일본산업뉴스요약

개인정보보호법의 차기 개정이 비밀계산을 뒷받침
코디네이터 역할도 중요하게

국가의 개인정보보호위원회(개인정보위)는 개인정보보호법의 차기 개정에서, 특정 개인에게 영향을 주지 않는 경우의 데이터 활용을 촉진하는 법 개정을 검토하고 있다. 기업 등 복수의 사업자가 비밀계산(데이터를 암호화한 상태로 계산할 수 있는 기술)을 활용하기 쉬워질 것으로 보인다. 사업자가 연계해 데이터를 활용할 수 있도록 '데이터 연계 코디네이터'라는 역할도 요구할 것 같다.

차기 개정에서는 개인 데이터를 둘러싼 규율에 대해 사업자가 통계 데이터 작성 등 '특정 개인과의 대응관계가 배척된 일반적/범용적 분석 결과의 획득과 이용'을 목적으로 할 경우, 규율을 완화할 방침이다. 복수의 사업자가 취득한 개인 데이터를 가지고 모여 대조하며 통계적으로 분석하는 경우, 일정 요건을 충족하면 요(要)배려개인정보(부당한 차별이나 편견이 발생하지 않도록 특별히 배려가 필요한 정보)를 포함해 데이터의 대상인 본인의 동의가 불필요하다는 개정안을 담는다.

-- 비밀계산 등의 활용 상정 --
다만 개인정보위는 사업자에 대해 통계 데이터 등의 작성에만 이용하는 것을 담보하기 위해 일정 사항의 공표 등을 의무화하는 방안을 검토하고 있다. 구체적으로는 제공처/제공자의 이름, 명칭, 실시하고자 하는 통계 작성의 내용 등을 공표하도록 한다.

여러 기업이 개인 데이터를 모아 통계분석을 하는 경우는, 양사 간 합의 내용을 서면으로 공표하게 하거나 데이터를 받은 기업이 목적 외에 이용하는 것을 금지한다. 개인정보위 사무국은 “데이터의 입구 규제에서 출구 규제로 전환한다”고 한다.

여기에 비밀계산 등의 프라이버시 보호기술(PETs)의 활용이 상정되고 있다. 개인정보위가 법 개정의 방향성을 정리한 공표자료에서는, 기업끼리 서로의 데이터를 결합해 통계정보 등의 작성에만 이용하는 경우, 계약의 담보로서 PETs 등의 이용을 전제로 하거나 원칙적으로 PETs 서비스 프로바이더의 이용을 상정한다는 전문가의 의견을 게재하고 있다.

종전의 개인정보보호법은 개인 데이터를 제삼자 제공하는 경우 '동의를 받으면 문제없다'는 식의 제도 설계였다. 동의 규제를 재검토하는 것은, 데이터의 대상인 본인에 대한 영향이나 리스크 등에 따라 규율의 기본방향도 전화하고자 하는 것이다.

개인정보위는 의료기관이 학술연구를 위해 의료데이터를 활용하기 쉽도록 한다는 방침도 담고 있다. 의료의 제공을 목적으로 하는 병원 등이 진단/치료의 임상사례 분석이 필요한 의학/생명과학 연구 등의 용도라면, 본인 동의 없이 특정 이용목적 달성에 필요한 범위를 넘어 개인정보를 다룰 수 있다고 명시할 방침이다.

여러 사업자의 데이터를 모아 활용하기 쉽도록 하는 새로운 법제도에 대한 논의도 시작한다. 정부는 2025년 6월에 각의 결정한 ‘디지털 사회의 실현을 위한 중점계획’에서 의료/건강이나 금융, 교육 등의 공공성이 높은 중요 분야에서 복수의 사업자가 데이터를 공유하거나 제휴해 데이터의 부가가치를 창출하기 위한 제도나 시스템을 포함한 기반을 정비한다고 했다.

중점계획 중 선진 사례로 꼽고 있는 것은 유럽연합(EU)이다. EU는 개인정보보호를 목적으로 한 일반데이터보호규칙(GDPR)을 기반으로 하면서, 공공부문에서의 데이터의 2차 이용이나 민간기업간의 데이터 공유를 가능하게 하기 위해 법제도 구축을 추진하고 있다.

그러한 EU의 법제도 중에서 특기할 만한 것이, 2025년 3월에 발효한 ‘유럽 헬스 데이터 스페이스 규칙(EHDS)’이다. EHDS는 의료기관, 제약회사 등의 의료데이터 보유자가 보유하고 있는 데이터를, 연구자 등 의료데이터 이용자에게 공유하는 것을 의무화한다. 필요한 정보연계기반 등도 구축한다.

이 때문에 일본도 중점계획에서, 의료데이터의 활용을 위한 기본이념이나 포괄적/체계적인 제도 시스템, 정보연계기반의 기본방향을 포함한 전체상(그랜드 디자인)을 분명히 한다고 한다.

-- 기술이나 법제도와 더불어 필요한 코디네이터 역할--
제도나 시스템을 포함한 기반을 정비했다고 해도, 복수의 사업자가 데이터 연계를 추진하기 위해서 빼놓을 수 없는 요소가 있다. ‘데이터 연계 코디네이터’라고도 불리는 역할을 담당하는 인재나 조직이다.

예를 들면, 복수의 사업자가 데이터를 모아 분석하고 싶은 경우에, 서로의 데이터를 가져오는 목적은 다양하다. 사회 과제 해결이 목적일 수도 있고, 질환 치료일 수 있다. 대가를 얻기 위해서라는 이유도 있을 수 있다. 이러한 복수의 사업자의 의향을 정리할 필요가 있다.

코디네이터가 될 수 있는 것은 데이터를 보유하는 조직이나 데이터를 활용하는 조직에 소속된 사람만은 아니다. 비밀계산 기술을 제공하거나 데이터베이스를 운영하는 기업이 맡는 경우도 있다.

NTT도코모비즈니스(구 NTT커뮤니케이션) 비즈니스솔루션본부의 사쿠라이(櫻井) 부장은 “코디네이터에게도 목적이 있기 때문에, 비밀계산을 사용한 프로젝트의 성공을 위해서는 같은 방향으로 나아가도록 하는 것이 가장 어렵고 중요하다”라고 말한다.

이를 위해서는 복수의 사업자 사이에 합의 형성을 추진하거나 기술이나 운용관리를 확인하기 위한 가이드라인이나 지침이 필요하다. 그래서 도코모비즈니스, 산업기술종합연구소, 노무라종합연구소(NRI), NRI SecureTechnologies, GMO Cybersecurity by Ierae의 5사는 2025년 3월에 ‘비밀계산을 이용한 데이터 이활용 실천을 위한 가이드라인’의 중간보고서를 공개했다.

이 가이드라인은 개설편 외에 '비밀계산 프로젝트의 실현 프로세스편' '비밀계산에서의 데이터 관리와 시큐리티편'의 3가지 문서로 구성된다. 내각부의 전략적 이노베이션 창조 프로그램(SIP)에 의해서, 가이드라인의 초안을 2025년도 중에 공개할 예정이라고 한다.

비밀계산에 관련하는 기술 개발이나, 데이터 활용을 촉구하는 법제도의 논의는 향후 한층 더 진행될 것 같다. 사업자는 다른 어떤 사업자와, 어떻게 데이터로 연계하면 서로의 데이터의 부가가치를 높일 수 있을지, 진지한 검토를 시작할 필요가 있다.

 -- 끝 –

Copyright © 2025 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.