일본산업뉴스요약

정보은행, 데이터 보호가 핵심
올해부터 본격적인 서비스 개시

개인 데이터를 보관해 민간 기업 등에 제공하는 ‘정보은행’이 올해부터 본격적인 서비스를 개시한다. 일정 규범을 기반으로 산업계가 손쉽게 데이터를 이용할 수 있도록 하는 등, 데이터 경제 사회를 지원한다. 이미 일부에서는 실증 실험도 시작되고 있다. 데이터를 개인으로부터 위탁 받는 ‘입구’와 제3자에게 제공하는 ‘출구’의 신뢰성 향상이 서비스 보급의 핵심이 될 것으로 보인다.

-- 취득과 제공, 안전성이 중요 --
대일본인쇄(大日本印刷)와 JTB가 2월 말까지 정보 은행 서비스 ‘오이데(oide)’의 실증 실험에서는 스마트폰 앱에 자신의 프로필을 등록해두면 도쿄 우에노(上野) 근방의 맛집이나 관광 이벤트가 표시된다. 실증 실험에는 서비스업 등 약 100개 사가 참여했고 약 1,000명이 데이터를 등록했다.

-- 데이터 활용 쉬워져 --
오이데는 여행자의 연령과 성별 등의 데이터가 시스템에 등록되어 있어 서비스업 등의 사업자가 데이터를 쉽게 활용할 수 있다. 데이터에는 여행자의 취미와 행동 패턴 등도 포함되어 있어 사업자가 적절한 타이밍에 정보를 제공할 수 있다는 것이 이점이다. 여행자는 최신 정보를 입수하기 쉬워지고 일부 사업자로부터 특별 관람 등의 서비스도 얻을 수 있다.

정보은행이란 개인의 데이터를 모아 제 3자에게 제공하는 사업자를 말한다. 계약을 바탕으로 데이터를 수집∙관리. 개인의 지시와 사전에 정해진 조건에 따라 개인을 대신해 데이터를 제공한다.

일본에서는 업계 단체, 일본IT단체연맹(도쿄)이 일정 조건에 부합하는 정보 은행을 인정하는 제도를 구축한다. 2018년 10월에 열린 설명회에는 약 200개 사가 출석했다. 인증을 받을 수 있을지는 아직 불투명하지만, 올 3월 하순에는 최초의 인증 사례가 나올 전망이다.

일본IT단체연맹 정보은행인정분과(情報銀行認定分科)의 사키무라(崎村) 회장은 “데이터를 제공하는 정보은행에 대한 개인의 신뢰가 가장 중요하다”라고 강조한다. 후쿠오카(福岡) 변호사는 “정보은행은 데이터의 이용 목적을 명시하고 계약을 통해 정보를 보호하는 것을 대전제로 해야 한다”고 지적한다. 개인정보보호법에서는 기업 등이 취득한 개인정보를 제3자에게 제공하는 경우 원칙적으로 본인의 동의가 요구된다.

대일본인쇄 등의 실증 실험에서는 “(운영 기업이) 개인정보보호법에 규정된 의무 및 이용 규약을 준수해야 한다”라는 조건을 제시, 이용자에게 “(제3자 제공을 포함한) 개인 정보를 관리∙이용하는 업무를 위임한다” 등이 명기된 이용 규약에 동의를 받았다.

그 다음 이용자가 제공하는 데이터 항목과 제공처를 설정. 운영 측이 우선 대략적인 설정 패턴을 여러 개 준비하고 그것을 바탕으로 선택하도록 했다. 제공처를 구체적으로 선택하는 것이 아닌 ‘음식’, ‘쇼핑’ 등 9가지 장르로 설정하는 것도 가능하게 했다.

미쓰비시UFJ신탁은행이 2018년 11월에 실시한 실증 실험에는 개인정보를 활용하는 서비스 일람표를 마련. 이용자가 서비스를 선택해 개인정보를 제공할지 여부를 판단하도록 했다.

-- 정보 유출에도 책임 --
제3자에게 제공하는 ‘출구’의 안전성 관리도 큰 문제이다. 정보은행은 제공처의 데이터 관리 방법에 대해서도 책임이 있다. 가령 제공처에서 정보 유출 등이 발생할 경우, 대응 책임은 정보은행이 진다.

일본IT단체연맹의 기준에서는 정보를 제공 받는 기업에게도 정보은행과 같은 수준의 보안 체제가 요구된다. 제공처에 기업의 정보 관리 체제가 적절하다고 인증하는 ‘프라이버시 마크’와 국제적 기업들이 도입하고 있는 정보 보안 국제 규격인 ‘ISMS’ 등의 취득이 요구된다.

일부에서는 “이러한 기준으로는 정보 제공처가 한정될 수 밖에 없다” 등의 의견도 있지만, 노무라(野村)종합연구소의 아소(安增) 그룹매니저는 “정보 유출 등이 발생할 경우 정보은행 전체에 대한 신뢰가 사라진다. 우선은 엄격하게 제도를 설계할 필요가 있다”라고 주장한다.

대일본인쇄의 VRM비즈니스기획개발부의 가쓰시마(勝島) 부장은 “제공처의 보안 레벨에 맞춰 제공 데이터를 집중시키는 것도 선택지 중 하나다”라고 밝힌다.

정보은행은 개인을 위한 상담 창구를 설치해 정보 삭제 의뢰 등에 대응하는 역할도 요구된다. 데이터유통추진협의회(도쿄)의 이토(伊藤) 이사는 “소비자의 시선에서 체크하는 기능이 중요하다”라고 말한다. 정부의 인증 제도에서는 정보은행에 제3자 기관인 ‘데이터윤리심사회’가 설치되어야 한다. 여기에는 엔지니어와 보안 전문가뿐만 아니라 소비자 대표도 포함된다.

소비자의 안심과 신뢰를 제도 및 기업 통합 시스템을 통해 확보할 수 있을지, 그 정비 상황이 정보은행의 경쟁력도 좌우하게 될 전망이다.

-- ‘데이터 이전권’에 대한 규범 정비가 과제 --
방대한 개인 데이터를 장악하고 있는 구글 등 미국 IT대기업이 디지털 경제를 석권하고 있는 가운데 일본 정부는 정보은행을 지원해 개인의 사생활보호와 데이터 산업 육성의 양립을 목표로 하고 있다.

개인정보보호법에서는 개인정보의 제3자 제공에 대해 원칙적으로 본인의 동의가 필요하다. 하지만 총무성은 정보은행에 대한 설명회에서 현 제도에 대해 “기업들이 소비자의 동의를 얻고 있지만, 실제로는 소비자 본인의 의식이 충분하지 않은 케이스가 많다”라고 지적했다. 이를 해결하기 위해 데이터 제공자와 이용자를 연결하는 역할을 위해 전문 조직인 정보은행을 설립. 개인의 의사 확인 등을 철저하게 하도록 한다.

후쿠오카 변호사는 “정보은행은 개인의 대리인으로서의 역할을 담당한다. 기업도 데이터를 이용한 시책을 전개하기 쉬워질 것이다”라고 말한다. 하지만 일본의 정보은행이 존재감을 높여나가기 위해서는 과제도 적지 않다. 그 중 하나가 데이터 포터빌리티(Portability)에 대한 권리이다.

EU는 개인에게 일반데이터보호규칙(GDPR)에서 데이터를 다른 서비스에 이전할 수 있는 권리를 인정했다. 일본의 정보은행이 데이터를 수집할 수 있도록 포터빌리티권을 법률로 명시하는 등의 규범 정비를 요구하는 목소리도 나오고 있다.

《정보은행의 주요 인증 기준》
▶ 조작이 용이한 인터페이스 제공
- 정보은행은 제공처와 이용 목적 외에도 데이터 항목 등의 선택지를 마련
- 개인은 제3자로의 제공을 정지할 수 있다.
▶ 데이터윤리심사회 설치
▶ 제공처가 다른 제공처로 개인정보를 다시 제공하는 것은 금지
▶ 개인 상담 창구 설치
▶ 데이터 제공처에 의한 개인 손해의 손해배상 책임을 묻는다.

 -- 끝 --