<질의요지>
「신용정보의 이용 및 보호에 관한 법률」(이하 “신용정보법”이라 함)에 따른 신용정보회사등(신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보집중기관 및 신용정보제공·이용자를 말하며, 이하 같음.)이 통계작성, 연구, 공익적 기록보존 등을 위해 의료기관으로부터 가명처리된 질병정보를 제공(의료기관 등이 보유하고 있는 질병정보를 「개인정보 보호법」 및 「생명윤리 및 안전에 관한 법률」 등에 따라 적법하게 가명처리하여 제공하는 경우를 전제함.)받아 활용하려는 경우, 질병정보 수집 시 해당 개인의 동의를 받도록 한 같은 법 제33조제2항이 적용되는지?
[질의 배경]
보건복지부에서는 위 질의요지와 관련하여 신용정보법 제33조제2항이 적용되지 않는다는 금융위원회의 의견에 이견이 있어 법제처에 법령해석을 요청함.
<회 답>
이 사안의 경우 신용정보법 제33조제2항이 적용되지 않습니다.
<이 유>
신용정보법 제33조제2항에서는 신용정보회사등이 개인의 질병, 상해 또는 그 밖에 이와 유사한 정보(이하 “질병정보”라 함)를 수집·조사하거나 제3자에게 제공하려면 미리 해당 개인의 동의를 받아야 한다고 규정하고 있는바, 이 사안은 신용정보회사등이 「개인정보 보호법」에 따라 가명처리된 질병정보를 수집하는 경우에도 해당 규정이 적용되는지가 문제됩니다.
우선 개인정보 보호에 관한 일반법인 「개인정보 보호법」 제3장제제3절(가명정보의 처리에 관한 특례) 제28조의2제1항에서는 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위해 정보주체의 동의 없이 가명정보를 처리할 수 있다고 규정하면서 가명정보의 범위에서 질병정보를 포함한 민감정보를 배제하고 있지 않고, 개인정보처리자의 범위 또한 제한하고 있지 않습니다.
그리고 「개인정보 보호법」 제28조의4 및 제28조의5에서는 가명정보를 원래의 상태로 복원할 수 없도록 하는 등 안전성 확보에 필요한 조치를 하고, 특정 개인을 알아보기 위한 목적으로 가명정보를 처리할 수 없도록 하는 등 가명정보 처리와 관련된 의무를 규정하고 있는바, 「개인정보 보호법」에 따라 가명처리된 질병정보 역시 해당 정보의 주체는 알아볼 수 없도록 처리된 것입니다.
그렇다면 이미 가명처리된 질병정보에 대해 그 정보주체인 개인을 특정하여 동의를 받는 것은 불가능하므로, 신용정보회사등이 개인의 질병정보를 수집·조사하거나 제3자에게 제공하려면 미리 해당 개인의 동의를 받도록 한 신용정보법 제33조제2항은 특정 개인인 정보주체를 알아볼 수 있는 질병정보를 전제로 한 규정으로 보는 것이 「개인정보 보호법」과의 관계를 고려한 체계적 해석입니다.
또한 「개인정보 보호법」 제28조의2에 따라 개인정보처리자는 정보주체의 동의 없이 질병정보를 가명처리하고 제3자에게 제공할 수 있는데, 신용정보회사등에 대해서만 가명처리된 질병정보의 수집.조사 및 제3자 제공을 위해 개인의 동의를 받아야 한다고 보는 것은 형평성에도 반하게 되고, 이 사안과 같이 가명처리된 질병정보를 제공하는 의료기관은 개인의 동의가 없어도 되는데 그 정보를 제공받는 신용정보회사등은 개인의 동의를 받아야 하는 불합리한 결과가 초래된다는 점도 고려해야 합니다.
따라서 이 사안과 같이 신용정보회사등이 「개인정보 보호법」에 따라 가명처리된 질병정보를 제공받는 경우는 신용정보법 제33조제2항의 적용 대상으로 볼 수 없습니다.
【법제처 20-0569, 2021.01.22.】