개인정보취급사업자는 개인정보 데이터베이스를 영업에 이용하는 자를 의미한다(제2조 제5항). 개인정보취급사업자가 익명가공정보를 작성할 때 준수할 사항은 아래와 같다.
1) 복원불능의 작성의무 : 개인정보취급사업자가 익명가공정보(데이터베이스 구성에 한함, 이하 같음)를 작성할 때는 특정 개인을 식별하는 것 및 그 작성에 이용되는 개인정보를 복원할 수 없도록 가공해야 한다. 다만 복원할 수 없는 가공의 기준은 개인정보보호위원회가 규칙으로 정하며, 사업자는 이 규칙을 따라야 한다. (제36조 제1항)
2) 정보누설방지의무 : 개인정보취급사업자가 익명가공정보를 작성할 때는 정보의 누설을 방지하기 위하여 개인정보보호위원회가 정하는 규칙에 따라 정보의 안전관리를 위한 조치를 취하여야 한다. 누설될 수 있는 정보는 예컨대 익명가공정보 작성 과정에서 삭제된 기술(記述), 개인식별부호, 가공방법 등이 여기에 해당한다. (제36조 제2항)
3) 정보항목 공개의무 : 개인정보취급사업자가 익명가공정보를 작성할 때는 개인정보보호위원회 규칙으로 정하는 바에 따라 해당 익명가공정보에 포함된 개인에 관한 정보 항목을 공개해야 한다(제36조 제3항).
4) 제3자 제공시 공표 및 명시의무 : 개인정보취급사업자가 익명가공정보를 제3자에게 제공할 때는 정보주체의 동의를 받을 필요는 없지만, 개인정보보호위원회 규칙이 정하는 바에 따라 미리 제3자에게 제공되는 익명가공정보에 포함된 개인에 관한 정보 항목 및 그 제공방법에 대하여 공표하여야 하고, 동시에 해당 제3자에게 제공하는 정보가 익명가공정보라는 사실을 명시해야 한다(제36조 제4항).
5) 식별행위 금지의무 : 개인정보취급사업자가 익명가공정보를 작성하고 스스로 해당 익명가공정보를 취급하는 경우 해당 익명가공정보 작성에 사용된 개인정보에 관한 본인을 (재)식별하기 위하여 해당 익명가공정보를 다른 정보와 조합(照合, 대조)해서는 아니 된다. (제36조 제5항)
6) 안전관리조치의무 등 : 개인정보취급사업자가 익명가공정보를 작성할 때는 해당 익명가공정보의 안전한 관리에 필요하고 적절한 조치 및 해당 익명가공정보의 작성 기타 취급에 관한 불평의 처리 등 해당 익명가공정보를 적정히 취급하기 위하여 필요한 조치를 스스로 취하고 해당 조치를 공개하도록 노력하여야 한다. (제36조 제6항)
◆익명가공정보취급사업자의 의무 사항
‘익명가공정보취급사업자’란 익명가공정보를 포함한 정보의 집합물이나 특정의 익명가공정보를 전자계산기를 이용하여 검색할 수 있도록 체계적으로 구성한 것, 그 외 특정 익명가공정보를 쉽게 검색할 수 있도록 체계적으로 구성한 것으로서 정령(政令, 시행령)으로 정하는 것을 사업에 이용하는 자를 말한다(제2조 제10항).
익명가공정보취급사업자가 준수해야 할 내용을 열거하면 아래와 같다.
1) 제3자 제공시 공표 및 명시의무 : 익명가공정보취급사업자는 익명가공정보(개인정보를 가공하여 작성한 것은 제외. 이하 동일)를 제3자에게 제공할 때는 개인정보보호위원회 규칙에서 정하는 바에 따라 미리 제3자에게 제공하는 익명가공정보에 포함된 개인에 관한 정보 항목 및 그 제공방법에 대하여 공표하는 동시에 해당 제3자에게 제공하는 정보가 익명가공정보라는 사실을 명시해야 한다. (제37조)
2) 식별행위 금지의무 : 익명가공정보취급사업자는 익명가공정보를 취급함에 있어 해당 익명가공정보의 작성에 이용된 개인정보에 관한 본인을 (재)식별하기 위하여 해당 개인정보에서 삭제된 기술(記述) 또는 개인식별부호, 가공방법에 관한 정보를 취득하거나 해당 익명가공정보를 다른 정보와 조합(照合)해서는 아니 된다. (제38조)
3) 안전관리조치의무 등 : 익명가공정보취급사업자는 익명가공정보의 안전한 관리에 필요하고 적절한 조치 및 해당 익명가공정보의 취급에 관한 불평의 처리 등 익명가공정보를 적정히 취급하기 위하여 필요한 조치를 스스로 취하고 해당 조치를 공개하도록 노력하여야 한다. (제39조)
◆적용범위
제36조의 규정은 국내에 있는 자에 대하여 물품 또는 역무의 제공과 관련하여 그 사람을 본인으로 하는 개인정보를 수집하는 개인정보취급사업자가 외국에서 해당 개인정보를 이용하고 작성한 익명 가공 정보를 취급하는 경우에 대해서도 적용한다. (제75조)
이를 역외적용이라 한다. 한편 개인정보보호법이 적용되지 않는 언론기관, 종교단체 등이라도 이들이 익명가공정보를 취급할 때는 안전한 관리에 필요하고 적절한 조치를 취하여야 한다. (제76조 제3항)
◆결어
일본은 빅데이터 산업과 데이터 활용을 위하여 ‘익명가공정보’라는 개념을 창설하여 법률의 일부 규제를 벗어나게 하였다. 즉 익명가공정보는 EU GDPR의 pseudonymous data(가명처리 정보)에 해당하지만 법적 규제는 미국법에 따라 개인정보가 아닌 것으로 보고 있다.
한편 익명가공정보는 작성과 취급으로 양분하여 규율하고 있으며, 사업자에게는 대표적으로 제3자 제공시 공표 및 명시의무, 식별행위금지의무, 안전관리조치의무 등을 부여하고 있다.
‘익명가공정보’는 개인정보보호법 등의 엄밀한 법리해석에 따라 나온 개념이 아니라 데이터 활용이라는 필요에 의하여 창설된 개념에 해당하며, 일본 개인정보 당국은 필요에 의하여 일단 익명가공정보를 인정하는 전제하에 기술적·관리적 조치를 통하여 프라이버시 보호에 미치는 영향을 최소화하려고 노력하였다. 한마디로 산업진흥 정책의 산출물이라 할 수 있다.
하지만 일본의 ‘익명가공정보’는 글로벌 표준, 특히 EU의 기준과 정합하지 않는다는 문제점을 내포하고 있다.
위와 같은 일본의 ‘익명가공정보’의 창설의 장단점은 일본과 유사한 개인정보 정의규정을 가지고 있는 우리나라에게도 시사하는 바가 매우 크다 할 수 있다.