검색
태평양

「보건의료데이터 활용 가이드라인(안)」 공개

리걸에듀

[ 2020.09.04. ] 



보건복지부와 개인정보보호위원회는 2020. 8. 28. 개인정보보호법 개정에 따른 보건의료데이터의 안전한 활용을 위하여 개인정보보호위원회와 보건복지부가 공동으로 마련한 「보건의료데이터 활용 가이드라인(안)」(이하 “본건 가이드라인”)을 공개하였습니다.


본건 가이드라인은 개정된 개인정보 보호법 시행에 따른 보건의료데이터의 가명정보 활용에 대한 내용을 포함하고 있으며, 향후 폭넓은 의견 수렴을 거쳐 확정할 예정입니다.



1. 가이드라인 개요

개정된 개인정보 보호법이 2020. 8. 5. 시행됨에 따라, 데이터 활용의 핵심인 가명정보 활용에 대한 법적 근거(제3절 특례조항 신설)가 마련되었습니다. 그런데, 이러한 가명처리, 가명정보의 처리 및 결합 활용 등에 있어 보건의료데이터의 특수성 고려 필요할 필요가 여전히 존재하였습니다.


본건 가이드라인은 보건의료 분야의 개인정보 가명처리 및 결합, 활용절차 등에 우선 적용되며, 향후 개인정보처리자가 가명정보를 처리함에 있어 절차적으로, 기술적으로 적절한 노력을 다하였는지 판단하는 과정에서 준거로 활용될 예정입니다.



2. 가명처리 개념 및 단계별 적용원칙

1) 가명처리 등 개념

“가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 의미합니다. 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보 주체의 동의 없이 가명정보 처리가 가능하며, 서로 다른 개인정보처리자 간의 가명정보 결합은 지정된 전문기관에 한해서 수행이 가능합니다.


2) 처리단계별 적용 원칙

본건 가이드라인은 가명정보의 처리단계별로 개인정보 보호위원회의 '개인정보 가명처리 가이드라인' 및 '가명정보 결합 및 반출 가이드라인'과 혼용하여 적용됩니다.



3. 대상정보 및 가명처리 방법

1) 적용 대상정보의 범위

본건 가이드라인은 개인정보 보호법 제23조에 따른 민감정보 중 ‘건강’에 관한 정보에 적용됩니다.


다만, 정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보*에 대해서는 본인 동의를 받아 활용을 원칙으로 하고 있습니다. 정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에는 정신질환 및 처방약 정보, 감염병예방법 제2조제10호에 따른 성매개감염병 정보, 후천성면역결핍증 정보, 희귀질환관리법 제2조제1호에 따른 희귀질환 정보, 학대 및 낙태 관련 정보 (질병분류코드 기준으로 T74, O04 그 외 의료진 판단 활용) 등이 포함됩니다.


TPY_2020.09.04_1.jpg


2) 가명처리 원칙

안전한 가명처리 방법이 있을 경우 가명정보로 변환하여 활용 가능하나, 안전한 가명처리 방법이 현재 개발되지 않은 정보의 경우 가명처리 방법이 개발될 때까지는 가명처리 가능여부를 판단할 수 없으며, 이러한 정보는 정보 주체 동의하에서만 활용이 가능합니다. 의료기관은 「데이터 심의위원회」(이하 “심의위원회”)를 설치·운영할 수 있으며 특정 조건 하에 기관생명윤리위원회(IRB)에 이를 위탁할 수 있습니다. 본건 가이드라인에서 제시되는 방식 이외의 신기술 등 다른 방법 을 활용하여 가명처리를 할 경우, 적절성·효과성·안전성 등을 외부 전문가에게 평가받은 뒤 심의위원회 승인하에 실시합니다.


3) 데이터 유형별 가명처리 방법

본건 가이드라인은 데이터 유형별 가명처리 방법을 다음과 같이 제시하고 있습니다.


가. 식별자(Identifier): 전체 또는 특정 인구 집단 내에서 개인을 고유하게 구별하기 위해 부여한 기호 또는 번호, 기관 내·외에서 개인 간 상호 구별을 위해 부여한 번호, 기호 등을 통칭(ex. 주민등록번호, 보험가입자번호, 환자번호, 이름, 웹사이트의 ID, 사번 등)하며, 삭제 후 일련번호로 대체


나. 주요 인적사항: 삭제하거나, 연구목적 상 유의미한 일부 정보를 발췌하는 방식으로 식별력을 충분히 낮춤


다. 속성값: 측정수치 정보, 의료인의 관찰·입력 정보, 알고리즘이 생산한 건강정보, 제외/체내를 촬영한 영상정보, 단층촬영·3D이미지, 음성, 유전체, 유전체를 제외한 오믹스, 지문 등 생체인식 정보, 인종·민족·국적에 관한 정보 등에 대한 데이터 속성별 처리방법을 규정함



4. 가명정보의 처리(결합) 및 활용 절차

1) 가명정보 활용 원칙

가명정보를 재제공할 목적으로 제공받는 것은 금지되며, 가명정보를 최초 제공받을 당 원 개인정보처리자에게 밝힌 목적 외의 목적으로 처리할 경우 원 개인정보처리자에게 고지할 것을 권장합니다. 가명정보 제공에 대응되는 대가를 받는 것은 금지되지 않으나, 사회적인통념 등을 고려할 때 과도한 데이터 활용 대가는 지양할 것을 권장합니다. 다른 법령(ex. 신용정보법 제33조)에서 건강정보 활용을 위해 별도의 개인 동의를 요구하는 경우에는 법령에 따라 개인 동의 없이 가명정보 처리 불가합니다.


2) 가명정보 처리(결합) 및 활용 절차

본건 가이드라인은 가명정보의 의료기관 내 내부 활용, 제3자 제공(ex. 제약회사 연구원), 다기관 연구의 경우 처리(결합) 및 활용 절차를 설명하고 있습니다.


TPY_2020.09.04_2.jpg


5. 안전·보호조치 및 벌칙

1) 주요 조치사항

가명정보는 법률 상 개인정보에 속하지만 동의가 면제되는 등 비교적 자유로운 활용이 가능한 만큼 일반 개인정보에 비해 다음의 추가적인 안전조치가 필요합니다.


가. 재식별 예방: (i) 가명정보와 그 외 기타정보를 상호 분리(정보시스템 내 설정된 가상의 공간)된 시스템 내 공간에 두고, (ii) 가명정보를 기반으로 처리하는 일체의 정보시스템 내 작업 기록하며, (iii) 가명정보를 다루는 개별 직원들을 정기적으로 교육하고, 가명정보를 재식별하려는 직원의 시도를 예방하는 소프트웨어를 도입하거나 시스템 구성을 개선하여 정보주체의 인권을 보호하기 용이하도록 구성해야 합니다.


나. 적절한 절차를 거치치 않은 재제공 예방: 원 개인정보처리자와 개인정보처리자 간 가명정보 최초 제공계약 시 개인정보처리자로 하여금 재제공을 금지하는 조항을 추가하는 등 책임 및 권한을 명확히 하도록 합니다.


다. 투명성: 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 관련 기록을 작성하여 보관하여야 합니다(개인정보 보호법 시행령 제29조의5 제2항). 가명정보도 개인정보 보호법 제30조에 따른 사항(ex. 처리목적, 처리 및 보유 기간 등)을 개인정보 처리방침에 적시하고 공개해야 합니다. 또한, 가명정보의 유상 제공에 관한 내부 규정을 정하고, 이를 개인정보 처리방침에 포함하여 공개할 것을 권장합니다.


라. Opt-Out (가명처리정지요구): 개인정보처리자는 정보주체에게 홈페이지 개시 등 공개적인 방법으로 가명처리정지요구를 접수해야 하며, 요구를 받은 정보주체의 정보는 가명처리의 대상에 포함시키지 말아야 합니다.


마. 윤리적 조치: 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보를 다루는 개별 직원들로 하여금 가명정보를 활용하기에 앞서 의료기관 내부관리계획에 따라 활용목적, 활용방법 등 활용계획을 개인정보 보호책임자에게 보고하도록 하여야 합니다.


바. 기타: 가명정보는 활용이 종료된 이후 파기하고, 가명정보 제공 계약시 재식별 등 손해배상에 관한 내용, 배상보험 가입에 관한 내용을 담을 것을 권장합니다.


2) 벌칙

각 위반사항에 대한 벌칙은 다음과 같습니다.


TPY_2020.09.04_3.JPG


저희 법무법인은 그간 보건의료분야에서 정보보호와 관련한 다수의 자문 및 소송 업무를 수행하고, 개인정보 보호를 위한 기술적·관리적 보호조치 및 개인정보 법규 준수에 관한 컴플라이언스 시스템 사전 수립 및 점검 등 다수의 실무 경험도 보유하고 있습니다.


본건 가이드라인에 따른 문의사항이 있으면 언제든 저희 법무법인에 연락 주시기 바랍니다.



조정민 변호사 (jungmin.jo@bkl.co.kr)

강태욱 변호사 (taeuk.kang@bkl.co.kr)

안효준 변호사 (hyojun.an@bkl.co.kr)

종합법무관리솔루션

관련 법조인