의료·통신 마이데이터 시행 발맞춰 ‘개인정보관리 전문기관’ 심사 개시

[아이티데일리] 마이데이터 제도가 의료·통신 분야에서 본격 시행되는 가운데 개인정보활용 자격이 부여되는 ‘개인정보관리 전문기관’ 지정 심사가 시작된다.

개인정보보호위원회와 한국인터넷진흥원(KISA)은 28일 서울 강남구 포스코타워 역삼에서 ‘개인정보관리 전문기관 지정 심사 설명회’를 열고 기관 지정 요건 및 표준 전송 절차 등에 대해 발표했다.

마이데이터는 국민이 자신의 개인정보를 원하는 곳에서 쉽고 안전하게 활용할 수 있도록 지원하는 제도로, 2020년부터 금융·공공 분야에서 먼저 적용됐다.

지난 2023년 3월에는 개인정보보호법 개정령을 통해 전 분야 마이데이터 적용이 가능한 법적 근거가 마련됐으며, 이를 바탕으로 지난 13일부터는 의료, 통신 분야에서 우선 시행됐다. 내년 6월 에너지 분야가 추가되며 향후 교통, 교육, 고용 등 총 10개 주요 분야를 거쳐 전 산업으로 확대될 예정이다.

개인정보관리 전문기관은 마이데이터를 통해 개인정보를 받아 맞춤형 서비스, 분석 등에 활용하거나 다른 기업 및 기관으로의 전송 중계를 담당하는 기관이다. 정보를 안전히 관리할 수 있는 기술기준 및 전문성, 안전성 확보 조치 수준, 재정 능력을 갖춰야 지정 심사를 통과할 수 있다.

개인정보관리 전문기관은 △일반전문기관 △특수전문기관 △중계전문기관으로 나뉜다. 일반전문기관은 통합 조회, 맞춤형 서비스, 연구, 교육 목적으로 개인정보를 관리·분석할 수 있다. 단, 보건의료전송정보는 제외된다. 특수전문기관은 일반전문기관과 유사하나 보건의료전송정보를 주로 다룬다는 점에서 다르다.

중계전문기관은 개인정보 전송 중계에 필요한 기능을 제공하고 관련 시스템을 운영하는 기관이다. 세 가지 개인정보관리 전문기관에 속하지 않은 기관은 일반수신자로 분류되며 정보 진위 여부를 확인하는 업무만 수행할 수 있다.

개인정보관리 전문기관으로 지정되기 위해선 보호법 제29조에 따른 안전 조치 의무를 이행하기 위한 요건을 갖춰야 한다. 구체적으로는 △접근권한 관리 △암호화 △접속기록 보관 △악성프로그램 방지 △물리적 안전조치 등 여러 보호 체계 요소에 걸쳐 세부 기준을 준수해야 한다.

특수전문기관은 이에 더해 신속한 유출·해킹 대응을 위한 모니터링 체계와 관리용 단말기에 대한 인터넷망 차단 조치가 필요하다. 중계전문기관은 가용성·연속성 보장을 위한 중계 관련 시스템 이중화 구성과 재해·재난 발생 시에 대비한 백업 및 복구 체계가 요구된다.

개인정보위는 개인정보 전송지원 플랫폼을 통해 전문기관 지정 심사 절차를 안내하고 있다. 지정 심사는 △본지정 신청 △지정권자 결정 △서류·현장 심사 △지정 및 공고 순으로 이뤄지며 준비 정도에 따라 3개월에서 5개월 정도 소요된다.

아울러 개인정보위는 전문기관 지정 준비에 대한 이해를 돕고자 지난 26일 기관 홈페이지를 통해 전문기관 지정 안내서를 배포했다. 안내서는 일반전문기관, 중계전문기관, 특수전문기관, 일반수신자 등 4종으로 이뤄졌다.

개인정보위 하승철 범정부마이데이터추진단장은 “마이데이터 제도로 국민은 맞춤형 서비스를 누릴 수 있게 된다. 이를 위해서는 프라이버시 보호와 신뢰 확보가 먼저 뒷받침돼야 한다”며 “서비스 운영에 필요한 데이터는 최소한으로 확보하고 안전한 전송과 보관을 위해 보호 체계를 갖춰야 한다”고 강조했다.

이어 하승철 단장은 “정부는 앞으로 의료·통신 분야를 시작으로 마이데이터가 국민 일상에 빠르게 안착할 수 있도록 모든 역량을 집중하겠다”고 덧붙였다.