공공기관뿐만 아니라 민간기업도 일정 요건을 갖추면 가명정보의 결합을 담당하는 결합전문기관이 될 수 있다. 다만 해당 기관이 보유한 정보를 스스로 결합하는 이른바 '셀프결합'은 원칙적으로 허용되지 않는다.

개인정보보호위원회(이하 개보위)는 26일 '2020년 제2차 전체회의'를 열고 이 같은 내용의 '가명정보의 결합 및 반출 등에 관한 고시' 등을 심의·의결했다고 밝혔다. 이는 지난 5일 개보위가 출범한 이후 정책 사안과 관련해 심의·의결한 첫 사례다.

가명정보는 개인 식별이 가능한 '개인정보'와 식별이 불가능한 '익명정보'의 중간단계에 해당한다. 개인정보 일부를 삭제하거나 대체해 추가정보 없이는 개인을 알아볼 수 없다. 즉, 다수의 가명정보가 결합할수록 개인을 특정할 수 있는 가능성이 커진다.

당초 개인정보보호법과 시행령 논의 단계에서는 가명정보 결합전문기관으로 공공기관을 우선 지정하고, 점차 민간으로 범위를 넓혀나갈 예정이었으나 세부 논의를 거치면서 모두 포함했다.

개보위는 가명정보 결합에 참여하길 원하는 민간기업의 수요를 고려해 신뢰할만한 제3자로 판단되면 공공·민간 구별 없이 결합전문기관으로 지정하기로 했다.

다만 결합전문기관에서 보유한 정보를 해당 기관이 결합하는 이른바 '셀프결합'은 원칙적으로 제외했다.

최영진 개보위 부위원장은 이날 오후 온라인 브리핑에서 "전체회의에서 셀프결합을 심도 있게 논의했는데 (개인정보보호법) 입법 취지와 조문 해석상 허용하지 않아야 한다는 의견이 대다수였다"며 "대량의 데이터를 보유한 공공기관이나 특수한 데이터를 가진 기업, 데이터 특성상 다른 기관으로 이동이 불가능한 경우 등은 따로 고려해야 할 것"이라고 말했다.

이날 의결된 고시는 결합전문기관이 갖춰야할 인력과 시설·장비, 재정 등의 요건을 규정했다. 인력 요건은 8인 이상의 담당조직을 운영하고 이 가운데 3명은 법률·기술 등 관련 분야 전문가로 상시 고용해야 한다. 자본금은 50억원 이상을 충족해야 한다.

고시에는 가명정보 결합과 결합정보의 외부 반출 절차도 담겼다.

데이터 결합 시 정보 매칭에 필요한 '결합키'는 가명정보 결합의 안전성을 확보하기 위해 결합키 관리기관인 한국인터넷진흥원(KISA)만 접근할 수 있도록 했다.

또 결합된 정보를 정해진 분석공간 밖으로 반출하려는 경우 '반출심사위원회'의 승인을 받아야 한다. 위원회는 결합신청자와 이해관계가 없는 3명 이상 7명 이하의 전문가로 구성된다.

이 고시는 다음 달 1일 관보 게재 즉시 시행된다. 개보위는 시행일부터 결합전문기관 지정 신청 접수를 위한 공고를 내고, 9월 중 선정을 마무리할 계획이다.