[헬스케어 변호사 - 보건의료데이터 활용 가이드라인 해설(1)]

안녕하세요. 법무법인 청출 이영경 변호사입니다.

저는 한국보건의료정보원의 보건의료 데이터 심의 전문위원으로 활동하고 있습니다. 오늘부터 2회에 걸쳐 2024년 1월에 보건복지부와 개인정보보호위원회가 공동으로 발표한 '보건의료데이터 활용 가이드라인'의 주요 내용을 소개해 드리고자 합니다. 이번 포스팅에서는 가이드라인의 개요와 가명처리에 대해 다루어 보겠습니다.

이영경 변호사, (재)한국보건의료정보원 '보건의료분야 데이터 심의 전문위원' 위촉 - 법무법인 청출

[Question]

‘보건의료데이터 활용 가이드라인’의 개요와 가명처리에 대한 내용을 설명해주세요.

[Answer]

1. 가이드라인 개요 및 법적 근거

본 가이드라인의 주요 목적은 "데이터 활용의 핵심인 가명정보 활용에 대한 법적 근거 마련"을 통해 "개인정보처리자가 개인정보를 가명처리하여 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 활용할 수 있는 기반"을 마련하는 것입니다.

적용 범위는 "의료기관, 연구자, 기업, 공공기관, 대학교 등 보건의료데이터를 처리하는 모든 개인정보처리자"입니다.

2. 주요 용어 정의 및 가명정보 활용 원칙

가이드라인은 가명정보를 "개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보"로 정의하고 있습니다.

가명정보 활용의 핵심 원칙으로 "개인정보보호법 제3조(개인정보 보호 원칙)에 따라 처리 목적에 필요한 범위에서 최소한의 개인정보에 한해 처리하여야 함"을 강조하고 있습니다. 또한 "보호법 제3조제7항에 따라 익명정보를 이용하여도 목적 달성이 가능한 경우 익명정보로 처리하여야 함"을 명시하고 있습니다.

3. 과학적 연구의 개념과 범위

"과학적 연구"에 대해 가이드라인은 구체적인 예시를 제시하고 있습니다. "과학적 연구"란 "기술개발, 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구"를 의미하며, 다음과 같은 예시가 포함됩니다:

• 약물을 개선･개발하거나, 기존 약물의 효과를 평가하기 위한 연구

• 의료기기를 개선･개발하거나, 기존 의료기기의 효과를 평가하기 위한 연구

• 진단･치료법을 개선･개발하거나, 기존 진단･치료법의 효과를 평가하기 위한 연구

• 진단･치료 등의 의료적 목적을 갖는 소프트웨어를 개선･개발하거나, 기존 의료적 목적을 갖는 소프트웨어의 효과를 평가하기 위한 연구

• 특정 질환을 갖고 있거나, 특정 치료제･치료법에 적합한 임상적 요건을 갖춘 환자의 수, 지역적･연령적 분포 등을 살피는 연구, 타 질환과의 연관성을 살피는 연구

4. 가명처리 절차

가명처리 절차는 ① 목적 설정 등 사전준비, ② 위험성 검토 ③ 가명처리 수행, ④ 적정성 검토 및 추가 가명처리, ⑤ 가명정보의 안전한 관리 단계로 이루어집니다.

위험성 검토 단계에서는 '① 데이터의 식별 위험성'과 '② 처리 환경의 식별 위험성'으로 구분하여 검토해야 합니다. 데이터의 식별 위험성 검토 시에는 식별정보, 식별가능정보, 특이정보 유무, 재식별시 영향도 등을 고려해야 합니다. 처리 환경의 식별 위험성 검토 시에는 활용 형태, 처리 장소, 처리 방법 등을 고려해야 합니다.

5. 가명처리 기술

가이드라인은 다양한 가명처리 기술을 소개하고 있습니다. 예를 들어:

• 삭제기술: 원본 정보에서 개인정보를 단순 삭제

• 마스킹: 특정 항목의 일부 또는 전부를 공백 또는 문자로 대체

• 총계처리: 평균값, 최댓값, 최솟값 등으로 처리

• 범주화: 수치 데이터를 범위로 변환

• 암호화: 특정 정보를 알고리즘을 이용해 암호화

각 기술의 구체적인 적용 방법과 예시가 가이드라인에 상세히 제시되어 있습니다.

6. 기관보건의료데이터심의위원회(DRB)의 역할

가이드라인은 DRB의 구성과 역할에 대해 상세히 설명하고 있습니다. "가명정보 보유기관은 가명정보 처리 절차를 규정한 내부 관리계획에 따라 검토위원회(기관보건의료데이터심의위원회, 이하 'DRB'라 함)를 구성하여 적정성 검토 등의 업무를 수행할 수 있음"을 명시하고 있습니다. DRB는 5인 이상(외부위원 2명 이상 포함)으로 구성할 것을 권장하고 있습니다.

7. 안전한 관리 및 재식별 금지

안전한 관리 단계에서는 재식별 금지와 관련된 구체적인 모니터링 방법과 조치사항이 중요합니다. 가이드라인은 "누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 되며(보호법 제28조의5 제1항), 가명정보 처리 과정에서 우연히 특정 개인이 식별되는 경우 처리중지, 회수, 파기 등과 같이 위험을 제거하기 위한 적절한 조치를 즉시 수행하여야 함(보호법 제28조의5 제2항)"을 강조하고 있습니다.

8. 다른 법률과의 관계

가이드라인은 생명윤리법, 의료법 등과의 관계에 대해 설명하고 있습니다. 예를 들어, "과학적 연구가 생명윤리법에 따른 '인간대상 연구'에 해당하는 경우, 연구자는 동법 제16조에 따라 연구대상자로부터 서면동의를 받거나, 서면동의 면제에 관하여 기관생명윤리위원회 승인을 받아야 함"을 명시하고 있습니다.

9. 가명정보 제공 시 대가 수령

가이드라인은 "보호법 제28조의2제2항에 따른 제3자 제공 시 대가를 받는 것은 금지하고 있지 않음"을 명시하고 있습니다. 다만, "가명정보 제공 대상이나 가명처리 목적이 특정되지 않은 상황에서 가명처리 하는 것과 추후 그 가명정보를 제공하고 그에 대한 대가를 받는 것은 판매가 목적인 경우로 볼 수 있어 허용되지 않음"을 주의사항으로 언급하고 있습니다.

이상으로 보건의료데이터 활용 가이드라인의 주요 내용을 살펴보았습니다. 본 가이드라인은 보건의료데이터의 안전하고 효과적인 활용을 위한 중요한 지침을 제공하고 있습니다.

다음 포스팅에서는 가명정보의 결합 및 반출, 그리고 안전성 확보 조치에 대해 자세히 알아보도록 하겠습니다.

법무법인 청출은 4대 대형로펌 출신의 변호사들이 설립한 기업분야 전문 로펌으로, 국가계약, 입찰, 입찰과 관련한 공정거래위원회 조사 등 관련된 종합적인 솔루션을 제공해 드리고 있습니다. 추가 문의사항이 있으실 경우 이메일 또는 전화로 편히 연락 주시기 바랍니다.