anonym.legal

By · Last updated 2026-05-07

블로그로 돌아가기GDPR 및 준수

EDPB 2025: 가명화 가이드라인 해설

EDPB 가이드라인 01/2025는 가명화된 데이터가 GDPR 하에서 여전히 개인정보로 남는다는 점을 명확히 했습니다. 오직 진정한 익명화만이 GDPR 적용 범위 밖에 있습니다.

May 7, 20269 분 읽기
EDPB 2025 pseudonymizationanonymization vs pseudonymization GDPRGDPR scope personal dataDPO compliance gappseudonymization domain

EDPB 2025: 가명화 가이드라인 해설

2026년 기준 업데이트

2025년 1월의 변화

유럽 데이터 보호 위원회(EDPB)는 2025년 1월 가이드라인 01/2025를 발표했습니다. 주제는 가명화입니다. 핵심 내용은 간단합니다. 가명화된 파일은 여전히 개인 파일입니다. 법의 적용 범위 안에 있습니다. 많은 팀이 적용 범위 밖이라고 가정해 왔습니다. 새 가이드라인은 그렇지 않다고 말합니다.

조직이 역처리 키를 보유하고 있다면 법이 여전히 적용됩니다.

가명화 영역

가이드라인은 새로운 개념인 가명화 영역을 도입했습니다. 이는 가명화된 정보를 실제 인물과 연결할 수 있는 당사자 그룹을 의미합니다.

해당 그룹의 모든 당사자는 법의 적용을 받습니다. 키를 보유하거나 이를 알아낼 수 있다면 해당 그룹에 속합니다. 모든 규정이 적용됩니다.

두 용어, 하나의 격차

두 용어는 같지 않습니다.

진정한 익명화는 되돌릴 수 없습니다. 지금도, 나중에도 어떤 당사자도 역처리할 수 없습니다. 진정으로 익명화된 파일은 법의 적용 범위 밖에 있습니다.

가명화는 되돌릴 수 있습니다. 키, 조회 테이블, 또는 부속 파일로 원래 값을 복원할 수 있습니다. 해당 정보는 키를 보유한 모든 당사자에게 법의 적용 범위 안에 있습니다.

가명화된—익명화되지 않은—결과물을 생성하는 세 가지 도구 유형:

  • 토큰 시스템: PII를 고정 토큰으로 교체하고 조회 테이블 유지
  • 암호화 도구: PII 값을 잠그고 복호화 키 유지
  • 형식 보존 암호화 도구

해싱은 진정한 익명화에 더 가깝습니다. 단, 입력값을 추측하기 어려운 경우에만 해당합니다. 짧은 이름이나 일반적인 ID 코드의 경우, 조회 공격으로 해시를 역산할 수 있습니다. EDPB는 이 위험을 명시합니다. 추측하기 쉬운 값의 해싱은 진정한 익명화로 인정되지 않을 수 있습니다.

DPO를 위한 실천 단계

'익명화됨'으로 표시된 각 파일 세트를 검토하십시오. 질문: 어떤 당사자가 이를 역처리할 수 있습니까? 그렇다면 가명화된 것입니다. 법이 여전히 적용됩니다.

법의 적용 범위 밖에 있어야 하는 파일 — 분석, 아카이브, 연구 집계 — 은 되돌릴 수 없는 단계가 필요합니다. 선택지: 영구 편집, 복구 불가 값으로의 마스킹, 추측하기 어려운 입력값의 해싱. 방법과 이유를 기록하십시오.

처리가 가역적이어야 하는 파일 — 연구 재접촉, 감사 추적, 법적 보존 — 은 가명화된 개인 파일로 표시되어야 합니다. 모든 법적 의무를 유지하십시오. EDPB 키 규정을 사용해 키 보관을 기록하십시오.

5가지 방법 프레임워크는 이 구분에 대응됩니다. 대체, 마스킹, 암호화는 가명화된 결과물을 생성합니다. 편집과 해싱(추측하기 어려운 입력값만 해당)은 완전성 검토를 거쳐 진정한 익명화에 도달할 수 있습니다.

귀사의 도구가 실제로 무엇을 생성하는지 확인하십시오. '익명화' 도구로 판매된 제품이 조회나 키를 유지한다면 가명화된 항목을 출력하는 것입니다. GDPR 준수 가이드에서 모든 분류 규칙을 확인하십시오. 보안 준수 개요에서 DPO가 기록해야 할 기술적 통제 수단을 확인할 수 있습니다. 도구 안내는 익명화 사전설정 및 감사 가이드를 참조하십시오.

참고 자료

관련 기사

GDPR 및 준수

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR 및 준수

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR 및 준수

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

데이터 보호를 시작할 준비가 되셨나요?

48개 언어로 285개 이상의 엔티티 유형으로 PII 익명화를 시작하세요.

무료 체험 시작기능 보기

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.