‘보건의료 데이터 활용 가이드라인’의 현행법상 문제점

이석배 대한의료법학회 2021 의료법학 Vol.22 No.4

민간과 공공이 생산해내는 정보의 홍수속에서, 이 방대한 분량의 정보는 빅데이터로 대표되는 제4차 산업혁명시대의 핵심자원으로 간주되고 있다. 전 세계적으로 이 빅데이터에 대한 관심이 높아지고 데이터의 확보와 축적, 축적된 데이터의 안전하면서도 유용하게 활용하는 방안에 대한 논의가 활발하다. 특히 보건의료 데이터는 빅데이터 기술이 활용될 가장 가치있는 자원으로 평가되고 있다. 이러한 보건의료 데이터를 유용하게 활용하기 위해서는 분산된 보건의료 데이터를 통합하여 조사나 연구에 활용가능한 형태로 이용자에게 제공되어야 한다. 주요 국가들이 데이터 경제의 주도권을 확보하기 위해 경쟁하는 상황에서 우리나라도 2020년 8월 「개인정보보호법」등 소위 ‘데이터 3법’이 개인정보의 활용방향으로 개정되었다. ‘데이터 3법’의 개정은 개인정보 정의의 판단기준을 명확하게 하고, 가명정보의 개념을 도입하여 개인정보의 안전한 활용을 뒷받침하기 위한 제도적 기반이라 할 수 있다. 최근에는 그 후속 조치로 개인정보보호위원회가 ‘가명정보 처리 가이드라인’을 발표하였고, 보건복지부는 이와 별도로 ‘보건의료 데이터 활용 가이드라인’을 발표하였다. 하지만 여전히 풀어야 할 숙제는 남아있다. 우리나라는 「국민건강보호법」에 따라 전국민의 건강보험 가입이 의무화되어 있고, 모든 국민의 보건의료정보는 국민건강보험공단, 국민건강보험심사평가원 등 공공기관이 보유, 관리하고 있다. 이러한 데이터는 보건의료와 관한 빅데이터를 구성하게 되는데, 특히 모든 국민이 단일 건강보험에 모두 가입되어 있다는 점에서 보건의료 영역에서 빅데이터로서 그 가치와 잠재력은 어느 나라에서도 찾기 어려운 것도 사실이다. 반면 안정성의 측면에서는 그만큼 위험을 가지고 있다고 볼 수 있다. 보건의료데이터는 사람의 생명이나 신체와 직결되고 그와 관련된 수많은 민감정보를 포함하고 있어, 다른 분야보다 세심하고 보수적인 관점에서 개인정보를 보다 안전하게 보호하는 것을 전제로 그 안에서 활용이 될 수 있도록 제도가 마련되어야 할 것이다. 이 글에서는 개인정보보호위원회와 보건복지부가 제시한 ‘보건의료데이터 활용 가이드라인’의 주요내용을 분석하기 위하여 우선 개정된 「개인정보보호법」의 주요내용을 검토하고, 그에 따라 ‘보건의료 데이터 활용 가이드라인’의 주요내용을 분석하여 타법률과 충돌문제 등 그 문제점과 개선방안을 검토하였다. ‘보건의료 데이터 활용 가이드라인’은 그 성격상 현행 「개인정보보호법」의 해석을 보충하고, 보건의료 분야에 특화된 데이터 활용의 관점에서 「개인정보보호법」이 내다보지 못했던 상황에 관해 법의 해석・적용과 실무상의 지침을 제시하려 하였으나, 가이드라인의 제목에서 나타나듯이 ‘활용’에 초점을 두어 개인정보보호와 균형을 이루는 데에는 실패한 것으로 보인다. ‘보건의료 데이터 활용 가이드라인’은 「개인정보보호법」의 내재적인 문제점과 「의료법」, 「생명윤리법」과 충돌문제나 실효성 문제, 법률에 규정할 네용을 법률에 근거없이 가이드라인에 담고 있는 등 아직까지 미흡한 부분이 많고, 여러 가지 문제점을 가지고 있다는 점을 확인하였다. In the midst of the flood of private and public information, the huge amount of information is a key resource in the age of the 4th industrial revolution, represented by big data. Interest in these is growing worldwide. There is an active discussion about how to backup and accumulate data and how to use the collected data safely and effectively. Above all, health data is valued as the most valuable resource for which big data technology is used. To make good use of health data, distributed health data must be integrated and made available to users in a form that can be used for research or inspection. In a situation in which large countries are competing for the establishment or management of the data economy, the so-called 3 data laws, which contain the PERSONAL INFORMATION PROTECTION ACT(PIPA)), were also changed in South Korea in August 2020. The PIPA introduced the concept of pseudonymous information and established a legal basis for its use. As a follow-up action, the 'Personal Information Protection Commission (PIPC)' announced the 'Guidelines for Handling Pseudonymous Information' and 'Ministry of Health and Welfare' announced the 'Guidelines for the Use of Health Data'. Health data are directly related to human life and body and therefore contain a lot of sensitive data. So it is a system that can be used from a more cautious and conservative point of view, provided that personal data is more securely protected. In order to analyze the main content of the “Guidelines for the Use of Health Data”, we first checked the main content of the revised DSG. Afterwards, by analyzing the essential contents of the “Guidelines for Use of Health Data”, problems such as conflicts with other laws and improvement measures were checked.

보건의료 학술연구를 위한 공공데이터의 이차 활용 법제개선에 관한 연구 : 생체 의료정보와 유전체정보를 중심으로

박미정 ( Park Mi-jeong ) 한국의료법학회 2016 한국의료법학회지 Vol.24 No.2

공공기관이 수집·처리하던 디지털화된 개인정보는 전자정부 촉진정책으로 인해 그 관리 측면에서 획기적인 효율성을 갖게 되었다. 공공데이터는 정보통신기술의 발전에 따라 원래의 수집목적 외로 이차 활용의 요구가 증가하고, 활용분야는 더욱 광범위해지는 추세이다. 보건의료분야에서는 국민건강보험공단이나 건강보험심사평가원등에서 수집된 정보를 공중보건사업의 수행이나 정책연구를 위한 이차 활용한지도 상당한 시간이 지났다. 최근에는 대규모의 유전체 분석정보, 임상정보, 의료기기를 통해 얻을 수 있는 정보까지 함께 재조합하여 신약개발, 질병예방, 희귀난치성 질환 치료 등 보건의료관련 공공데이터의 이차 활용 영역은 확대되었다. 정부는 각 공공기관 간 데이터베이스를 공유하고, 수집목적 외로 활용할 수 있도록 법률을 개선하였다. 그리고 학술연구뿐 만아니라 산업과 비즈니스 등 다양한 목적을 위해서도 이차 활용할 수 있도록 공공데이터의 제공과 이용활성화를 지원하는 방향으로 제도를 마련하고 있다. 다른 법률에 특별 규정이 있는 경우에는 개인정보를 목적 외로 사용하는 이차 활용을 가능하도록 하고 있고, 정보주체의 동의 없이 사용해야 하는 경우는 익명화 처리를 하여 활용할 수 있도록 함에도 불구하고 여전히 학술연구를 위한 이차 활용은 활발하지 못한 실정이다. 아직까지 개인정보보호법이 이차 활용의 걸림돌이 된다는 평가는 이차 활용을 하는 주체가 누구인가, 어떤 목적으로 이차 활용하는가에 따라 정보주체의 프라이버시가 침해될 수 있다는 우려에 기인한다. 본 연구는 보건의료 학술연구 목적의 이차 활용을 위한 공공데이터의 공유 및 이용과 관련된 법률을 고찰하여 개인정보 보호의 한계를 살피고, 정보프라이버시 보호와 공공데이터의 이차 활용의 조화를 위한 절차적 요건으로서 규범변화의 방향을 제언한다. The aim of this study is to suggest how to strike a balance between the benefits of secondary use of public data and rights of self-determination for other purposes that within frameworks of personal data protection laws. Particularly, the research sought to find common ground between private rights and public interest by specifying privacy issues which could be threatened by secondary use of sensitive information such as bio or medical information. Each public agency uses aggregated databases which enable extraction of new meanings and utilization of individual dataset. While not new, these issues play increasingly critical and complex roles given that the Information and Communication Technology Revolution has created a dilemma regarding individual privacy. The nature of the utilization of public data from the database by various public agencies causes them to hold and collect personal information beyond the primary purposes in common databases as secondary use of personal information, incurring serious cases of legal violation of information usage. Essentially all bio or medical information in public agencies are sensitive and require protection in varying degrees. Theoretically, only limited processing of such information is allowed, and no special laws can exempt consent. In other words, priority is given to a subject's right of self-determination. The idea concerning privacy and public interest is embedded within a complementary ‘using vs. protecting’ concept that is not trusted by the owner(s) of the data. There is clearly a need to consider whether the Government is balancing this critically important relationship between data subjects and personal information and whether the current approach is fit for its purpose. The current special law in place exempts written consent upon approval of Institutional Bioethics Committee, thereby allowing researchers to utilize data for secondary use without consenting process. Nonetheless, in such case of exemption, the principle of proportionality should be met by allowing a subject to practice his or her right of self-determination. As the secondary use of personal information is randomly scattered in the database of the public and collected beyond primary purposes, the minimized use of personal information protected by common law is likely to be violated with the absent clarity in the norms of secondary usage of personal information. Laws to protect personal information protect the interests of the people by requiring consent at every step of information process. Secondary use, however, does not require consent according to a special law that exempts such condition. The problem is exacerbated when every public agency adheres to different special laws that reflect the objectives of each agency. Restricting the right of self-determination on sensitive information such as bio or medical information must notify subjects the purposes in which their information will serve and how the information is being processed. Whether purpose is justifiable for the sake of public is directly related to the roles of Data Protection Authorities which deliberates the process of secondary use. In the new phase of the secondary use of public information, this study attempts to balance between public interest and private rights as well as ‘using’ and ‘protecting’ through the review procedures to ensure the data subject’s rights including the broad consent to entrust personal data processing in case of substitution.

유전체 연구와 개정 개인정보 보호법의 가명처리 제도

이원복 이화여자대학교 법학연구소 2020 法學論集 Vol.25 No.1

Unmistakably influenced by the General Data Protection Regulation of the European Union, Korea’s Personal Information Protection Act adopted “pseudonymization” in its latest major revision. The role of pseudonymization under the Korean law is slightly different from that under the GDPR. Under Korean law, pseudonymization is a prerequisite for the “scientific research exemptions”, which include exemptions from the data subject’s explicit consent requirement, data subject’s right to access data, data subject’s right to correction, and data subject’s right to erasure. This is a welcome change, as the previous iteration of the scientific research exemption required more rigorous deidentification. How will the new scientific research exemptions based on pseudonymization apply to genomic research? One can argue that intact, unadulterated genomic data negate pseudonymization, because they may be vulnerable to re-identification by feeding the data to genealogy databases such as GEDmatch or commercial direct-to-consumer genetic testing services. However, the author believes that the law allows for the interpretation that genomic data may be kept intact during pseudonymization for scientific research if all direct identifiers are pseudonymized. As an added safeguard measure, the author recommends that institutional review boards take a more proactive role in overseeing secondary use of pseudonymized genomic data. Transfer of pseudonymized genomic data to a third-party must also be accompanied by a binding agreement to protect the data in a manner similar to the standard contractual clauses under the GDPR. A prior notice to the data subjects about possible future research use of their pseudonymized genomic data is advisable to the extent possible. 개정된 개인정보 보호법이 2020년 8월부터 시행됨에 따라 도입되는 변화 가운데과학적 연구를 목적으로 가명처리된 개인정보를 이용하는 경우에 인정되는 특칙은연구자들에게 상당히 중요한 의미를 갖는다. 개정 이전에도 연구 목적의 특칙이 있기는 했으나, 그 경우 정보주체를 식별할 수 없도록 강한 비식별조치를 할 것이 요구되었던 반면, 개정법 하에서는 가명처리만으로도 정보주체의 동의 없이 활용이 가능해졌기 떄문이다. 이러한 가명처리에 따른 특례가 DNA 정보 또는 유전체 정보에 대하여도 적용이될 것인가? 비록 민감정보에 대하여는 개인정보 보호법 제18조에 따른 정보주체의동의 예외 조항이 적용될 수 없다는 이론을 연장하면 여전히 논란이 있을 수 있지만, 연구 목적 등으로 허용되는 요건을 제한한 가명처리 특례는 유전체 정보 등 민감정보에 대하여도 적용이 있다고 보는 것이 개인정보 보호법의 합목적적인 해석이다. 그런데 개인정보 보호법은 신용정보나 위치정보처럼 별도의 특별법이 마련된 소수의 개인정보를 제외한 모든 종류의 개인정보에 적용이 가능한 범용성을 염두에 두고 제정되다 보니 법조문만 놓고 보면 유전체 정보의 특수성을 고려한 가명처리 방법을 어떻게 설계해야 하는지 알기 어려우므로, 관련 전문가들이 유전체 정보 보호와 유전체연구 활성화의 균형을 도모할 수 있는 제도적 장치를 가이드라인화 할 필요가 있다. 그 내용으로 유전체 정보의 가명처리는 유전체 정보와 함께 이용하려는 정보에서 직접 식별자를 제거하거나 다른 가명으로 대체하고 간접식별자의 식별력을 낮추도록 하며, 법적으로 동의의 효력은 인정받지 못하겠지만 본인 뿐만 아니라 가족들에게도영향을 미칠 수 있다는 점에서 미리 정보주체 본인에게 유전체 정보가 과학적 연구에이용될 수 있음을 알려 주고, 끝으로 기관위원회의 역할을 증대시킬 것을 제안한다.

유전자검사에 관한 규제 현황과 미비점에 관한 고찰

백수진 전북대학교 동북아법연구소 2014 동북아법연구 Vol.7 No.3