고학수 개인정보보호위원회 위원장이 24일 서울 종로구 정부서울청사에서 열린 제7차 개인정보위 전체회의에서 의사봉을 두드리고 있다. 2024.4.24/뉴스1 © News1 허경 기자

대한적십자사와 국립중앙도서관이 개인정보 보호법상 가명정보 처리 특례 규정을 위반해 과태료 처분을 받게 됐다.

개인정보보호위원회는 지난 24일 전체회의를 열고 이같은 이유로 대한적십자사와 국립중앙도서관에 총 640만 원의 과태료 부과와 시정명령, 개선권고를 의결했다고 25일 밝혔다.

가명정보는 추가정보의 사용·결합 없이는 특정개인을 알아볼 수 없는 정보로, 가명정보 처리에 관한 특례에 따라 안전조치 의무 준수, 처리 내역 작성·보관, 추가정보와 분리 보관, 재식별 금지, 결합전문기관에 의한 가명정보 결합 등의 의무가 부과된다.

대한적십자사는 과태료 100만 원 부과와 함께 시정명령 및 개선권고를 받는다. 헌혈정보시스템(BIMS) 내에서 혈액형·성별·직업 등 특정 개인이 식별되지 않는 11개의 정보를 추출해 가명정보 약 176만 건을 생성하고, 이를 타 기관에 전송한 것으로 확인됐기 때문이다.

이는 헌혈자 행동데이터 통계분석을 토대로 헌혈참여 확산 등을 위한 과학적 연구를 위해 다른 기관과 업무협약(MOU)을 추진하던 것으로 조사됐다.

개인정보위는 "대한적십자사가 가명정보의 처리내역을 작성·보관하지 않았고, 가명정보를 타 기관에 제공하면서 정상적인 결재 절차를 거치지 않았으며 가명정보 처리 가이드라인에 따른 '가명처리 단계별 절차'를 거치지 않았다"고 지적했다.

국립중앙도서관은 빅데이터 통계 분석 등을 목적으로 '도서관 빅데이터 사업'과 '도서추천시스템(솔로몬시스템)'을 운영하면서 1490여개 참여 도서관으로부터 출생연도, 우편번호, 성별 등 특정 개인이 식별되지 않는 11개 항목과 도서 대출데이터를 제공받고 있다.

그러나 솔로몬시스템 관리자 페이지에 접속할 때 안전한 접속 또는 인증수단이 적용되지 않았고, 접속기록 중 일부가 누락됐으며 가명정보 처리 내역이 작성·보관되고 있지 않은 사실이 확인됐다.

개인정보위는 국립중앙도서관에 과태료 540만 원을 부과했고, 가명정보의 안전한 처리를 위해 참여 도서관들을 지도·감독하고 관련 교육을 실시하도록 개선권고했다.

개인정보위 측은 "가명정보는 AI·데이터 경제시대에 매우 유용하나 원본정보 등 추가정보와 결합되면 개인이 특정될 우려가 있다"며 "추가정보와 분리 보관하거나 처리대장 작성·보관 등 안전조치 의무를 준수하는 것이 반드시 필요하다"고 밝혔다.