[CPPG] 가명처리 절차 요약(가명정보 처리 가이드라인 : 2024.2.4 개정)
by
딸둘아비
·
2024년 12월 23일
개인정보포탈에 등록된 가명정보 처리 가이드라인 개정(2024.2. 개정)와 KISA의 ISMS-P 인증기준 안내서(2023.11.23)를 참고하였습니다.
| 단계 |
구분 |
설명 |
| 1 |
목적 설정 등
사전준비 |
- 개인정보 보호법에서 정한 3가지 목적(통계작성, 과학적 연구, 공익적 기록 보존 등) 중에서 가명정보 처리의 목적을 구체적이고 명확하게 설정
- 처리 목적 달성에 필요한 정보의 종류, 범위를 명확히 하여 가명처리 대상을 선정
- 처리 목적의 적합성 검토
- 가명정보 처리를 위한 안전조치 이행(가명정보 처리에 관한 내부 관리계획 수립 등)
< 가명정보 처리 내부 관리계획에 포함될 사항(예시) >
- 가명정보 및 추가정보의 분리 보관에 관한 사항
- 가명정보 및 추가정보에 대한 접근권한 분리에 관한 사항
- 가명정보 또는 추가정보의 안전성 확보조치에 관한 사항
- 가명정보를 처리하는 자의 교육에 관한 사항
- 가명정보 처리 기록 작성 및 보관에 관한 사항
- 개인정보 처리방침 공개에 관한 사항
- 가명정보의 재식별 금지에 관한 사항
- 가명정보의 처리기간을 별도로 정한 경우에 관한 사항
- 필요 서류 작성 등(가명정보 처리 위탁 시 위탁계약서 작성 등)
< 가명정보 처리업무 위탁계약서에 포함되어야 할 사항(예시) >
- 위탁업무 수행 목적 외 처리금지
- 가명정보의 안전조치 사항
- 위탁업무의 목적 및 범위
- 재위탁 제한
- 관리·감독에 관한 사항
- 수탁자가 준수하여야 할 의무 위반시 손해배상 등 책임에 관한 사항
- 재식별 금지
- 재식별 위험 발생 시 통지
|
| 2 |
처리 대상의
위험성 검토 |
- 가명처리 대상 개인정보파일 및 개인정보항목 선정
- 가명처리 대상 데이터의 위험성 검토
- 데이터 자체 식별 위험성 : 식별정보, 식별가능정보, 특이정보, 재식별 시 영향도 등
- 처리 환경 식별 위험성 : 활용 형태(내부 활용, 외부 제공, 외부 결합 등), 처리 장소, 처리 방법
|
| 3 |
가명처리 |
- 식별 위험성 검토 결과를 기반으로 가명정보의 활용 목적 달성에 필요한 가명처리 방법 및 수준을 정하여 항목별 가명처리 계획 설정
- 항목별 가명처리 계획을 기반으로 가명처리 수행
- 가명처리 과정에서 생성되는 추가 정보는 원칙적으로 파기하고 필요한 경우 가명정보와 분리하여 별도로 저장
|
| 4 |
적정성 검토 |
- 가명처리에 대해 결과 적정성을 최종 검토
- 가명처리 적정성 검토는 내부 인원을 활용하여 자체적으로 검토하거나, 외부 전문가를 통하여 검토 가능(단, 최소 3명 이상으로 검토위원회를 구성하는 것을 권고)
- 적정성 검토 결과 부적정으로 판단될 경우 추가 가명처리 후 다시 적정성 검토 수행
|
| 5 |
안전한 관리 |
- 사전준비 단계에서 수립한 내부 관리계획에 따라 가명정보에 대한 안전조치 의무 이행(추가정보 분리 보관 또는 삭제, 접근권한 분리 등)
- 재식별 금지 및 재식별 가능성 모니터링
- 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수·파기
- 가명정보 처리 관련 기록 작성 및 보관(가명정보를 파기한 날로부터 3년 이상 보관)
< 가명정보 처리 기록 보관 사항 >
- 가명정보 처리의 목적
- 가명처리한 개인정보의 항목
- 가명정보의 이용내역
- 제3자 제공 시 제공받는 자
- 가명정보의 처리 기간(법 제28조의4제2항에 따라 처리 기간을 별도로 정한 경우에 한한다)
- 그 밖에 가명정보의 처리 내용을 관리하기 위하여 보호위원회가 필요하다고 인정하여 고시하는 사항
- 가명정보 처리에 관한 사항을 개인정보 처리방침에 공개 등
< 가명정보 활용 관련 개인정보 처리방침에 포함될 사항(예시) >
- 가명정보 처리 목적
- 가명정보 처리 기간(선택)
- 가명정보 제3자 제공에 관한 사항(해당되는 경우)
- 가명정보 처리의 위탁에 관한 사항(해당되는 경우)
- 처리하는 개인정보의 항목
- 보호법 제28조의4(가명정보에 대한 안전조치의무 등)에 따른 가명정보의 안전성 확보 조치에 관한 사항
|
Tags: IT zest > ISMS-P 인증심사원IT zest > 개인정보관리사
You may also like...
