PrivacyNews
전체개인정보보호법령·정책ISMS-P🔴 침해사고AIPET·신기술DR·재해복구💼 취업·진로칼럼관리자
속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

지방의회, '개인정보 보호' 명목으로 비식별 자료 제출 거부…과도한 정보 차단 논란

고양·과천·남양주·양평 등 지방의회가 비식별 처리된 개인정보조차 '개인정보 보호'를 이유로 제출을 거부해 논란이 일고 있다. ISMS-P 선임심사원은 과도한 정보 차단의 문제점을 지적했다.

백남정 기자
입력 2026년 6월 26일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/43a305

핵심 요약

- 고양·과천·남양주·양평 등 지방의회가 비식별 처리 가능한 자료까지 '개인정보 보호'를 이유로 제출 거부 - 고양시여성창업지원센터 관련 채용 공고 6차례 진행, 현재 센터장 포함 4명 근무 중 - 비식별 처리 후 제출 가능한 자료의 과도한 차단은 개인정보보호법의 취지를 벗어난 행위로 지적

주요 내용

2026년 6월 현재, 경기도 내 여러 지방의회가 '개인정보 보호'를 명분으로 비식별 처리된 자료조차 제출하지 않는 사례가 발생하고 있다. 고양시의회, 과천시의회, 남양주시의회, 양평군의회 등에서 주민등록번호 등 개인정보를 비식별 처리한 후에도 제출이 가능한 자료에 대해 상당 부분 제공을 거부한 것으로 확인됐다.

특히 고양시여성창업지원센터의 경우 관련 채용 공고가 6차례나 진행됐으며, 현재 센터장을 포함해 4명이 근무하고 있는 것으로 파악됐다. 그러나 해당 센터 운영과 관련된 자료 요청 시에도 개인정보 보호를 이유로 비식별 처리 가능 자료까지 제출이 거부되는 상황이 벌어졌다.

개인정보보호법은 가명처리 및 비식별 처리를 통해 개인을 식별할 수 없도록 한 정보의 활용을 허용하고 있다. 특히 통계 작성, 과학적 연구, 공익적 기록 보존 등의 목적으로는 정보주체의 동의 없이도 가명정보 처리가 가능하다. 그럼에도 일부 지방의회가 이를 과도하게 제한하는 것은 법의 취지를 오해한 것으로 볼 수 있다.

이러한 사례는 공공기관의 투명성과 책임성을 저해할 수 있다는 점에서 문제가 된다. 개인정보 보호와 정보 공개의 균형을 찾지 못하고 일방적으로 정보 차단에 나서는 것은 행정의 투명성 원칙에도 반하는 행위다.

전문가 시각

ISMS-P 인증심사 현장에서도 유사한 사례를 자주 목격한다. 일부 기관은 개인정보 보호를 지나치게 확대 해석하여 비식별 처리 후 활용 가능한 데이터까지 전면 차단하는 경향을 보인다. 이는 개인정보보호법 제28조의2가 명시한 가명정보 활용 제도의 취지를 몰각시키는 것이다. 특히 공공기관의 경우 「공공기관의 정보공개에 관한 법률」에 따른 정보 공개 의무와 개인정보 보호 의무 간 균형점을 찾아야 한다.

실무적으로 주민등록번호, 성명 등 직접 식별자를 삭제·대체·총계처리하면 충분히 제공 가능한 자료가 많다. 그러나 담당자들이 비식별 조치 방법을 제대로 이해하지 못하거나, 책임 회피 차원에서 무조건 제공을 거부하는 경우가 빈번하다. 이는 결국 행정의 신뢰를 떨어뜨리고, 정당한 감사·감독 활동을 저해하는 결과를 초래한다. 공공기관은 개인정보 보호 담당자에 대한 체계적인 교육을 통해 법령의 정확한 이해와 적용 능력을 높여야 할 것이다.

ISMS-P 심사원 체크포인트

1. 개인정보 제3자 제공 및 목적 외 이용 (ISMS-P 3.1.4) - 개인정보보호법 제18조(개인정보의 목적 외 이용·제공 제한) 제2항 각 호에 해당하는 경우 정보주체 동의 없이 제공 가능 - 특히 제7호 "공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우" 해당 여부 검토 필요 - 비식별 조치 후에는 개인정보에 해당하지 않으므로 제공 제한 대상이 아님을 인지해야 함

2. 가명정보 처리 (ISMS-P 3.1.8) - 개인정보보호법 제28조의2에 따른 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 정보주체 동의 없이 처리 가능 - 가명처리 적정성 검토: k-익명성, l-다양성 등 재식별 위험 평가 수행 여부 - 가명정보 처리 시 안전성 확보조치 및 결합 전문기관 활용 절차 준수 여부 확인

3. 정보공개 청구 대응 절차 (ISMS-P 2.9.2 법적 요구사항 준수) - 「공공기관의 정보공개에 관한 법률」 제9조 제1항 제6호의 비공개 대상정보 해당 여부를 구체적으로 검토했는지 점검 - 단순히 '개인정보 포함'을 이유로 전면 비공개하지 않고, 부분 공개(비식별 처리 후 제공) 가능성을 우선 검토했는지 확인 - 정보공개 거부 시 구체적 사유를 명시하고, 이의신청 절차를 안내했는지 심사

CPPG·ISMS-P 연계 포인트

가명정보와 익명정보의 구분 가명정보는 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리한 정보로, 개인정보보호법상 제한적으로 개인정보로 취급된다. 반면 익명정보는 더 이상 개인을 식별할 수 없어 개인정보보호법 적용 대상이 아니다. 실무에서는 k-익명성(동일 속성 레코드 k개 이상), l-다양성(민감속성 다양성 확보) 등의 기법을 활용해 재식별 위험을 평가한다.

목적 외 이용·제공의 예외 사유 개인정보보호법 제18조 제2항은 8가지 예외 사유를 규정하고 있으며, 특히 제4호(통계작성·학술연구), 제7호(공공기관의 소관업무 수행)가 실무에서 자주 적용된다. 다만 이 경우에도 최소한의 개인정보만 이용·제공해야 하며, 필요 시 가명·익명 처리를 우선 검토해야 한다. 정보공개 청구 대응 시 이러한 법리를 정확히 이해하고 적용하는 것이 CPPG·ISMS-P 시험의 핵심 출제 포인트다.

#ISMS-P#개인정보보호#비식별처리#지방의회#정보공개
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

ISMS-P 기사 더 보기 →
개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
PET·신기술

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화

2026년 6월 19일
[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리
인공지능

[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리

2026년 6월 3일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
취업·진로

공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”

2026년 6월 7일
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
개인정보보호

[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최

2026년 5월 22일