최장혁 개인정보보호위원회 부위원장. 연합뉴스 개인정보보호위원회는 개인정보 보호법상 가명정보 처리 특례 규정을 위반한 대한적십자사와 국립중앙도서관에 대해 시정명령과 함께 640만원의 과태료를 부과했다고 25일 밝혔다.
국립중앙도서관에 540만원, 대한적십자사에 100만원의 과태료가 부과됐다.
가명정보는 처리 특례에 따라 안전조치 의무 준수, 처리 내역 작성·보관, 추가정보와 분리 보관, 재식별 금지, 결합전문기관에 의한 가명정보 결합 등의 의무가 부과된다.
개인정보보호위원회에 따르면 그러나 대한적십자사는 헌혈참여 확산 등을 위한 연구와 관련해 가명정보 약 176만 건을 생성해 타 기관에 전송했지만 가명정보의 처리내역을 작성·보관하지 않았고 가명정보를 타 기관에 제공하면서 정상적인 결재 절차를 거치지 않은 것으로 조사됐다.
국립중앙도서관은 빅데이터 통계 분석 등을 목적으로 '도서관 빅데이터 사업'과 '도서추천시스템'을 운영하면서 1490여개 참여 도서관으로부터 출생연도, 우편 번호, 성별 등 특정 개인이 식별되지 않는 도서 대출데이터를 제공받고 있다.
개인정보위는 국립중앙도서관이 운영하는 솔로몬 관리자페이지에 접속할 때 안전한 접속 또는 인증수단이 적용되지 않았고, 접속기록 중 일부가 누락됐으며 가명정보 처리 내역이 작성·보관되고 있지 않은 사실을 확인했다고 밝혔다.
개인정보위는 '도서관 빅데이터 사업'을 담당하는 국립중앙도서관 직원만 접속할 수 있는 가명정보는 AI·데이터 경제시대에 매우 유용하지만 원본정보 등 추가정보와 결합되면 개인이 특정될 우려가 있다며 추가정보와 분리 보관하거나 처리대장 작성·보관 등 안전조치 의무를 준수하는 것이 반드시 필요하다고 당부했다.