⑦ 결합전문기관으로 지정받은 자는 [별표1]의 결합전문기관 지정 기준에 해당하는 사실의 변경이 있는 경우 지체 없이 보호위원회등에게 변경된 사실을 알려야 한다. 이 경우 보호위원회등은 변경된 내용이 [별표1]의 결합전문기관 지정 기준을 충족하는지 여부를 확인하여야 하며, 지정 기준을 충족하지 못한 때에는 해당 결합전문기관은 제8조에 따른 결합 신청을 접수하여서는 아니 된다.


제6조(결합전문기관의 재지정)

  • ① 결합전문기관은 재지정을 받으려는 경우에는 지정기간 만료일 6개월 전부터 3개월 전까지 [별표1]의 결합전문기관 지정 기준에 부합함을 증명할 수 있는 서류를 갖추어 재지정을 신청할 수 있다. 이 경우 보호위원회등은 결합전문기관의 지정기간 만료일 6개월 전에 만료 사실을 알려줄 수 있다.
  • ② 보호위원회등은 제1항에 따른 재지정 신청을 받은 때에는 [별표1]의 결합전문기관 지정 기준을 충족하고 있는지를 제5조제3항의 절차에 따라 심사하여 결합전문기관 지정기간 만료일 전까지 그 결과를 재지정을 신청한 결합전문기관에 통지하여야 한다. 심사 결과 보호위원회등이 재지정을 결정한 경우에는 [별지 제2호서식]의 결합전문기관 지정서를 발급하여야 한다.


제6조의2(결합전문기관의 지정취소)

  • ① 보호위원회등은 결합전문기관의 지정 취소사유가 영 제29조의2제5항제3호부터 제5호까지에 해당하는 경우 결합전문기관에 시정ㆍ보완을 요구할 수 있다.
  • ② 보호위원회등은 결합전문기관의 지정을 취소한 경우 해당 결합전문기관이 수행 중인 업무를 중단하도록 하고, 결합신청자와 협의하여 해당 업무를 다른 결합전문기관으로 이관하도록 하여야 한다.


제7조(결합전문기관 지정에 따른 고시 등) 보호위원회등은 결합전문기관을 지정, 재지정 또는 지정 취소하는 경우, 영 제29조의2제7항에 따라 다음 각 호의 사항을 관보에 공고하거나 보호위원회등의 홈페이지에 게시해야 한다. 이 경우 관계 중앙행정기관의 장은 다음 각 호의 사항을 보호위원회에 통보해야 한다.  

  • 1. 결합전문기관의 명칭 및 주소
  • 2. 담당 부서 및 연락처
  • 3. 지정 유효기간(지정 또는 재지정의 경우에 한정한다)
  • 4. 취소 일시 및 취소 사유(지정 취소의 경우에 한정한다)

제4장 가명정보의 결합 신청 및 반출 등[edit | edit source]

제8조(가명정보의 결합 신청 접수 등) ① 결합전문기관은 영 제29조의3제1항에 따라 결합신청자로부터 [별지 제3호서식]의 결합신청서(전자문서를 포함한다.) 및 첨부 서류를 제출받은 경우 지체 없이 결합신청자에게 접수 사실을 통지하고, 서류의 누락 등 보완이 필요한 경우 보완을 요구하여야 한다. 다만, 결합전문기관은 결합신청자와 협의하여 결합 대상 가명정보의 가명처리 내역에 관한 서류를 가명정보 전송 시에 제출하도록 할 수 있다.

  • ② 결합전문기관은 가명정보의 결합 일정 및 절차 등 결합에 필요한 사항을 결합신청자와 협의하여야 한다.
  • ③ 결합키관리기관은 결합키 생성에 필요한 사항을 결합신청자와 협의하여야 한다.


제9조(가명정보의 결합) ① 결합신청자는 제8조제3항에 따른 협의 결과에 따라 결합키와 결합에 필요한 일련번호를 결합키관리기관에 전송하여야 하며, 결합키관리기관은 이를 이용하여 지체 없이 결합키연계정보를 생성하여야 한다.

  • ② 결합신청자는 결합 대상 정보가 확정된 경우 해당 정보를 가명처리하여 가명처리 내역, 결합에 필요한 일련번호와 함께 결합전문기관에게 전송하여야 한다. 이 경우 결합전문기관은 결합 대상 정보의 가명처리 수준을 확인한 후 필요한 경우 추가 처리를 요청할 수 있다.
  • ③ 결합키관리기관은 결합전문기관이 가명정보 결합을 위해 결합키연계정보의 전송을 요청한 경우 지체 없이 결합키연계정보를 결합전문기관에 전송하여야 한다.
  • ④ 결합전문기관은 결합키관리기관으로부터 결합키연계정보를 제공받아 가명정보의 결합을 완료하는 등으로 결합키연계정보가 불필요하게 된 때에는 이를 지체 없이 파기하여야 한다.
  • ⑤ 결합전문기관이 별표1제1호가목 단서에 따라 제4조제3항의 지원센터를 담당조직으로 하는 경우에는 공익 목적의 결합 또는 다른 결합전문기관이 수행하는 것이 어려운 결합 등에 대해 보호위원회가 인정하는 경우에 한하여 결합을 수행할 수 있다.


제9조의2(가명정보의 결합률 확인 및 추출) ① 결합키관리기관은 결합신청자의 요청이 있는 경우 제9조제1항에 따른 결합키연계정보 생성과정에서 결합률을 확인하여 결합신청자에게 통보하여야 한다.

  • ② 결합신청자는 제9조제2항에 따라 전송하는 정보를 최소화하기 위하여 결합키관리기관에 결합 대상 정보의 추출에 필요한 일련번호를 요청할 수 있으며, 이를 위해 필요한 자료를 제출하여야 한다.
  • ③ 결합키관리기관은 제2항의 요청이 있는 경우 결합 대상 정보의 특성, 결합률 등을 고려하여 결합신청자에게 추출 가능 여부를 통지하여야 하며, 추출이 가능하다고 판단한 경우 결합 대상 정보의 추출에 필요한 일련번호를 결합신청자에게 전송하여야 한다.


제9조의3(가명정보의 모의결합) ① 결합신청자는 결합의 유용성을 미리 확인하기 위하여 제9조에 따른 결합을 수행하기 전에 결합전문기관과 협의하여 결합전문기관에 일부 가명정보의 결합(이하 ‘모의결합’이라 한다)을 요청할 수 있다. 이 경우 결합신청자는 제8조제3항에 따라 생성한 결합키 또는 제8조제3항에도 불구하고 모의결합을 위해 결합전문기관과 협의하여 생성한 모의결합키(이하 이 조에서 ‘결합키등’이라 한다)를 결합전문기관에 전송하여야 한다.

  • ② 결합전문기관은 모의결합 대상 정보의 특성, 결합률 등을 고려하여 모의결합 가능 여부를 결합신청자에게 통지하여야 하며, 모의결합이 가능하다고 판단한 경우 모의결합 대상이 되는 정보의 결합키등을 선정하여 결합신청자에게 전송하여야 한다.
  • ③ 결합신청자는 모의결합 대상이 되는 정보를 가명처리하여 가명처리 내역, 결합에 필요한 결합키등과 함께 결합전문기관에 전송하여야 한다. 이 경우 결합전문기관은 모의결합 대상 정보의 가명처리 수준을 확인한 후 필요한 경우 추가 처리를 요청할 수 있다.
  • ④ 결합신청자는 결합전문기관으로부터 모의결합된 정보를 제공받아 영 제29조의3제3항에 따른 안전성 확보에 필요한 기술적ㆍ관리적ㆍ물리적 조치가 된 공간에서 분석할 수 있다. 단, 결합신청자는 분석한 정보 등 결과물을 결합전문기관 외부로 반출할 수 없다.
  • ⑤ 결합전문기관은 제4항에 따라 모의결합된 정보를 제공하는 경우 결합키등은 삭제하여야 하며, 결합신청자가 분석을 마친 경우 모의결합에 사용된 모든 정보를 파기하여야 한다.


제9조의4(결합전문기관의 자체결합) ① 결합전문기관은 자신이 보유한 가명정보와 다른 개인정보처리자가 보유한 가명정보를 결합하여 가명정보의 결합을 신청하는 다른 개인정보처리자 등 제3자에게 제공하려는 경우 가명정보의 결합(이하 "자체결합"이라 한다)을 직접 수행할 수 있다.

  • ② 결합전문기관은 제1항에 따라 자체결합을 하는 경우 다음 각 호의 사항을 준수하여야 한다.
    • 1. 결합전문기관과 이해관계가 없는 외부전문가가 다음 각목의 업무를 수행하도록 하여야 하며 이때 외부전문가는 제11조제2항 각 호에 해당하는 사람으로 할 것.
      • 가. 제8조제1항의 결합신청서 및 첨부 서류의 확인과 보완 요구
      • 나. 제9조제2항의 결합 대상 정보의 가명처리 수준 확인과 추가 처리 요청
    • 2. 결합전문기관은 제11조 제2항에 따른 반출심사위원회를 결합전문기관과 이해관계가 없는 외부전문가로만 구성할 것
    • 3. 결합전문기관에서 영 제29조의3제1항에 따른 결합신청자로서의 업무를 수행하는 담당자는 결합전문기관으로서의 업무에 참여하지 않을 것
    • 4. 결합전문기관은 자신이 보유한 가명정보와 제1항에서 허용하는 바에 따라 결합한 가명정보를 물리적으로 분리하여 보관하고, 각 정보에 대한 접근권한을 통제ㆍ관리할 것
  • ③ 결합전문기관은 제2항 각 호에 관한 사항을 기록하여 보관하여야 한다.


제10조(결합된 정보의 반출 전 처리) ① 결합신청자는 결합된 정보를 영 제29조의3제3항에 따른 안전성 확보에 필요한 기술적ㆍ관리적ㆍ물리적 조치가 된 공간에서 가명정보 또는 법 제58조의2에 해당하는 정보로 처리할 수 있다.

  • ② 결합전문기관은 결합신청자의 요청이 있는 경우 결합신청자가 제1항의 공간에서 결합된 정보를 분석하도록 할 수 있다.
  • ③ 결합신청자가 결합된 정보 또는 제1항과 제2항에 따라 처리한 정보를 반출하려는 경우 [별지 제4호서식]의 반출신청서와 다음 각 호의 첨부 서류를 결합전문기관에 제출하여야 한다.
    • 1. 반출 대상 정보에 관한 서류(추가적인 서류 제출이 필요한 경우에 한함)
    • 2. 반출 목적을 증명할 수 있는 서류(추가적인 서류 제출이 필요한 경우에 한함)
    • 3. 반출 정보의 안전조치 계획 및 이를 증빙할 수 있는 서류


제11조(반출승인) ① 결합전문기관은 결합신청자가 반출을 요청하는 경우 영업일 기준 5일 이내에 반출심사위원회 구성 등 일정을 정하여 결합신청자에게 통지하고 구체적인 사항을 협의하여야 한다.

  • ② 결합전문기관은 제1항에 따라 반출심사위원회를 구성하는 경우 개인정보 보호에 관하여 학식과 경험이 풍부한 사람으로서 다음 각 호에 해당하는 사람을 고루 포함하여 3명의 위원으로 구성하여야 한다. 다만, 반출심사를 위해 필요하다고 판단한 경우 다른 결합전문기관에 소속된 전문가를 추가로 포함할 수 있다.
    • 1. 개인정보 보호와 관련한 업무 경력이 있거나 관련 단체로부터 추천을 받은 사람
    • 2. 개인정보처리자로 구성된 단체에서 활동한 경력이 있거나 관련 단체로부터 추천을 받은 사람
    • 3. 그 밖에 개인정보 보호와 관련한 경력과 전문성이 있는 사람
  • ③ 반출심사위원회는 다음 각 호의 사항을 고려하여 반출심사를 하여야 한다.
    • 1. 결합 목적과 반출 정보가 관련성이 있을 것
    • 2. 특정 개인을 알아볼 가능성이 없을 것
    • 3. 반출 정보에 대한 안전조치 계획이 있을 것
  • ④ 결합신청자는 제3항에 따른 반출심사에 필요한 사항을 제출하고 이를 설명하여야 한다.
  • ⑤ 결합신청자의 임직원 등 이해관계자는 반출심사위원회 위원으로 참여할 수 없다.


제11조의2(결합전문기관의 지원)

  • ① 결합전문기관은 다음 각 호의 업무를 지원할 수 있다.
    • 1. 결합 전 가명처리
    • 2. 제10조제1항에 따른 처리 또는 같은 조 제2항에 따른 분석
    • 3. 제11조에 따라 반출한 정보의 분석
    • 4. 가명정보를 반출하려는 결합신청자에 대한 개인정보 보호 교육
  • ② 제1항제1호부터 제3호까지의 업무를 수행하는 담당자는 제8조제1항, 제9조제2항, 제9조의3제3항에 따른 업무에 참여하여서는 아니 된다.

제5장 전문기관의 책무 및 전문기관에 대한 관리ㆍ감독[edit | edit source]

제12조(안전성 확보 등에 필요한 조치) ① 결합전문기관은 가명정보의 결합ㆍ반출 등으로 해당 가명정보의 결합ㆍ반출과정에서 제공받거나 생성한 정보가 불필요하게 된 때에는 이를 지체 없이 파기하여야 한다.

  • ② 제1항에도 불구하고 결합전문기관은 매년 1월 1일부터 12월 31일까지 생성된 다음 각 호의 사항을 다음 연도 1월 31일까지 보호위원회에 제출하여야 한다.
    • 1. 결합신청서 및 첨부 서류
    • 2. 반출심사에 대한 결과 및 심사위원 명단
    • 3. 결합된 정보 및 심사 대상 정보에 대한 파기 대장
  • ③ 제1항과 제2항에도 불구하고 결합전문기관은 제9조의4제1항의 자체결합과 관련된 제2항 각 호의 자료와 제9조의4제3항에 따른 기록을 매 분기 마지막 달의 다음 달 말일까지 보호위원회에 제출하여야 한다.
  • ④ 결합키관리기관은 가명정보의 결합이 완료되는 등 결합키와 결합키연계정보가 불필요하게 된 때에는 지체 없이 파기하여야 한다.
  • ⑤ 결합전문기관은 결합신청자가 정당한 사유 없이 제9조에 따른 가명정보의 결합이 완료된 날부터 14일 이상 제10조 제1항 또는 제2항에 따른 처리를 수행하지 않는 등 반출의 의사가 없다고 판단되면 결합 절차를 종료할 수 있다.


제12조의2(결합전문기관의 관리ㆍ감독) ① 결합전문기관은 영 제29조의4제2항제1호에 따른 가명정보의 결합 및 반출 실적 보고서를 작성할 때 제9조4제1항의 자체결합의 실적은 별도로 분리해서 작성하여야 한다.

  • ② 결합전문기관은 매년 1월 1일부터 12월 31일까지 생성된 영 제29조의4제2항 각 호의 서류를 다음 연도 1월 31일까지 보호위원회등에 제출하여야 한다.