과기정통부, 가명정보 결합전문기관 지정 추진
- 공공과 민간 기관, 기업 대상으로 9월 28일부터 10월14일까지 신청접수 - 11월부터 수요기관 대상 사전상담(컨설팅)도 진행할 계획 |
□ 과학기술정보통신부(장관 최기영, 이하 ‘과기정통부’)는 개정 개인정보보호법(‘20.8.5 시행)에 따라 서로 다른 개인정보처리자(기업 등) 간의 가명정보 결합을 수행할 결합 전문기관 지정을 추진한다고 밝혔다.
※ 관련근거 : 「개인정보보호법」 제28조의3, 영 제29조의2, 「가명정보의 결합 및 반출 등에 관한 고시」 제5조
□ 개정 개인정보보호법은 가명정보* 개념을 도입하고, 신뢰성 있는 전문기관을 통해 가명정보를 결합할 수 있도록 하여 데이터를 안전하게 활용할 수 있는 기반을 마련하였다.
* 개인정보 일부를 삭제 또는 대체하여 추가정보 없이는 특정 개인을 알아볼 수 없는 정보로서, 통계작성, 과학적연구, 공익적 기록보존 등의 목적으로 정보주체 동의 없이 활용 가능
ㅇ 이에 따라 보호위원회뿐만 아니라 관계 중앙행정기관의 장도 결합전문기관을 지정할 수 있으며, 결합전문기관으로 지정된 기관은 개인정보처리자 간 가명정보 결합을 수행하게 된다.
□ 과기정통부는 가명정보를 결합할 전문기관을 지정하기 위해 9월 28일부터 10월 14일까지 지정신청 공고를 하고, 신청을 접수받는다고 밝혔다.
ㅇ 지정분야는 과학기술과 정보통신(ICT) 분야 전반이며, 지정 대상은 공공 및 민간의 법인, 단체 또는 기관이다.
ㅇ 신청기관은 서면·현장 심사 및 결합테스트를 거쳐 보호위원회가 고시한 조직·인력, 시설·장비, 재정 요건 등의 충족 여부를 심사한 후 결합전문기관으로 지정될 예정이다.
ㅇ 결합전문기관 지정 절차 및 지정 기준, 접수방법 등에 대한 보다 자세한 사항은 과기정통부 누리집(http://www.mist.go.kr)에서 확인 가능하다.
□ 아울러, 결합전문기관 지정 수요기관의 예측 가능성을 제고하기 위하여 전문기관 지정절차와 별도로 사전컨설팅 절차를 운영할 계획이다.
ㅇ 신청기관은 지정기준 충족을 위한 계획서를 제출하고, 과기정통부는 별도의 평가단을 통해 계획서 상 지정기준을 충족 가능한지 검토하고 보완사항을 제안한다.
※ 사전컨설팅은 법적 효력이 없는 절차로서 컨설팅 결과 적합 판정을 받았어도 결합전문기관으로 지정받는 것은 아니며, 다만 본심사 시 사전컨설팅 검토사항을 참고하여 심사할 수 있음
ㅇ 결합전문기관 지정 절차가 완료된 이후 사전컨설팅을 위한 별도의 공고를 통해 사전컨설팅 신청기관을 접수받을 예정이다.
참고1 |
| 결합전문기관 지정신청 공고 |
『과학기술정보통신부 결합전문기관 지정 신청』공고
개인정보보호법 제28조의3(가명정보의 결합제한) 및 동법 시행령 제29조의2(결합전문기관의 지정 및 지정 취소)에 따라 통계작성, 과학적 연구, 공익적 기록보존 등을 위해 서로 다른 개인정보처리자간의 가명정보 결합을 수행할 결합전문기관 지정을 위해 과학기술정보통신부의 결합전문기관 지정계획을 아래와 같이 공고합니다.
2020년 9월 28일
과학기술정보통신부장관
1. 대상기관 : 공공과 민간 부문의 법인, 단체 또는 기관
2. 지정분야 : 과학기술, 정보통신(ICT) 분야 전반
3. 신청요건 : 「가명정보의 결합 및 반출 등에 관한 고시」의 결합전문기관 지정 요건에 충족
기준 | 세부내용 |
조직 | ▸3명의 전문가(법률ㆍ기술 전문가 각 1인 이상)를 상시 고용한 8인 이상의 담당조직 |
시설∙시스템 | ▸결합, 추가가명처리, 반출 등을 위한 공간 및 시설ㆍ시스템 구축 ▸데이터 및 네트워크에 대한 보안조치 마련 |
정책 및 절차 | ▸결합ㆍ반출 등 가명정보 결합에 관한 정책 및 절차 마련 ▸개인정보의 안전성 확보조치 기준에 따른 내부관리계획 수립 |
재정 | ▸자본금 50억원 이상(비영리법인의 경우 기본재산 또는 자본총계 50억 이상) * 보호법 제2조제6호가목에 해당하는 공공기관 제외 |
법령위반사실 | ▸최근 3년 내 보호법 제66조에 따라 개선권고, 시정명령, 고발 또는 징계권고, 과태료 부과 등의 내용 및 결과가 공표된 적이 없을 것 |
4. 신청방법
ㅇ (신청 기간) ‘20. 9. 28(월) ~ 10. 14(수), 18:00 까지
ㅇ (신청 방법) 제출서류를 구비하여 공문, 우편, 이메일 중 하나로 제출(우편의 경우 등기우편 서류제출 마감일 소인까지 인정)
- 공문과 신청서를 제외한 나머지 제출 서류는 통합하여 PDF파일(파일명 : 지정기관명)로 제출
※ 제출 시 과기정통부 빅데이터진흥과(☎044-202-6298)로 접수 확인 필요
ㅇ (제출 서류) 공문, 지정 신청서, 정관 또는 규약, 증빙자료 목록, 증빙자료 일체
ㅇ (제출처) 과학기술정보통신부 인공지능기반정책관 빅데이터진흥과
- (우편) 30121, 세종특별시 가름로 194(어진동), 세종파이낸스센터 2차
- (이메일) khj1228@korea.kr
4. 심사 절차
ㅇ (지정심사) 지정심사위원회를 통해 서면·현장심사 및 결합테스트 진행
- (서면심사) 조직·인력, 시설·장비, 운영 정책·절차, 재정능력 등 서류로 확인 가능한 사항 심사
- (현장심사) 가명정보 결합, 가명처리등, 반출심사를 할 수 있는 시설·장비 구축 현황과 정상 작동여부 등 심사
- (결합테스트) 가명정보 및 결합키 연계정보 수신, 가명정보 결합, 결과 반출 등 일련의 절차가 정상적으로 이루어지는지 확인
※ 현장심사 전 테스트용 데이터를 제공하고 현장심사 시 결합테스트 결과 확인
- (입증자료 보완) 심사 중 보완이 필요한 경우 기한 내에 보완 후 결과 제출(보완 요청 시 기한 개별공지)
ㅇ (지정확정) 지정심사위원회의 심사를 거쳐 과기정통부에서 지정 확정(~11월)
5. 기타 참고사항
ㅇ 제출된 서류는 일체 반환하지 않으며, 지정확정 기관이라도 점검결과 지정요건에 부합하지 않을 시 지정 취소 가능
ㅇ 기타 문의사항은 과학기술정보통신부 빅데이터진흥과 김현정 사무관(☎ 044-202-6297)에게 문의
참고2 |
| 결합전문기관 지정 기준 (가명정보의 결합 및 반출 등에 관한 고시 [별표1]) |
1. 담당 조직의 구성·운영
가. 결합전문기관 운영을 위해 제2호에 따른 전문가를 포함한 8인 이상의 담당 조직 구성
나. 담당 조직에 대한 관리책임자 지정
다. 운영 인력에 대한 교육계획 수립
2. 제1호 가목의 담당 조직 구성 시 다음 각 목의 어느 하나에 해당하는 전문가를 3명 이상 상시 고용(이 경우 기술·법률 전문가가 각 1인 이상 포함되도록 하여야 한다)
가. 「국가기술자격법」에 따른 정보통신 직무분야의 국가기술자격 중 정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사 자격 취득 후 1년 이상 개인정보 보호 관련 경력이 있는 사람
나. 정보보호, 정보통신, 정보기술, 개인정보 보호, 데이터 분석, 통계학, 법학 관련 박사학위 취득 후 1년 이상 개인정보 보호 관련 경력이 있는 사람
다. 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 제14조제1항에 따른 정보보호 및 개인정보보호 관리체계 인증심사원 자격(「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」로 통합 이전 「정보보호 관리체계 인증 등에 관한 고시」와 「개인정보보호 관리체계 인증 등에 관한 고시」에 따른 인증심사원 자격을 포함한다) 취득 후 4년 이상 개인정보 보호 관련 경력이 있는 사람
라. 「변호사법」에 따른 변호사 자격 취득 후 1년 이상 개인정보 보호 관련 경력이 있는 사람
마. 정보시스템감사통제협회(Information Systems Audit and Control Association)의 공인정보시스템감사사(CISA) 자격 취득 후 5년 이상 개인정보 보호 관련 경력이 있는 사람
바. 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 공인정보시스템보호전문가(CISSP) 자격 취득 후 5년 이상 개인정보 보호 관련 경력이 있는 사람
사. 정보보호, 정보통신, 정보기술, 개인정보 보호, 데이터 분석, 통계학, 법학 관련 석사학위 취득 후 4년 이상 개인정보 보호 관련 경력이 있는 사람
아. 정보통신기사ㆍ정보처리기사 및 전자계산기조직응용기사, 정보보안기사 자격 취득 후 6년 이상 개인정보 보호 관련 경력이 있는 사람
자. 정보보호, 정보통신, 정보기술, 데이터 분석, 통계, 가명처리 관련 업무에 10년 이상 종사한 사람
3. 다음 각 목에 따른 공간 및 시설 구축
가. 결합, 가명정보 또는 법 제58조의2에 해당하는 정보로 처리(이하 ‘가명처리등’이라 한다), 반출심사를 위한 공간 및 시설
나. 그 밖에 결합전문기관 업무 수행을 위한 공간 및 시설
다. 가목 및 나목에 대한 물리적 안전조치
4. 다음 각 목의 기능을 수행하는 시스템 구축
가. 가명정보 결합, 가명처리등, 반출심사에 필요한 기능
나. 데이터 송신·수신에 필요한 기능
다. 그 밖에 결합전문기관 업무를 위한 기능
5. 데이터 및 네트워크에 대한 보안조치 마련
가. 데이터의 유출을 방지하기 위한 조치
나. 결합, 가명처리등, 반출심사와 관련한 정보 및 시스템에 대한 접근 권한 관리
다. 비인가자의 불법적인 접근 차단 및 침해사고 방지를 위한 조치
라. 개인정보 암호화 및 데이터 송신·수신 시 암호화 적용을 위한 조치
마. 접속기록 보관 및 위조·변조 방지 조치
바. 악성프로그램 등 방지 조치
사. 결합전문기관 업무 수행을 위한 관리용 단말기의 안전조치(해당 경우에 한정함)
아. 백업 및 복구를 위한 조치
자. 데이터 파기를 위한 조치
차. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조제2항에 따른 클라우드 보안인증을 받은 서비스 이용 시 가목부터 자목에 해당하는 보안조치가 포함되어 있는 경우 이를 입증할 수 있는 서류를 검토하여 해당 보안조치를 이행 한 것으로 볼 수 있다.
카. 결합전문기관으로서 처리하는 정보와 그 밖에 자신이 보유한 개인정보의 분리
6. 정책 및 절차 마련
가. 결합, 가명처리등, 반출심사(심사위원 구성 방안 포함)를 위한 정책 및 절차
나. 결합전문기관 업무를 위한 각 공간에 대한 출입 통제 정책 및 절차
다. 데이터 반출·반입 통제 정책 및 절차
라. 데이터 파기 및 기록·보관에 대한 정책 및 절차
마. 개인정보의 안전성 확보조치 기준 제4조제1항제4호부터 제9호까지, 제11호, 제13호(접근권한 관리, 접근 통제, 개인정보 암호화, 접속기록 보관 및 점검, 악성프로그램 등 방지, 물리적 안전조치, 개인정보 유출사고 대응 계획, 재해 및 재난 대비에 관한 사항)에 대한 내부관리계획
7. 자본금 50억원 이상(비영리법인의 경우 기본재산 또는 자본총계 50억원 이상)에 해당하는 재정 능력 충족(법 제2조제6호가목에 해당하는 공공기관은 적용 제외)
8. 최근 3년 이내(결합전문기관 지정 신청일 기준)에 법 제66조에 따라 공표된 적이 없을 것