1. 서론

데이터는 4차 산업혁명의 ‘원유’라 불릴 정도로 새로운 산업과 서비스에 있어 중요한 요소로 손꼽히고 있다. 원유를 잘 정제하면 휘발유, 경유, 아스팔트 등 용도에 맞게 사용할 수 있는 것처럼 데이터를 잘 정제하면 유통, 통신, 의료 등 필요한 분야에 활용하여 사회의 고질적인 이슈를 해결할 수 있다고 기대한다. 그만큼 데이터 활용에 대한 환경을 잘 조성한다면 4차 산업혁명을 이끌어나가는데 큰 원동력이 될 것이다.

국제 사회가 개인정보의 자유로운 유통에 관해 관심을 두고 있어 2019년 6월 오사카에서 열린 G20 정상회담에서는 ‘디지털 경제 시대에 따른 자유로운 데이터 유통’에 대해 논의하였다. 특히 이번 회의의 의장국인 일본은 ‘데이터가 프라이버시를 침해하지 않는 형태로 국가 간 자유롭게 유통된다면 세계 성장으로도 이어질 것이다.’라는 취지로 데이터 유통과 전자상거래에 관한 규칙을 제정하기 위해 ‘오사카 트랙’을 제안하였다.⁽¹⁾ 이처럼 일본 정부는 데이터 유통을 활성화하여 디지털 경제 시대의 흐름을 주도하기 위해 다양한 정책들을 추진하고 있다. 이 글에서는 데이터 유통 활성화를 위한 제도 중 하나인 ‘정보은행 인정제도’에 대해 소개하고자 한다.

2. 정보은행이란

      2.1 추진 배경

데이터 생산의 주체는 개인이지만 생산되는 데이터의 대부분은 정보를 수집한 기업(이하 ‘정보수집기업’), 기관 등에서 소유권을 주장하고 있다. 개인 데이터를 활용하거나 제3자 제공 시 사전에 동의를 받게 되어 있지만, 일본경제신문이 보도한 자료에 따르면 소비자 사이트를 운영하는 일본의 주요 100대 기업 중 약 50%가 구체적인 정보 제공처나 목적을 명시하지 않고 검색 기록, 단말 정보 등을 제3자에게 제공 하고 있었다. 특히 개인에게는 동의 철회나 제3자 제공을 거부할 수 있는 어떤 수단도 마련해 놓지 않았다.⁽²⁾ 이는 데이터의 주체가 본인의 데이터를 관리‧통제할 수 있는 환경이 마련되지 않아 발생한 문제로, 일본은 문제점을 해결하기 위해 서비스 제공자 중심의 데이터 생태계에서 데이터의 주인인 개인이 자신의 데이터를 통제하고 관리할 수 있는 새로운 데이터 유통 환경을 조성을 위해 노력하고 있다.

일본 정부는 프라이버시 문제를 해결하여 개인 데이터를 활용하게 된다면 그동안 해결하지 못했던 저출산, 초고령화, 일자리 부족 등 해결하기 어려운 사회문제를 해결할 수 있을 것이라 기대하고 있다. 개인정보를 포함한 데이터의 원활한 유통을 촉진하고 데이터를 활용할 수 있는 환경 조성을 위해 「관민데이터 활용 추진 기본법」을 2016년 12월에 제정하였고, 데이터 유통을 위한 PDS(Personal Data Store)나 정보은행은 「관민데이터 활용 추진 기본법」 제12조에 따라 추진되고 있다.

관민데이터 활용 추진 기본법 제 12조

제12조 (개인의 참여하에 다양한 주체에 의한 민관데이터의 적절한 활용)

국가는 개인에 관한 관민 데이터의 원활한 유통을 촉진하기 위해
사업자의 경제적 지위, 그 외의 정당한 이익의 보호를 배려하면서
다양한 주체가 개인에 관한 관민 데이터를
해당 개인의 참여하에 적정하게 활용할 수 있도록
기반의  정비 등 기타 필요한 조치를 강구하여야 한다.

      2.2 추진 내용

일본 정부는 데이터 유통환경 정비를 위해 PDS(Personal Data Store), 정보은행 등을 추진하고 있다. PDS는 여러 기업이 보유한 데이터를 통합적으로 수집하는 시스템으로 데이터 수집 기능 이외에도 통합 데이터 관리, 제3자 제공 등 데이터를 제어하는 기능을 갖는다. 하지만 PDS는 개인이 스스로 데이터를 관리하는 구조로 인해 계속 축적되는 데이터를 관리하기 어려웠고, 이를 보완하고자 축적된 데이터를 정보은행에 제공하여 데이터 관리, 제3자 제공, 데이터 활용 등을 대신해주는 정보은행 개념을 도입하였다.

정보은행은 초기에 ‘정보신탁기능’으로 표현하였지만, 국민의 적극적인 참여와 신뢰를 높이기 위해 ‘정보 은행’이라는 명칭 하에 정보신탁기능을 운영하는 것으로 추진하였다. 개인과 데이터 활용 계약 등을 체결한 후 PDS 시스템을 통해 개인정보를 관리하고, 개인의 위임에 따라 개인 대신 정보제공에 대한 타당성을 판단하여 제3자에게 정보를 제공한다. 정보를 제공받은 기업(이하 ‘정보제공기업’)은 비즈니스에 활용하여 이익을 얻을 수 있고, 수익의 일부를 금전 또는 유무형의 편익으로 개인에게 환원한다. 정보은행을 통해 개인은 경제적인 이익을 얻을 수 있고, 기업도 사업 추진에 필요한 정보를 확보함으로써 정보은행의 유통 구조가 데이터 활성화에 많은 기여를 할 것이다.

정보은행의 구조

[출처: 정보신탁기능의 인정에 관한 지침 ver 1.0]

개인정보를 포함한 데이터의 원활한 유통을 위해서는 이용자와 사회의 신뢰를 얻고, 개인정보 자기결정권 확보가 필요하다. 총무성과 경제산업성은 ‘정보신탁기능 인정 체계의 추진방향에 관한 검토회(이하 검토회)’를 구성하였고 정보신탁기능과 데이터를 수집‧활용할 수 있는 기술적‧제도적 사항을 논의하였다. 검토회에서 논의된 사항을 정리하여 2018년 6월 26일 「정보신탁기능의 인정에 관한 지침 ver 1.0」을 발표 하였고, 본 지침을 토대로 개인정보 자기결정권 확보 및 신뢰를 확보하기 위해 ‘정보은행 인정제도’를 추진하였다. 정보은행 인정 및 활성화는 IT 단체연맹에서 추진하고 있다.

3. 정보신탁기능의 인정에 관한 지침

「정보신탁기능의 인정에 관한 지침 ver 1.0」은 인정 대상, 인정 기준, 모델 약관, 인정 절차 등으로 구성되어 있다. 최근 의료데이터와 금융데이터의 유통‧활용에 대한 논의를 지속하면서 지침 내용이 재검토되고 있다. 2019년 하반기에는 의료데이터와 금융데이터 유통에 대한 내용을 추가한 「정보신탁기능의 인정에 관한 지침 ver 2.0」이 발표될 예정이다.

      3.1 인정 대상

정보은행 인정은 지침에 명시되어 있는 정보제공 동의 방법, 거래되는 정보, 개인정보 수집 방법에 포함되는 서비스를 대상으로 한다. 첫 번째 정보제공 동의 방법은 사업자가 개인이 선택‧동의한 항목에 따라 개인 대신 정보제공의 타당성을 판단하여 제3자에게 제공하는 서비스(아래 그림 ①)를 기본으로 하고, 정보은행 사업자가 개인에게 정보제공기업을 제안하여 개인이 제3자 제공 여부를 판단하는 서비스(아래 그림 ②-1)도 인정 대상에 포함된다. 하지만 개인이 제3자 제공 여부를 자체적으로 판단하는 서비스(아래 그림 ②-2)는 PDS 성향이 강해 인정 대상에 포함되지 않는다.

정보제공 동의 방법

[출처: 정보신탁기능의 인정에 관한 지침 ver 1.0]

두 번째 거래되는 정보는 진단 병명, 신용카드번호, 계좌번호와 같은 민감 정보를 제외한 개인정보 수집·처리를 기본으로 하고, 통계데이터와 익명가공정보를 처리할 경우에도 인정 대상에 포함한다. 하지만 통계데이터 또는 익명 가공정보만 처리하는 서비스는 인정 대상에 포함하지 않는다.

거래되는 정보 인정대상 여부

[출처: 정보신탁기능의 인정에 관한 지침 ver 1.0]

세 번째 개인정보 수집 방법은 서비스 제공자가 새롭게 수집한 데이터를 처리하거나 이미 보유하고 있는 데이터를 처리하는 서비스로 모두 인정 대상에 포함된다.

거래되는 정보 인정대상 여부

[출처: 정보신탁기능의 인정에 관한 지침 ver 1.0]

      3.2 인정 기준

정보은행 인정 기준은 개인이 안심하고 정보은행에 데이터를 신탁하고, 서비스를 이용하기 위한 판단 기준을 나타낸 것이다. 제공하는 기능을 소비자에게 쉽게 나타내고, 데이터 유통 과정을 투명하게 공개 하여 소비자에게 신뢰를 얻을 수 있도록 사업자가 충족해야 할 조건을 제시한다. 「정보신탁기능의 인정에 관한 지침 ver 1.0」에 따른 인정 기준은 사업자의 적격성, 정보보안, 거버넌스 체계, 사업 내용과 관련된 4개 분야만 제시하고 있으나, 2018년 12월 21일 IT 단체연맹에서 발간한 「정보은행 인정신청 가이드북 ver 1.0」에는 프라이버시 보호 대책이 추가된 5개 분야를 제시하고 있다. 현재 인정 지침을 개정하기 위해 재검토하고 있고, IT 단체연맹에서 인정제도를 시행하기 때문에 인정 기준에 대한 사항은 가이드북 기준으로 개선되리라 전망한다.

첫 번째로 사업자의 적격성 조건은 크게 경영 측면에서의 요구사항과 업무능력으로 구분된다. 경영 측면에서의 요구사항은 법인격을 가지고, 업무수행 및 정보 유출로 인한 손해배상 시 대응할 수 있는 경제적인 능력을 평가한다. 업무능력은 사업자가 개인정보보호법을 준수하기 위해 개인정보보호 정책을 수립하고 있는지, 개인정보 취급 업무를 수행하기 위해 다양한 지식과 경험을 쌓고 사회적 신용을 위한 개인정보 보호 마크나 정보보호 관리체계(ISMS)를 취득했는지를 주로 평가한다. 특히 정보은행은 개인 데이터를 제3자에게 제공하기 때문에 정보제공기업의 관리감독이 중요하다. 정보제공기업과 계약을 체결할 시 관리체계를 명확히 제시하고, 적절하게 관리감독을 수행하는지를 평가하여 종합적으로 사업자 적격성에 대해 판단한다.

두 번째로 정보보안에 대한 기준은 위험관리에 기초한 정보보안 계획과 데이터 관리 시 정보유출 방지를 위해 관리적‧물리적‧기술적 보안 조치를 취했는지 등 정보보안에 관련된 사항을 중점적으로 평가한다. 구체적으로 정보보안 계획, 보안 감사, 보안 유지 및 개선을 위한 대책 수립, 정보보안 정책수립 및 조직 체계, 정보처리시설 관리, 관리적‧물리적‧기술적 보안조치, 보안사고 시 대응 체계, 법 준수 등을 평가한다. 위 인정 기준은 정보은행에 데이터를 신탁하는 개인이 안심하고 이용할 수 있는 최소한의 정보보안 기준이기 때문에 제시된 기준 이외에도 추가적인 정보보안 대책 마련이 필요하다.

세 번째로 프라이버시 보호 대책의 경우, 충분한 정비와 준수가 필요한 만큼 가이드북에는 별도로 구분해 제시하였다. 프라이버시 보호 대책은 일본 개인정보보호법 가이드북에 정해져 있는 조치 항목을 토대로 기본 방침 수립, 조직적‧인적‧물리적‧기술적 안전 조치를 통해 개인정보 유출을 방지하기 위한 최소한의 기준을 제시하고 있다. 본 기준의 중점적인 내용은 정보가 어떻게 수집‧활용‧제3자 제공되는지 투명성 있게 관리하고, 좋은 품질의 데이터를 수집하기 위한 방침을 평가한다. 또한, 이용 목적에 맞는 최소한의 데이터만 수집하고 정해진 목적을 달성하면 즉시 데이터를 파기하는 제한요소도 포함하고 있다. 프라이버시 보호 대책 또한 정보보안과 같이 최소한의 기준이기 때문에 추가적인 보호 대책이 필요하다.

네 번째로 거버넌스 체계는 ‘데이터는 개인이 성과를 누리고, 이를 통해 풍요로운 생활을 할 수 있도록 사용되어야 한다.’라는 기업 이념의 실현을 위해 필수로 구성해야 하는 거버넌스 체계에 대해 평가하고 있다. 특히 거버넌스 체계에서 중점적인 사항은 자문기구로서 ‘데이터윤리심사위원회(가칭)’를 마련하여 데이터 이용에 관한 계약이나 이용 방법, 정보제공기업 등에 대한 적정성을 심의하고 필요에 따라 조언할 수 있도록 필수로 구성하는 것을 기준으로 제시하고 있다. 이 외에도 개인이나 사업자로부터 상담 및 대응할 수 있는 상담창구를 마련했는지 평가한다.

다섯 번째로 사업 내용은 정보은행이 추진하는 사업 내용에 대해 정보은행을 통해 개인이 개인정보 자기결정권을 보장받을 수 있는지, 정보은행이 개인과 제3자인 정보제공기업 간 어떤 역할을 해야 하는지에 대한 의무사항을 종합적으로 평가한다.

      3.3 모델약관

모델약관이란 정보은행 이용자의 편익, 위임의 내용 등에 대하여 사업자와 이용자 간 계약에 대한 표준적인 내용을 나타내고 있다. 모델약관은 개인↔정보은행, 정보은행↔정보수집기업/정보제공기업 간 데이터에 대한 위임과 책임 관계를 명확히 정리하여 계약약관에 명시하게 되어 있다. 개인과 정보은행 간 약관의 경우 개인이 동의한 항목에 따라 개인정보를 포함한 데이터를 해당 개인의 이익을 도모하기 위해 관리 및 이용(제3자 제공)하는 정보은행 사업에 관해 규정하는지 검토한다. 정보은행과 정보수집기업 및 정보 제공기업 간 약관의 경우 제공되는 데이터 형식, 제공방법과 정보의 이용범위, 정보유출 등 사고 발생 시 신속한 통지, 정보제공 환경의 보안 요건 등에 대한 사항을 규정하는지 검토한다.

특히 정보은행을 운영하는데 감사와 자문역할을 하는 ‘데이터윤리심사위원회(이하 위원회)’는 정보은행 서비스 시 데이터 전문가, 보안 전문가, 법률 전문가, 데이터 윤리 전문가 등 외부인원을 포함해 필수로 구성해야 한다. 위원회는 정보은행이 정보수집기업과 정보제공기업 간 계약 시 또는 정보제공기업에 개인정보 제3자 제공 시 이에 대한 적정성을 심의하고, 정보은행의 필요에 따라 자문을 할 수 있는 구조로 이루어져 있다. 위원회가 감사역할과 자문역할을 함으로써 데이터가 더욱 투명하게 유통되고, 이용자는 안심하고 정보를 제공할 수 있는 신뢰 기반을 마련한다.

거래되는 정보 인정대상 여부

[출처: 정보신탁기능의 인정에 관한 지침 ver 1.0]

        3.4 인정 절차

정보은행 인정은 통상 인정과 P인정으로 구분된다. 처음에 추진한 인정제도에는 통상 인정만 있었으나, 시범 서비스를 제공하는 기업이 증가하면서 인정 신청 대상을 확대하고 신뢰 있는 시범 서비스를 제공 및 안전성 보장을 위해 P인정을 추가로 도입하였다. P인정의 P는 가능(Possible), 계획(Plan), 준비(preparation)를 뜻한다.

정보은행 인정 절차

[출처: 일본 IT 단체연맹]

P인정은 시범 서비스를 대상으로 인정서를 발급하기 때문에 갱신이나 재신청이 불가하여 인정기간인 2년 내 통상인정을 신청할 수 있도록 운영 기록을 정비해야 한다. 현재 IT단체연맹에서 제시하고 있는 인정 절차는 우선 P인정을 취득하여 시범 서비스를 제공하고, P인정의 유효기간인 2년 내에 통상인정 신청을 준비해 취득하는 것이다.

인증 절차 소요기간

[출처: 일본 IT 단체연맹]

P인정과 사전신청은 다른 개념이다. P인정은 정보은행의 시범 서비스를 검토하는 것이고, 사전신청은 통상인정의 한 부분으로 서비스에 대한 기초서류를 확인하고 어떻게 심사를 진행할 것인지 절차 및 심사비용을 안내하기 위해 사전에 검토하는 것이다.

통상인정과 P인정의 인정 절차는 비슷하므로 통상인정을 기본으로 설명하자면 다음과 같다. 신청기업은 본 신청 전 사전신청을 통해 1차로 서류를 제출하고, 인정기관은 제출한 서류를 통해 심사 계획서를 작성하여 심사 계획에 따른 인정신청 비용을 안내한다. 신청기업이 안내된 심사 계획서와 비용을 검토하여 본 신청을 하면, 인정기관은 심사 계획과 신청한 서비스 확인을 위해 킥 오프(Kick-off) 미팅을 진행한다. 킥 오프 미팅에서 추가로 요구한 서류들을 제출하고, 서류심사를 통과하면 ISMS나 기타 인증이 없을 경우 현지 심사까지 추가로 실시한다. 인정기관은 신청기업이 제출한 서류 등을 종합적으로 평가하여 인정 여부를 심사하고, 심사에 통과한 기업은 인정 취득에 따른 인정서와 인정마크를 부여받는다.

인증 취득 절차

[출처: 일본 IT 단체연맹]

본 신청부터 인정취득까지는 약 4개월 정도 소요되지만, 신청기업이 많거나 ISMS와 같은 보안 인증이 없으면 현지 심사를 진행해야 하므로 심사 기간과 비용은 더 늘어날 수 있다. 2019년 7월 현재 정보은행 인정 신청한 기업은 약 10곳이고, 컨설팅이나 상담을 하고 있는 기업까지 포함하면 약 20~30개 정도 되기 때문에 앞으로 인정을 취득하는 기업은 점차 늘어날 것이다.

      3.5 정보은행 인정 현황

2019년 6월 21일 최초로 정보은행 P인정을 받은 2개 기업이 발표되었다. 미츠이 스미토모 신탁은행은 개인의 위임에 따라 고객의 개인정보를 적정하게 관리하고, 데이터 활용 업체에 정보를 제공하여 그 이익을 고객에게 환원하는 ‘데이터 신탁 서비스’를 통해 P인정을 취득하였다.

데이터 신탁 서비스 예시

[출처: 일본 IT 단체연맹]

P인정을 받은 또 다른 그룹은 이온 그룹과 소니의 합작 회사인 펠리카 포켓 마케팅 주식회사이다. 펠리카 포켓은 ‘지역 진흥 플랫폼’을 통해 지역 활성화를 도모하고, 비접촉 IC기술로 정보가 제공된 점포에 마케팅 솔루션 등을 제공한다. 데이터를 제공한 대가는 지역 점포의 할인정보와 쿠폰, 포인트 등의 편익으로 개인에게 환원한다. 개인은 ‘지역 진흥 플랫폼’을 통해 본인의 정보가 어떻게 활용되고 어떤 정보를 보유하고 있는지 열람할 수 있고, 본인의 의사에 따라 데이터를 수정하거나 삭제할 수 있다.

지역 진흥 플랫폼

[출처: 일본 IT 단체연맹]

4. 결론

일본은 정보은행을 도입하여 개인정보 자기결정권 확립에 대한 환경을 조성하는데 의의를 두고 있다. 일본 정부의 정책 지원에 힘입어 정보은행에 대한 사회적 관심이 증가함에 따라 인정을 신청하는 기업도 증가하고 있고, 덴츠 그룹과 같이 대규모의 시범 서비스를 선보이는 기업도 많아지고 있다. 현재 원활한 정보은행 추진을 위해 데이터 구조를 표준화하는 연구를 진행하고 있으며, 데이터 구조가 표준화 된다면 정보은행↔정보은행, 정보은행↔정보제공기업·정보수집기업 간 데이터 이식성 및 이동성 확보를 기대할 수 있다. 그에 따라 개인정보 자기결정권 실현도 더욱 쉬워져 데이터 유통이 이전보다 활성화 될 것이라 기대한다.

국내도 데이터 유통‧활용 환경 조성을 위해 개인 동의 기반 Mydata 사업 등을 추진하고 있다. 이에 덧붙여 ‘한국형 정보은행’을 추진한다면 개인정보 보호체계 아래 안전하게 데이터를 활용할 수 있는 기반이 조성될 것이다.