개인데이터는 어떻게 분류할 수 있을까요?

개인데이터의 속성과 결합

개인데이터는 식별자와 속성자로 분류할 수 있으며, 직접 식별 가능한 식별자 다른 정보와
결합 시 직접 식별자를 찾을 수 있는 준식별자. 다른 정보와 결합하여 간접적으로
식별할 수 있는 속성자로 분류할 수 있습니다.

식별자는 이름, 연락처, 이메일주소. 준식별자는 나이, 집 주소, 혈액형으로 분류 되는데요.
상황에 따라서 ‘준식별자’ 를 ‘속성자’ 라고도 합니다.

개인 데이터 분류 (식별자와 준 식별자 분류)

식별자 제거 예시

개인데이터 처리에서 가장 기본은 식별자를 제거하는 것입니다. 식별자를 제거하면
개인데이터에 대해 “비식별처리를 했다” 라고 할수 있는데요. 비식별처리의 적절성과
유용성에는 차이가 있습니다.

원본 의료 데이터 (아래 표 참고)

식별자가 제거된 의료 데이터 (아래 표 참고)

나의 이름과 성별, 나이, 우편번호, 질병을 알고 있다면 나에 대해 모든 것을
알고 있다는 이야기입니다.

만약 위의 정보 중에서 이름을 뺀다면 어떻게 될까요? 같은 지역에 같은 성별, 나이, 질병을
갖고 있는 사람으로 넓혀집니다.

개인으로 특정하기에는 넓은 범위가 되는 겁니다.

💡 이것을 “개인데이터를 비식별처리를 했다” 라고 할 수 있습니다.

하지만 비식별처리를 했다고 해서 그 데이터가 유용한 지는 알 수 없습니다.

대부분 개인데이터는 준식별자로 결합

개인데이터로 보았을 때 차량은 누가 이용한지 알수 없기에 준식별자에 속합니다.
한국도로공사와 지방자치단체의 OBU(On Board Unit. 차량 탑재 장치로 차량을 식별함. e.g. 하이패스단말기) ID를 기반으로 조회한다면 사용자가 어떤 방향으로
어떻게 이동했는지 알 수 있습니다.

그렇기에 개인데이터를 비식별처리를 할 때에는 준식별자로 대부분 결합을 합니다.
식별자가 포함될 경우 식별 확률이 높아지기 때문입니다.

일반적으로 많이 사용하는 준식별자는 IMEI(International Mobile Equipment Identity)로 국제모바일기기 식별코드입니다. 휴대전화마다 부여되는 고유번호 15자리의 숫자인데요. 개인정보 유출에 관한 판례가 있어 우리나라에서는 사용을 지향하고 있으며,
중국에서는 사용을 금지하고 있습니다.

결합의 대상이 되는 준식별자

IMEI 대체로 이용하고 있는 AD ID는 Advertising ID, 광고 ID, 광고 유저 식별자라고도
합니다. Google은 하나의 ID에 하나의 AD ID가 생성되지만 사용자가 원하면
언제든 변경 가능하다고 말하고 있습니다.

하지만 AD ID를 변경하는 사용자는 일부이며, 여러 서비스가 결합되어 나타날 때
개인 정보 유출의 가능성 역시 높아집니다.

AD ID를 통해결합될 경우 개인정보 유출 위험이 높아질 수 있습니다. Android, IOS
모두 AD ID 기반을 결합된 개인데이터를 이용하여 프로파일링을 사용하고 있습니다.

속성자 데이터

식별자 준식별자를 제외한 나머지를 속성자라고 할 수 있습니다. 개인데이터를 판단할 때 속성자라고 할 수 있습니다. 개인데이터를 판단할 때 속성자로 개인 식별은 어렵습니다.

속성자 데이터 예시

서비스의 결합

속성자와 준식별자가 같이 있다면 다른 속성자와 준식별자가 있는 테이블을 결합하여
서비스가 결합 했다고 볼 수 있습니다.

예를 들어 속성자 a와 준식별자 b의 결합으로 이루어진 금융 기반의 데이터A와 속성자c와
준식별자d의 결합으로 이루어진 비금융 기반의 데이터B가 결합하여 새로운 서비스를
제시할 수 있습니다.

지금까지 개인데이터 속성 및 결합에 대해 알아보았습니다.
지금까지 읽어주셔서 감사합니다. 🫡