[헬스케어 변호사 – 보건의료데이터 활용 가이드라인 해설 (2)]

안녕하세요. 법무법인 청출 이영경 변호사입니다.

[헬스케어 변호사 - 보건의료데이터 활용 가이드라인 해설(1)] - 법무법인 청출

저는 한국보건의료정보원의 보건의료 데이터 심의 전문위원으로 활동하고 있습니다. 지난 칼럼에 이어 2024년 1월에 보건복지부와 개인정보보호위원회가 공동으로 발표한 '보건의료데이터 활용 가이드라인'의 주요 내용을 소개해 드리고자 합니다.

이영경 변호사, (재)한국보건의료정보원 '보건의료분야 데이터 심의 전문위원' 위촉 - 법무법인 청출

[Question]

‘보건의료데이터 활용 가이드라인’상 가명정보의 결합 및 반출, 그리고 안전성 확보 조치에 대한 내용을 설명해주세요.

[Answer]

1. 가명정보 결합 및 반출

가이드라인은 가명정보 결합에 대해 상세히 설명하고 있습니다. "가명정보를 결합하여 활용하려는 개인정보처리자는 결합전문기관을 통해 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 가명정보 결합이 가능함"을 명시하고 있습니다.

결합 절차는 다음과 같이 진행됩니다: ① 결합신청자의 결합신청 ② 결합키관리기관의 결합키연계정보 생성 ③ 결합전문기관의 가명정보 결합 및 반출 ④ 결합신청자의 반출정보 활용 및 관리

특히 가이드라인은 "결합신청자는 결합신청 시 모의결합, 결합률 확인, 가명정보 추출을 선택하여 신청할 수 있음"을 강조하고 있습니다.

결합 및 반출 절차에 대해 가이드라인은 1) 결합신청, 2) 결합 및 추가처리, 3) 반출 및 활용, 4) 안전한 관리의 4단계로 설명하고 있으며, 각 단계별로 결합신청자, 결합전문기관, 결합키관리기관의 역할과 수행해야 할 작업을 상세히 설명하고 있습니다.

2. 안전성 확보 조치

가이드라인은 가명정보의 안전한 관리를 위한 구체적인 조치사항을 제시하고 있습니다. 이는 크게 관리적 보호조치, 기술적 보호조치, 물리적 보호조치로 구분됩니다.

관리적 보호조치와 관련하여, 가이드라인은 "개인정보처리자는 가명정보 및 추가정보를 안전하게 관리하기 위한 내부 관리계획을 수립･시행"해야 한다고 명시하고 있습니다. 내부 관리계획에는 "추가정보의 별도 분리 보관 및 이에 대한 접근권한 분리에 대한 사항 등을 포함하여야 함"을 강조하고 있습니다.

기술적 보호조치로는 "가명정보 및 추가정보의 분리 보관, 접근권한 관리, 접근통제 및 접속기록의 보관 및 점검 등"을 제시하고 있습니다. 특히 "추가정보와 가명정보는 분리하여 보관하는 것을 원칙으로 하고, 불가피한 사유로 물리적인 분리가 어려운 경우 DB 테이블 분리 등 논리적으로 분리하는 것도 가능함"을 언급하고 있습니다.

물리적 보호조치와 관련하여, "개인정보처리자는 가명정보 또는 추가정보를 전산실이나 자료보관실에 보관하는 경우 비인가자의 접근으로부터 보호하기 위하여 출입 통제 등의 절차를 수립하여야 함"을 명시하고 있습니다.

3. 정보주체의 권리보장

가이드라인은 정보주체의 권리보장에 대해서도 언급하고 있습니다. "개인정보처리자는 보호법 제37조에 따라 정보주체가 자신의 개인정보에 대한 가명처리 정지를 요구하는 경우 이를 보장하여야 함"을 강조하고 있습니다.

다만, "이미 해당주체의 개인정보가 가명처리된 경우에는 가명처리 정지 요구가 적용되지 않으며, 해당 정보주체의 개인정보에 대해서는 향후 통계작성, 과학적 연구, 공익적 기록보존 등 목적으로 가명처리가 이루어지지 않도록 처리하여야 함"을 명시하고 있습니다.

4. 가명정보 처리 관련 의료법 유권해석

가이드라인은 의료법과의 관계에 대해 구체적인 유권해석을 제시하고 있습니다. 예를 들어, "개인정보처리자(의료기관 등)가 개인정보 보호법 제28조의2에 따라 과학적 연구 등 목적으로 환자에 관한 기록을 가명처리하여 활용 및 제3자에게 제공하기 위해 개인정보처리자로부터 가명처리의 권한을 부여받은 같은 기관 내 전산실 등에 소속된 종사자에게 환자에 관한 기록을 열람하게 하거나 사본을 내어주는 행위는 의료법 제21조에서 금지하고 있는 제3자 제공에 해당하지 않음"을 명시하고 있습니다.

5. 가명정보 처리 관련 생명윤리법 유권해석

생명윤리법과의 관계에 대해서도 가이드라인은 구체적인 유권해석을 제시하고 있습니다. 예를 들어, "기관생명윤리위원회 심의면제"와 관련하여 "｢2021년 보건의료데이터 활용 가이드라인｣에 따라 해당 기관 차원에서 개인정보보호법에 따른 가명처리가 확인된 연구는 심의면제 가능"함을 명시하고 있습니다.

또한 "인간대상연구의 서면동의 면제"와 관련하여 "개인정보보호법에 따른 동의나 동의면제 또는 다른 법률에 따라 얻은 동의 범위 내 사용은 이 법에 따른 동의면제가 아님"을 강조하고 있습니다.

이상으로 보건의료데이터 활용 가이드라인의 주요 내용 중 가명정보 결합 및 반출, 안전성 확보 조치, 그리고 관련 법률과의 관계에 대해 살펴보았습니다. 이 가이드라인은 보건의료데이터의 안전하고 효과적인 활용을 위한 상세한 지침을 제공하고 있습니다. 보건의료데이터를 활용하시는 분들께서는 이 가이드라인을 참고하여 정보주체의 권리를 보호하면서도 데이터의 가치를 최대한 활용할 수 있기를 바랍니다.

법무법인 청출은 4대 대형로펌 출신의 변호사들이 설립한 기업분야 전문 로펌으로, 국가계약, 입찰, 입찰과 관련한 공정거래위원회 조사 등 관련된 종합적인 솔루션을 제공해 드리고 있습니다. 추가 문의사항이 있으실 경우 이메일 또는 전화로 편히 연락 주시기 바랍니다.