(가명정보 활용범위) 가명정보는 ➀ 통계작성 ➁ 과학적 연구 ➂ 공익적 기록보존 등 세 가지 목적으로 처리*가능 * 처리: 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄) 등 (과학적 연구) 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구* 등 과학적 방법을 적용하는 연구 [개인정보 보호법] 제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다. 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. 8. “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.

가명정보와 추가정보를 분리·보관하고 각 접근권한을 분리하도록 한 것은 가명처리 이후 재식별을 방지하기 위한 것으로, 가명처리 과정에서 가명정보와 추가정보가 일시적으로 동일 서버에 존재하는 것은 보호법 제28조의4 및 동법 시행령 제29조의5의 위반에 해당하지 않음

보호법은 개인정보처리자가 내부관리계획 등을 작성할 때 가명정보에 관한 사항을 기존 개인정보에 관한 내용과 묶어서 작성할지 별개로 조항을 추가하여 작성할지에 대해서는 별도로 규정하고 있지 않음

결합전문기관의 선택에 별도의 제한은 없으나 분야별 가이드라인*을 참고하여 선택할 수 있음 * 보건의료 데이터 활용 가이드라인, 교육분야 가명·익명정보 처리 가이드라인, 공공분야 가명정보 제공 실무안내서 등

A사가 다수의 데이터분석회사에 가명정보 처리를 위탁하는 경우라면, 개인정보의 업무위탁에 대하여 규정한 개인정보 보호법 제26조에 따른 의무사항을 준수하여야 함

사람이나 자동차 영상 등 개인을 식별할 수 있는 사진에서 그 일부 또는 전체를 마스킹 하였어도 주변 상황 및 환경 등으로 개인을 식별할 수 있으므로 그 정보가 가명정보인지 익명정보인지 일률적으로 판단하기 어려움 가명정보인지 또는 익명정보인지 여부는 시간·비용·기술 등을 합리적으로 고려하여 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보인지 검토하여 판단 필요

추가정보가 삭제된 가명정보가 그 자체만으로 개인을 알아볼 수 없는 정보라고 하더라도 익명정보인지 여부는 시간·비용·기술 등을 합리적으로 고려하여 별도로 판단하여야 함

B부서가 A부서에서 수집한 개인정보에 대한 접근 권한이 있으며, 처리한 정보가 익명정보에 해당한다면 개인정보 보호법 제58조의2에 따라 개인정보 보호법의 적용을 받지 않음. 개인정보 보호법의 적용이 제외되는 범위는 제58조의2에 따른 정보를 처리하는 경우 뿐 아니라, 개인정보를 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없도록 처리하는 경우까지 포함. 따라서 개인정보처리자가 이러한 정보 생성을 위해 개인정보를 처리하는 경우에는 정보주체의 동의를 받을 필요가 없음 다만 해당 정보가 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에 해당하는지는 제공받는 자의 처리목적, 이용 또는 제공환경, 정보의 특성 등을 종합적으로 고려하여 판단하여야 함

보호법 제2조제8호에서 규정한 ‘과학적 연구’는 순수과학 뿐만 아니라 사회과학 등 도 포함하는 광의의 개념임 ‘직장 내 성희롱·괴롭힘’ 등과 같은 사회의 여러 현상·사례를 체계적으로 분석하여 어떠한 결과를 도출하는 연구를 ‘사회과학’에 관한 연구로 보아 과학적 연구로 볼 수 있음 과학적 방법을 적용하는 연구와 관련하여 사례분석, 설문조사 등을 통해 어떠한 결과를 도출하는것도 ‘과학적 방법’에 해당 사회과학은 사회의 여러 현상·사례를 체계적으로 분석하여 결과를 도출하는 연구를 말하며 ‘직장내 성희롱·괴롭힘’ 이라는 사례를 분석·연구하고자 하는 경우도 사회과학으로 해석

공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보는 「개인정보 보호법」의 제3장부터 제7장까지 적용하지 않으나(「개인정보 보호법」 제58조 제1항 제1호), 개인정보위 결정례에 따라 「개인정보 보호법」 제58조 제1항 제1호는 「통계법」에 따른 승인통계, 지정통계 작성을 위해 수집되는 개인정보에 한하므로 승인·지정 통계 작성 외 기타 정책 활용 목적 등의 통계작성은 보호법 제3장부터 제7장까지가 적용되어 가명정보 특례 규정에 따라 가명처리 및 결합을 할 수 있음 참고로 개인정보 보호법은 일반법으로 제6조에 의거, 다른 법률에 개인정보 보호에 관한 특별한 규정이 있는 경우 그 규정을 우선하여 적용됨 [관련 법령] 개인정보 보호법 제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다. ② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다. 제28조의3(가명정보의 결합 제한) ① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다. ② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다. 제58조(적용의 일부 제외) ① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다. 1. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보 2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보 3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보 4. 언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집·이용하는 개인정보 ② 제25조제1항 각 호에 따라 공개된 장소에 영상정보처리기기를 설치·운영하여 처리되는 개인정보에 대하여는 제15조, 제22조, 제27조제1항·제2항, 제34조 및 제37조를 적용하지 아니한다. ③ 개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인정보를 처리하는 경우에는 제15조, 제30조 및 제31조를 적용하지 아니한다. ④ 개인정보처리자는 제1항 각 호에 따라 개인정보를 처리하는 경우에도 그 목적을 위하여 필요한 범위에서 최소한의 기간에 최소한의 개인정보만을 처리하여야 하며, 개인정보의 안전한 관리를 위하여 필요한 기술적·관리적 및 물리적 보호조치, 개인정보의 처리에 관한 고충처리, 그 밖에 개인정보의 적절한 처리를 위하여 필요한 조치를 마련하여야 한다.

가명정보를 과학적 연구 등 법에서 허용하는 목적 범위로 제공하면서 대가를 받는 것은 가능하나, 법에서 정한 목적 범위를 벗어나 판매할 목적으로 가명처리하는 것은 허용되지 않음

주민등록번호를 제외한 다른 고유식별번호와 민감정보는 가명처리하여 활용할 수 있으며 주민등록번호는 법률, 대통령령 등의 구체적 근거가 있는 경우에 한하여 활용 가능함(법률 등에 활용에 대한 명확한 근거가 있는 경우)