안녕하세요, 베리입니다. 2020년 가장 여러분들의 영향에 준 법제 개선이 무엇이었나요?
저는 국내 정보보호 담당자들에게 가장 큰 영향을 준 사건은 ‘데이터 3법 개정'과 ‘마이데이터' 산업의 출범이라고 생각합니다. 데이터3법이 개정되므로, 금융분야 마이데이터 사업을 하기 위해서는 금융위원회로 허가권을 획득해야 합니다.
오늘은 우리보다 앞서 개인정보 유통산업을 하고 있는 일본의 데이터 유통에 대해 알아보겠습니다.
마이데이터가 무엇인지 잘 모르는 분들은 이 포스팅을 먼저 읽는 것을 추천드립니다. https://berrycompliance.blogspot.com/2020/09/blog-post_27.html
2016년 일본은 개인정보의 주인이 개인이 자신의 개인정보를 스스로 관리할 수 없는 데이터 생태계를 데이터의 주인인 개인이 통제하고 관리할 수 있도록 새로운 데이터 유통 환경을 조성했습니다. 그 방안으로 1. 데이터 거래시장, 2. PDS(Personal Data Store) 그리고 3. 정보은행(정보이용신용은행)를 제시했습니다.
[개인정보 유통방식]
1. 데이터 거래시장
정부에서 데이터 거래시장을 조성하고 자유적으로 정보 보유자와 정보 이용자를 중개하고 대가를 받는 구조, 주로 익명처리데이터에 해당됨
2. PDS(Personal Data Store)
- PDS는 여러 기업이 보유한 데이터를 통합적으로 수집하는 시스템
- 정보주체가 산발적으로 흩어져있는 데이터를 관리하기 어려워, 이를 보완하고자 정보은행이 도입됨
3. 정보은행(정보이용신용은행)
- 정보은행이 개인정보 활용에 대한 계약을 체결하여 PDS 시스템으로 정보를 관리하고 제3의 사업자에게 제공하는 기관인 정보은행을 활용
- 제3의 사업자에 대한 정보제공의 최종 판단은 정보은행이 자체적으로 결정하며, 이 과정에서 정보은행은 정보 제공의 대가 중에서 일부를 수수료로 받는 수익구조를 확보
<데이터 유통 구조도, 출처: Mitsui&Co>
일본의 데이터 유통방식 중 "정보은행"에 대해 자세히 알아보겠습니다.
[정보은행 주요 내용]
개인과 데이터 활용 계약 등을 체결한 후 PDS 시스템을 통해 개인정보를 관리하고, 개인의 위임에 따라 개인 대신 정보제공에 대한 타당성을 판단하여 제3자에게 정보를 제공합니다. 정보를 제공받은 기업('정보제공기업')은 비즈니스에 활용하여 이익을 얻을 수 있고, 수익의 일부를 금전 혹은 다른 편익으로 개인에게 환원합니다. 정보은행을 통해 개인은 경제적인 이익을 얻을 수 있고, 기업도 사업 추진에 필요한 정보를 확보함으로써 정보은행의 유통구조가 데이터 활성화에 많은 기여를 합니다.
[정보은행에서 활용 가능한 정보 대상 (인정 대상)]
다음 세 가지에 해당하는 경우 정보은행은 데이터 주체로부터 데이터 관리를 위임받을 수 있습니다.
1. 정보제공 동의 방법
사업자가 개인이 사전에 동의한 항목에 따라 개인 대신 정보제공의 타당성을 고려해 제3자에게 정보 제공한 경우(아래 그림 ①) 그리고 정보은행 사업자가 개인에게 제안하여 개인이 정보제공의 동의한 경우(아래 그림 ②-1)에는 정보제공 대상에 포함됩니다.
하지만 개인이 제3자 제공 여부를 자체적으로 판단하는 서비스(그림 ②-2)는 PDS 성향이 강해 인정 대상에 포함되지 않습니다.
<일본 정보은행 인정 제도(KISA)>
2. 거래되는 데이터 종류
거래되는 정보는 질병명, 신용카드번호, 계좌번호와 같은 민감 정보를 제외한 개인정보 수집·처리를 기본으로 하고, 통계데이터와 익명가공정보를 처리할 경우에는 인정 대상에 포함됩니다. 하지만 통계데이터 또는 익명 가공정보만 처리하는 서비스는 인정 대상에 포함하지 않습니다.
<일본 정보은행 인정 제도(KISA)>
3. 개인정보 수집 방법
서비스 제공자가 새롭게 수집한 데이터를 처리하거나 이미 보유하고 있는 데이터를 처리하는 서비스로 모두 인정 대상에 포함됩니다.
<일본 정보은행 인정 제도(KISA)>
[일본 정보은행 사례소개]
일본 미즈노 은행(Mizuho Bank)는 "J.Score"를 설립하여 자체신용평가시스템인 “AI Score Lending” 시스템을 2017년 9월 출시했습니다.
2018년 10월에는 "AI Score Reward"를 출시하여 신용평가에 활용된 다양한 정보를 활용하여 외부 제휴업체를 통해 리워드 프로그램과 연계했습니다. J.Score는 AI 점수를 기반으로 한 리워드 전용 점수에 따라 소비자에게 제휴 기업에서 다양한 리워드를 제공합니다.
<리워드 보상 흐름, PRTIMES>
정보은행 어떤 산업인지 이해가 가시나요?
정보은행 제도는 데이터 유통 활성화를 통해 개인정보의 활용에 따른 이익을 개인에게 환원해서 개인의 권리와 이익을 준다는데 의미가 있습니다. 정보주체의 개인정보를 보호하기 위해 정부는 제도와 인증을 마련하고 정보은행이 적법한 절차를 통해 개인정보를 판매하고 그 이익을 개인에게 전달하는 지에 대해 정부차원의 감시가 필요합니다. 정보은행은 정보주체의 ‘신뢰성'에 기반한 산업으로 개인정보 유출사고나 침해사건이 정보은행 산업의 존폐에 영향을 미칠 수 있습니다.
-----
[1] Data Trading Business in Pioneering Phase(Mitsui&Co, 2018.02.16)
https://www.mitsui.com/mgssi/en/report/detail/1226315_10744.html
[2] 일본 정보은행 인정 제도(KISA)
https://www.kisa.or.kr/synap/doc.html?fn=201907311811088302.pdf&rs=/synapfile/
[3] 일본의 정보은행 도입과 시사점(하나금융그룹)
http://www.hanaif.re.kr/kor/jsp/board/board.jsp?sa=ci&bid=92&pg=1&no=33911
[4] J.Scoreの「AIスコア・リワード」新規リワード(特典)さらに追加し29社に
https://prtimes.jp/main/html/rd/p/000000023.000027452.html