개인정보보호위원회는 마이데이터를 에너지, 교육, 고용, 문화·여가 분야로 확대하기 위한 실무협의체를 구성·운영할 계획이라고 밝혔다. ZDNet Korea 기존 의료·통신 2대 분야였던 제3자 전송서비스를 에너지·교육·고용·문화·여가 등 6대 분야로 넓혀가겠다는 구상이다. Korea
마이데이터가 금융권 중심에서 시작해 점점 범위를 넓혀가는 흐름은 이미 진행 중이었다. 그런데 올해 개인정보위가 직접 전송 분야 확대를 주도하겠다고 나선 것은 구조적으로 의미가 다르다. 이제는 업종과 무관하게 "우리 서비스가 마이데이터 의무 대상이 될 수 있는가"를 따져봐야 하는 상황이 가까워졌다.
마이데이터의 핵심 개념: 본인전송요구권
마이데이터의 법적 근거는 개인정보보호법상 본인전송요구권이다. 정보주체가 자신의 개인정보를 보유하고 있는 기관에 제3자에게 전송해달라고 요구할 수 있는 권리다.
이 권리가 의료, 통신에서 실제로 작동하기 시작했고, 이제 에너지 사용량, 교육 이력, 고용·급여 정보, 문화·여가 이용 내역까지 범위가 넓어지는 것이다.
정보주체 입장에서는 내 데이터를 내가 원하는 곳에 보낼 수 있다는 의미다. 하지만 데이터를 보유하고 있는 기관 입장에서는 전송 요청을 받았을 때 이를 처리할 수 있는 기술 체계와 절차를 갖춰야 한다는 의무가 생긴다.
실무적으로 무엇이 달라지는가
마이데이터 의무 대상이 되면 크게 세 가지가 달라진다.
첫째, 전송 요청 수신 및 처리 체계가 필요하다. 정보주체가 요청하면 정해진 형식으로 데이터를 전송할 수 있어야 한다. 이건 기술 구현 문제이기도 하고, 운영 절차 문제이기도 하다.
둘째, 전송 대상 데이터 항목과 형식이 표준화되어야 한다. 개인정보위가 분야별 표준 API를 어떻게 정의하느냐에 따라 구현 방향이 달라진다. 실무협의체가 이 작업을 하고 있으므로, 결과를 지속적으로 모니터링해야 한다.
셋째, 전송 과정의 보안이 강화된 수준으로 관리되어야 한다. 전송 중 데이터 보호, 수신기관의 적격성 확인, 전송 이력 기록 등이 필요해진다.
지금 해야 할 것: 우리 조직 데이터가 대상인지 먼저 파악
시행령 개정이 8월 시행을 목표로 진행되고 있다. 분야별 구체적인 전송 항목과 대상 기관 기준이 시행령에 담길 예정이다.
지금 당장 해야 할 것은 우리 조직이 어떤 개인정보를 얼마나 보유하고 있는지, 그것이 확대될 마이데이터 대상 분야에 해당하는지를 파악하는 것이다. 준비 없이 의무가 시행되면 대응 속도가 늦어지고, 그 간격이 곧 리스크가 된다.
마이데이터는 정보주체의 권리 강화 흐름이다. 그리고 그 흐름에서 데이터를 보유한 기관의 의무도 함께 커진다.