[개인정보보호위원회] 가명정보 처리 가이드라인(2026)

1. 개요

최근 AI 및 클라우드 기술의 확산으로 데이터 활용 수요가 급증하고 있습니다. 이에 따라 2020년 '데이터 3법' 시행으로 정보주체의 동의 없이도 가명처리를 통해 데이터를 2차적으로 활용할 수 있는 법적 근거가 마련되었습니다.

본 가이드라인은 특히 2026년 3월 개정을 통해 실무자의 편의성을 극대화했습니다.

독자 맞춤형 분리: 제도 안내(본권)와 처리 실무(별권)로 이원화
위험도 기반 차등화: 위험도(저/중/고)에 따라 절차와 서류를 간소화
비정형 데이터 기준 마련: 영상, 이미지, 음성 등 AI 학습에 필수적인 데이터 처리 기준 강화

2. 가명정보 제도의 핵심 이해

2-1. 데이터의 3단계 구분

데이터는 식별 가능성에 따라 크게 세 가지로 분류되며, 각기 다른 법적 적용을 받습니다.

구분	정의	법적 적용
개인정보	특정 개인을 알아볼 수 있는 정보	개인정보 보호법 전면 적용
가명정보	추가 정보 없이는 식별할 수 없게 처리한 정보	보호법 적용 (일부 특례)
익명정보	더 이상 개인을 알아볼 수 없는 정보	보호법 적용 제외

2-2. 가명정보 활용이 가능한 3대 목적

가명정보는 오직 아래의 목적으로만 정보주체 동의 없이 처리가 가능합니다.

통계작성: 시장조사, 상업적 목적의 통계 포함
과학적 연구: 기술 개발/실증, 기초/응용/산업적 연구 (AI 학습 포함)
공익적 기록보존: 공공의 이익을 위한 역사적 사료 보존 등

주의사항: 가명정보 특례는 이미 수집된 정보를 '활용'하는 근거이지, 새로운 정보를 '수집'하는 근거가 될 수 없습니다.

3. 실무자를 위한 가명처리 5단계 프로세스

가명처리는 단순히 정보를 가리는 기술적 행위가 아닌, '목적 설정 - 검토 - 관리'의 전 과정을 의미합니다.

1단계: 사전준비

목적 구체화: "AI 연구"가 아닌 "OO 서비스 성능 개선을 위한 패턴 분석"과 같이 구체적으로 설정합니다.
기간 설정: 당초 개인정보 보유기간과 무관하게 연구에 필요한 기간만큼 별도로 정할 수 있습니다.

2단계: 위험성 검토 (R-A)

활용 주체와 환경에 따라 위험도를 산정합니다.

저위험: 기관 내부에서 직접 활용하는 경우
중위험: 제3자에게 제공하되, 제공기관이 통제하는 환경(분석실 등)에서 처리하는 경우
고위험: 제3자의 자체 환경에서 처리되어 통제가 불가능한 경우

3단계: 가명처리

위험도가 높을수록 범주화(예: 32세 → 30대)나 삭제 수준을 높입니다.
특이정보(Outlier): AI 성능에 필수적인 특이정보는 무조건 삭제하기보다 환경적 안전조치를 강화하여 활용할 것을 권장합니다.

4단계: 적정성 검토

위험도에 따라 검토 방식을 차등 적용하여 실무 부담을 줄였습니다.

위험도	검토 방식	권장 구성
저위험	담당자 검토	내부 실무자 1인
중위험	내부 심의	내부 인력 2인 이상
고위험	적정성 검토위원회	외부 전문가 포함 3인 이상

5단계: 안전한 관리

추가정보(매핑테이블 등)는 반드시 별도 분리 보관해야 합니다.
재식별 시도 금지: 고의적인 재식별 시도는 엄격히 금지되며, 사고 발생 시 즉시 처리를 중단하고 파기해야 합니다.

4. 비정형 데이터(이미지·영상·음성) 처리 특화 기준

비정형 데이터는 가명처리 기술이 불완전하므로 '추가 검수'가 필수적입니다.

가명처리 방법: 연구 목적에 불필요한 얼굴, 차량번호판 등은 마스킹이나 블러링 처리를 수행합니다.
추가 검수 방식:
- 전수 검수: 민감도가 매우 높은 경우 권장
- 표본 검수: 데이터 규모가 방대한 경우 통계적/휴리스틱 기법으로 수행

출처: 개인정보보호위원회,「가명정보 처리 가이드라인」 2026.03.

1. 개요

본 가이드라인은 특히 2026년 3월 개정을 통해 실무자의 편의성을 극대화했습니다.

독자 맞춤형 분리: 제도 안내(본권)와 처리 실무(별권)로 이원화
위험도 기반 차등화: 위험도(저/중/고)에 따라 절차와 서류를 간소화
비정형 데이터 기준 마련: 영상, 이미지, 음성 등 AI 학습에 필수적인 데이터 처리 기준 강화

2. 가명정보 제도의 핵심 이해

2-1. 데이터의 3단계 구분

데이터는 식별 가능성에 따라 크게 세 가지로 분류되며, 각기 다른 법적 적용을 받습니다.

구분	정의	법적 적용
개인정보	특정 개인을 알아볼 수 있는 정보	개인정보 보호법 전면 적용
가명정보	추가 정보 없이는 식별할 수 없게 처리한 정보	보호법 적용 (일부 특례)
익명정보	더 이상 개인을 알아볼 수 없는 정보	보호법 적용 제외

2-2. 가명정보 활용이 가능한 3대 목적

가명정보는 오직 아래의 목적으로만 정보주체 동의 없이 처리가 가능합니다.

통계작성: 시장조사, 상업적 목적의 통계 포함
과학적 연구: 기술 개발/실증, 기초/응용/산업적 연구 (AI 학습 포함)
공익적 기록보존: 공공의 이익을 위한 역사적 사료 보존 등

주의사항: 가명정보 특례는 이미 수집된 정보를 '활용'하는 근거이지, 새로운 정보를 '수집'하는 근거가 될 수 없습니다.

3. 실무자를 위한 가명처리 5단계 프로세스

가명처리는 단순히 정보를 가리는 기술적 행위가 아닌, '목적 설정 - 검토 - 관리'의 전 과정을 의미합니다.

1단계: 사전준비

목적 구체화: "AI 연구"가 아닌 "OO 서비스 성능 개선을 위한 패턴 분석"과 같이 구체적으로 설정합니다.
기간 설정: 당초 개인정보 보유기간과 무관하게 연구에 필요한 기간만큼 별도로 정할 수 있습니다.

2단계: 위험성 검토 (R-A)

활용 주체와 환경에 따라 위험도를 산정합니다.

저위험: 기관 내부에서 직접 활용하는 경우
중위험: 제3자에게 제공하되, 제공기관이 통제하는 환경(분석실 등)에서 처리하는 경우
고위험: 제3자의 자체 환경에서 처리되어 통제가 불가능한 경우

3단계: 가명처리

위험도가 높을수록 범주화(예: 32세 → 30대)나 삭제 수준을 높입니다.
특이정보(Outlier): AI 성능에 필수적인 특이정보는 무조건 삭제하기보다 환경적 안전조치를 강화하여 활용할 것을 권장합니다.

4단계: 적정성 검토

위험도에 따라 검토 방식을 차등 적용하여 실무 부담을 줄였습니다.

위험도	검토 방식	권장 구성
저위험	담당자 검토	내부 실무자 1인
중위험	내부 심의	내부 인력 2인 이상
고위험	적정성 검토위원회	외부 전문가 포함 3인 이상

5단계: 안전한 관리

추가정보(매핑테이블 등)는 반드시 별도 분리 보관해야 합니다.
재식별 시도 금지: 고의적인 재식별 시도는 엄격히 금지되며, 사고 발생 시 즉시 처리를 중단하고 파기해야 합니다.

4. 비정형 데이터(이미지·영상·음성) 처리 특화 기준

비정형 데이터는 가명처리 기술이 불완전하므로 '추가 검수'가 필수적입니다.

가명처리 방법: 연구 목적에 불필요한 얼굴, 차량번호판 등은 마스킹이나 블러링 처리를 수행합니다.
추가 검수 방식:
- 전수 검수: 민감도가 매우 높은 경우 권장
- 표본 검수: 데이터 규모가 방대한 경우 통계적/휴리스틱 기법으로 수행

출처: 개인정보보호위원회,「가명정보 처리 가이드라인」 2026.03.

[개인정보보호위원회] 가명정보 처리 가이드라인(2026)

1. 개요

2. 가명정보 제도의 핵심 이해

2-1. 데이터의 3단계 구분

2-2. 가명정보 활용이 가능한 3대 목적

3. 실무자를 위한 가명처리 5단계 프로세스

1단계: 사전준비

2단계: 위험성 검토 (R-A)

3단계: 가명처리

4단계: 적정성 검토

5단계: 안전한 관리

4. 비정형 데이터(이미지·영상·음성) 처리 특화 기준

첨부파일

태그

[개인정보보호위원회] 가명정보 처리 가이드라인(2026)

1. 개요

2. 가명정보 제도의 핵심 이해

2-1. 데이터의 3단계 구분

2-2. 가명정보 활용이 가능한 3대 목적

3. 실무자를 위한 가명처리 5단계 프로세스

1단계: 사전준비

2단계: 위험성 검토 (R-A)

3단계: 가명처리

4단계: 적정성 검토

5단계: 안전한 관리

4. 비정형 데이터(이미지·영상·음성) 처리 특화 기준

첨부파일

태그