「個人の身元割れる恐れも」
31日、政府が発表したデータ産業関連の個人情報保護規制緩和方針の主な内容は、「仮名情報」概念の新設や個人情報主体の同意のない仮名情報の活用、仮名情報データ間の結合を認めることだ。政府は仮名情報活用の活性化とデータ結合を通じて、人工知能(AI)をはじめとする産業が発展し、社会的便益が大きくなると主張するが、市民社会団体は個人情報保護のための適切な装置も設けないまま、企業らの活用範囲を広げたと指摘する。
■「産業界の主張」反映された規制緩和
仮名情報とは、個人を識別できる名前や住民登録番号、電話番号などを識別できないように処理し、追加情報(暗号化論理など)なしには個人を特定できないようにした情報を指す。たとえば、病院が持っている名前や住民番号、年齢、性別、診療科、病名、処置の使用内容などのデータのうち、名前や住民番号などを「代替番号」などに変えた後のデータが仮名情報だ。このような仮名情報は個人を特定できないため、個人情報処理者(機関・企業)が個人情報主体(顧客)の同意なしでも、当初個人情報を収集した目的とは違う用途に“活用”できる。
政府「商業目的の活用の道を開くべき」
新薬開発など社会的便益が増大し
事後同意がない場合は情報を削除
個人情報の流出は厳しく処罰
政府はこの仮名情報の活用範囲を、市場調査など商業的目的を含めた統計の作成▽産業的研究を含めた研究▽公益的記録の保存目的と定めた。今年4月、第4次産業革命委員会の主催で政府や市民社会、産業界が参加したハッカソン(hackathon)で、3者は欧州連合のEU一般データ保護規則(GDPR)に規定された内容を基に、公益的記録の保存▽学術研究▽統計の目的で使用するが、学術研究には産業的研究、統計には商業的目的が含まれるというところまでは合意した。しかし、市民社会団体は企業が活用する場合でも、それが「公益的目的」の学術研究でなければならないと強調した。ところが、政府の発表内容をみてみると、産業界の意見をさらに受け入れ、「学術」を除いて「市場調査」を加えたものとみられる。
■社会的便益とプライバシー侵害の恐れ、どちらが大きいか
政府は仮名情報の活用が社会的便益を高めると主張する。病院で収集された患者たちの仮名情報を新薬の開発に使用したり、各金融会社に散らばっている信用情報を集めて低い金利の融資商品を作ることもできる。音声情報も仮名処理して人工知能プラットフォームの学習用データとして使用できる。科学技術情報通信部の関係者は「企業が厳しい規制のため、多くの事業モデルを作ることができなかっただけで、仮名情報を活用した多様なサービスが可能になるだろう」と話した。同日、文在寅(ムン・ジェイン)大統領はデータ経済関連の技術開発を支援して専門マンパワーの5万人とデータに強い小企業(スモール・ジャイアンツ)100社を育成し、データ産業に来年だけで1兆ウォンを投資する計画だと発表した。
しかし、規制が緩和されれば、これまで形式的ながらも履行されたきた「同意」手続きがなくなり、自分の仮名情報がどのように活用されるか全く知ることができないプライバシー侵害の恐れもある。現在韓国では医療ビッグデータ会社が患者4400万人の処方箋を住民登録番号を暗号化した後、薬局の処方箋管理プログラム会社から患者の同意なしに買い入れ、製薬会社などに転売した疑いで刑事裁判にかけられている。政府の方針通りに個人情報保護法が改正された場合、このような事業モデルが「安全な仮名情報処理」と「研究・市場調査目的」なら可能になる。
特に今回の規制緩和が病院や保険会社、通信会社、銀行など他の種類のデータ間の結合も認めているうえ、技術の発達によりウェアラブル機器(身に付ける電子機器)などで内密な情報が多く生産されるため、プライバシーに密接した資料が企業に蓄積される可能性も高い。市民団体は仮名情報の活用の事実が個人に十分に告知されるべきだと主張するが、行政安全部の関係者は「事前告知の義務化は今のように使用できなくするということ」だとし、「個人が事後に仮名情報の提供事実を認知し、このような情報活用に同意しない場合は、個人情報を削除できるようにするなどの補完装置を法に明示する」と明らかにした。
市民団体「公益目的に限定すべき」
診療記録などプライバシー侵害の恐れも
データ結合の場合は個人の識別容易になる
監督体系が一元化されず、規制力が弱体化
■保護対策は「処罰強化」だけ
政府は、個人情報流出・侵害は「強力な処罰」で制裁するという方針だ。仮名情報の利用過程で、特定個人を特定できるようになった場合、処理を中止し、データを削除するように義務化する一方、故意的に個人を特定した場合は刑事処罰と課徴金を賦課する方向で立法を推進する計画だ。
これまで個人情報保護に関する法律と規制機関が個人情報保護法(行政安全部、個人情報保護委員会)、情報通信網法(放送通信委員会)、信用情報法(金融委員会)などに分散されており、法律ごとに重複・類似規定が乱立しているため、市民社会団体はもちろん、企業も規制・監督体系の一元化を主張してきたが、政府は個人情報保護委員会の地位を強化すると言及しただけで、具体的な内容は提示しなかった。主に情報技術(IT)企業を代理してきたク・テオン弁護士(テク&ロー法律事務所)は「省庁間に乱立した個人情報保護法令の統合、ガバナンスの整理が急がれるが、(今回の政府発表で)それは抜け落ちている」と話した。
訳H.J
