검색
연구논단

보건의료 데이터 활용 가이드라인의 의의와 시사점

리걸에듀

166774.jpg

개정 개인정보 보호법 시행에 따른 후속조치의 하나로서 2020년 9월 25일 '보건의료 데이터 활용 가이드라인(이하 본 가이드라인)'이 공개되었다. 개인정보보호위원회의 '가명정보 처리 가이드라인'에 이어 발표된 본 가이드라인은 가명정보 활용에 대한 법적 근거가 마련되었으나 법령에서 구체적으로 정하고 있지 않은 가명처리, 가명정보의 처리 및 결합 활용 등에 있어 보건의료데이터의 특수성을 고려할 필요가 있었음을 그 발간 목적으로 밝히고 있다. 이하에서는 본 가이드라인의 배경과 주요 내용, 시사점 등에 대해 살피고자 한다.

 

데이터 생성과 수집, 분석이 일상화된 현대에서 개인정보 역시 보호의 대상으로만 머물러 있는 것이 아니라 안전하게 활용될 수 있는 방안을 모색할 필요성이 있다는 점에 대해서는 더 이상 이론을 찾기가 어렵다. 정보주체의 편익을 위해 개인정보의 활용이 전제되어야 하는 경우 또한 적지 아니한데 이러한 관점에서 바라볼 때 개인정보의 개념을 특별한 예외 없이 폭넓게 이해하면서도 그 처리의 근거로서 정보주체의 명시적인 사전 동의에 방점을 두고 있는 개인정보 보호법이 보호와 활용이라는 가치 중 전자에 편중되어 있는 것은 아닌지에 대한 의문이 그간 누적되어 왔다. 2016년 무렵 발표되었던 '개인정보 비식별 조치 가이드라인'에 대한 논란을 포함해 개인정보의 보호와 활용이라는 가치들을 둘러싼 크고 작은 다툼들은 계속 되어 왔지만 데이터 기반 사회로의 이행은 어느새 거스르기 어려운 큰 흐름을 형성했고 개인정보의 활용에 대한 필요성과 요구는 점점 더 늘어났다. 이에 개인정보 보호법은 '신산업 육성을 위한 데이터 이용 활성화'와 '안전한 데이터 이용을 위한 사회적 규범 정립'등을 위해 가명정보 개념의 도입을 주요 내용으로 하는 개정을 맞이하게 되었다. 과학적 연구, 통계작성, 공익적 기록보존 등의 목적을 위해서라면 개인정보를 정보주체의 동의 없이도 활용할 수 있는 길이 열린 것인데 이후의 관심은 이 길을 걸을 수 있는 열쇠가 되는 가명정보와 가명처리의 의미를 어떻게 이해하여야 하는지로 이어지게 되었다.

 

이러한 관심은 특히 보건의료 분야에서 두드러졌는데 이는 데이터가 갖는 특성에 상당 부분 기인하는 것으로 보인다. 보건의료 분야에서의 데이터는 개인에게 고유한 형태가 많고 오·남용되거나 유출되었을 때 정보주체에게 미치는 영향이 크기 때문에 다른 분야에서는 통용될 수 있는 이해나 방식을 그대로 적용하는 경우 데이터의 가치가 상실되거나 적절한 수준의 보호를 제공하지 못하게 되는 결과가 발생할 수 있다. 아울러 개인정보 보호에 대해 개별적으로 규율하고 있는 의료법과 생명윤리 및 안전에 관한 법률 등이 개정 개인정보 보호법과는 어떻게 맞물려 이해되어야 하는지도 각 법률들을 준수하여야 하는 수범주체의 입장에서는 의문으로 남아 있었는바 본 가이드라인은 이러한 사항들을 포함해 보건의료 데이터를 가명처리하여 활용하는 맥락에서 발생할 수 있는 주요 쟁점들에 대해 준거를 제시하고 있다는 점에서 그 의미를 갖는다.

 

본 가이드라인은 그 제정의 근거가 되는 개정 개인정보 보호법과 '가명정보 처리 가이드라인'의 내용을 전제로 하고 있다. 동법에 따라 가명정보는 과학적 연구, 통계작성, 공익적 기록보존 등의 목적을 위해서만 정보주체의 동의 없이 처리될 수 있는데 여기서의 '과학적 연구'에 산업적 목적의 연구가 포함될 수 있다는 점에 대해서는 정부가 보도자료 등을 통해 이미 여러 차례 입장을 밝힌 바 있다. 본 가이드라인에서는 보건의료 분야에서도 산업적 목적의 연구가 포함될 수 있음을 명시하면서 약물이나 의료기기를 개선·개발하거나 그 효과를 평가하기 위한 연구는 물론 의료적·비의료적 목적을 갖는 소프트웨어를 개선·개발하기 위한 연구, 보건의료 데이터를 표준화하거나 그 데이터를 원활히 관리하기 위한 연구 등도 과학적 연구의 예시로서 제시하고 있는바 이는 허용될 수 있는 산업적 목적 연구의 범위에 대해 보다 구체화된 이해를 제공한다.

 

한편 가명정보는 그 개념 정의상 가명처리를 전제로 하며 이는 보건의료 데이터의 경우에도 예외가 아니다. 다만 앞서 언급한 보건의료 데이터의 특성이 가명처리 과정에서 어떻게 다루어져야 하는지에 대해 기준이 필요하다는 논의가 있었고 본 가이드라인은 '대상정보 및 가명처리 방법' 부분에서 그에 대한 원칙을 제시하고 있다. 본 가이드라인에서는 데이터의 유형을 식별자와 주요 인적사항, 속성값으로 대별한 뒤 속성값은 다시 총 12가지 유형으로 나누어 각각의 유형 별 가명처리 방법을 제시하고 있다. 예를 들어 식별자는 삭제 또는 일련번호로 대체되어야 하고 속성값 중 측정수치 정보에 대해서는 별도의 조치가 요구되지 않는 것이 원칙이나 체내를 촬영한 영상정보에 대해서는 영상 상에 표시된 식별자를 삭제 또는 마스킹해야 하며 DICOM 헤더 등 메타데이터 상의 식별자는 삭제되어야 함을 규정하고 있는 방식이다.

 

다만 본 가이드라인에 따르더라도 가명처리가 제한되는 정보가 있다는 점은 유의할 필요가 있다. 먼저 정신질환 및 처방약 정보, 성매개감염병 정보, 후천성면역결핍증 정보, 희귀질환 정보, 학대 및 낙태 관련 정보 등은 재식별이 되는 경우 인권 및 사생활 보호에 중대한 피해를 야기할 수 있어 정보주체 본인의 동의를 받아 활용하는 것이 원칙이다. 나아가 본 가이드라인에서는 음성정보, 유전체정보, 지문 등 생체인식정보 등을 가명처리 대상에서 유보하고 있다. 해당 정보들에 대해 적용될 수 있는 안전한 가명처리 방법이 개발되지 않았기 때문에 현재로서는 가명처리 가능성을 유보하고 정보주체 본인의 동의에 기반해서만 사용할 수 있다는 취지인바 결국 보건의료 데이터의 활용을 고려한다면 그 대상으로 예정하고 있는 데이터 유형을 특정하는 과정이 선행될 필요가 있을 것이다.

 

데이터 심의위원회에 관한 내용 역시 본 가이드라인에서 주목하여야 할 부분 중 하나이다. 데이터 심의위원회는 가명정보의 기관 내 활용 및 기관 외 제공 여부 및 방법 등을 심의할 수 있는 기구로 가명정보 처리의 목적 및 가명처리의 적정성 등을 포함해 가명정보의 활용 전반에 있어 심의·승인 권한을 보유하는 것으로 규정되어 있다. 그 구성에 대해서는 5인 이상 15인 이하로 하되 해당 기관에 소속되지 않은 위원이 과반수를 차지하여야 하며 정보주체를 대변하는 자와 의료 분야 데이터 활용 전문가, 정보보호 또는 법률 분야의 전문가가 각각 1인 이상 위원으로 포함되어야 함을 명시하고 있는바 이러한 구성 요건으로 인해 그 설치·운영을 위한 여력이 상대적으로 적은 중소규모 기관의 경우 데이터의 활용이 사실상 제한되거나 보호의 사각지대에 놓이게 되는 것은 아닐지에 대한 우려가 있고 이를 해소하기 위한 방법으로서 공용 데이터 심의위원회의 도입이 고려되어야 한다는 논의도 뒤따르고 있다.

 

한편 본 가이드라인에서는 보건의료 데이터의 활용에 있어 중첩되는 법률 간의 관계에 대해 의미 있는 해석을 제시하고 있다는 점 또한 눈 여겨 볼 필요가 있다. 먼저 의료법과 개인정보 보호법의 관계에 있어 본 가이드라인은 가명처리하여 환자 식별력이 없는 진료기록(정보)에 대해서는 의료법이 적용되지 않음을 밝히고 있다. 의료법에 따르면 환자에 관한 기록은 원칙적으로 환자 본인만이 열람 또는 그 사본의 발급 등 내용의 확인을 요청할 수 있고 환자의 가족이나 대리인 등은 동법 시행규칙 등에서 정하는 요건을 갖춘 경우에만 예외적으로 그 내용을 확인할 수 있을 뿐이어서 정보주체의 동의 없이도 가명정보의 처리를 허용하는 개인정보 보호법과의 관계가 문제될 여지가 있었는데 본 가이드라인은 의료기관이 보유 중인 환자에 관한 기록에 대해서는 의료법이 개인정보 보호법에 우선하여 적용되나 가명처리를 거친다면 의료법이 아닌 개인정보 보호법의 영역에 속하게 된다는 점을 명확히 하고 있다. 나아가 개인정보 보호법에 따른 가명처리가 생명윤리 및 안전에 관한 법률상 '익명화'에 해당함을 전제로 가명정보를 활용하는 인간대상연구는 동 법률 시행규칙에 규정된 '연구대상자 등에 대한 기존의 자료나 문서를 이용하는 연구'로서 기관생명윤리위원회(IRB)의 심의가 면제될 수 있다는 해석도 제시하고 있다. 이에 따라 동 법률에 따른 인간대상연구 과정 하에서도 연구대상자의 동의 없이도 가명정보를 활용하는 것이 가능해질 것으로 이해가 되는데 본 가이드라인에서는 이러한 심의 및 동의 면제 여부에 대해 기관생명윤리위원회의 확인이 필요하다는 취지로 언급하고 있음을 유의할 필요가 있다.

 

본 가이드라인은 특정 산업 분야의 개인정보 가명처리를 다룬 최초로 발간된 가이드라인으로서 보건의료 데이터의 특성을 감안한 구체적인 해석과 사례들을 통해 수범자들에게 실천적인 기준을 제시하고 있다는 점에서 상당한 의의가 있다. 본 가이드라인이 개인정보처리자들에게는 신뢰할 만한 준거로 기능함과 동시에 시시각각 변해가는 사회상을 반영하고 긍정적인 변화를 이끌 수 있는 진정한 모범으로서 지속적으로 발전하고 거듭날 수 있기를 기대해본다.

 

 

이인환 변호사 (김앤장 법률사무소)

종합법무관리솔루션

관련 법조인