8월 데이터3법 시행으로 정보거래 가능성을 놓고 산업계는 물론 보건의료계 관심이 뜨겁다.

보건의료계는 데이터3법에 기대와 우려를 동시에 보내며 정보활용 지침인 '가이드라인' 발표에 촉각을 곤두세웠다.

25일 개인정보보호위원회와 보건복지부는 개인정보 활용 가이드라인과 세부 영역인 보건의료데이터 활용 가이드라인을 발표했다.

가이드라인은 관련 용어 정리부터 제정 목적과 가명처리 방법, 활용절차와 안전·보호조치까지 데이터 활용에 대한 전반적인 지식을 제공하고 있다.

특히 가명정보 처리 정도에 따라 생명윤리법에서 규정하는 익명정보로써 활용하겠다는 정책 방향성은, 목표를 특정한 연구일 경우에서의 보건의료정보산업 발전 가능성을 제시하고 있다.

그렇지만 업계는 여전히 궁금하다. 궁금증은 질환 자체로 특정인을 식별할 수 있는 희귀질환데이터 연구 가능 여부와 가명정보의 재식별 가능성판단, 정보의 보관 등 실무적인 면에서 나오고 있다.

나아가 연구·실험 자체를 양도하는 경우 취해야할 조치나 가이드라인 내용을 성실히 이행했으나 해커 등 돌발적 요인으로 정보가 유출된 경우도 여기에 포함된다.

이에 개인정보위원회와 복지부는 '보건의료 데이터 활용 FAQ'를 통해 업계의 공통적으로 가질 만 한 문의사항에 대한 답을 제시했다.

■ 가명 조치한 의료데이터-산업 활용 'OK'

가명정보는 일련의 처리 과정(수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 등)을 거친 후 ▲통계작성, ▲과학적 연구, ▲공익적 기록보존의 세 목적으로 사용 가능하다.

이중 과학적 연구는 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구가 포함된다.

특히 '산업적 연구' 역시 과학적 연구 범주에 포함된다. 과학적 연구는 공중보건 등 공익을 위해 시행되는 연구 외에도 새로운 기술·제품·서비스의 연구개발 및 개선 등 산업적 목적 연구까지 범위를 넓히고 있다.

■ 희귀질환 대상 연구-환자 동의 혹은 필요성에 따라 'OK'

희귀질환 연구 가능성은 보건의료정보산업의 성패를 가른다 할 정도로 귀추가 주목되던 부분이었다.

환자의 질환으로 특정인 식별이 가능해 이에 대한 연구에는 한계가 있을 수 있다는 우려가 나왔기 때문이다.

FAQ에 따르면 일부 정보에 대해서는 본인의 동의를 받아 활용하는 것을 원칙으로 한다.

일부 정보에는 ▲정신질환 및 처방약 정보, ▲성매개감염 정보, ▲후천성면역결핍증 정보, ▲희귀질환 정보, ▲학대 및 낙태 관련 정보 등이 포함된다.

이들은 재식별이 될 경우 행위자 처벌과는 무관하게 정보주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 부분으로, 환자 동의가 필요하다.

그렇지만 이들 정보를 가명처리해 연구 등 목적으로 활용할 필요성이 인정되는 경우에는 심의위원회에 그 사유와 정보인권을 보호할 특별한 보호조치에 대항 승인을 얻으면 활용할 수 있다.

■ 재식별 가능성 판단-명확한 기준 세울 수 없어

이 부분은 다소 모호하다. 그도 그럴 것이 재식별 가능성은 가명처리 기술 및 재식별 기술 발달에 따라 절대적인 기준을 제시할 수는 없기 때문이다.

이에 따라 개인정보위원회는 식별가능성에 ▲가명정보를 입수하는 사람또는 가명정보가 처리된느 환경이 접할 수 있는 배경지식을 철저하게 통제했는지, ▲식별을 어렵게 하는 기술적·관리적·물리적 조치를 충실히 다 했는지를 평가함으로써 정보의 관리 여부를 살피는 것이 적절하다는 답을 내놨다.

■ 가명정보의 재제공·가공 후 재제공-합의에 따라 'OK'

가명정보를 생산하는데 사용된 원 개인정보 처리자와 개인정보처리자, 제3자는 원 개인정보의 수집목적과 내용, 새로운 연구 목적 등에 대한 합의와 심의위원회 심의가 있을 경우 재제공이 가능하다.

그렇지만 적절한 재제공 절차 마련이 필요하다.

■데이터 활용이 끝났다. 폐기해야 하나?-파기 권장

가명정보 처리 목적이 달성됐거나 보관 기간이 경과하는 등 제공받은 데이터 활용이 끝난 후, 개인정보위원회는 가명정보를 지체 없이 파기할 것을 권장하고 있다.
 
■ 연구 양도로 가명정보 이전이 필요한데...-정보 처리 의무 승계 필요

가명정보를 제공받은 기관이 인수되거나 합병될 경우에는 가명정보를 즉시 파기하거나 인수기업이 의무를 승계하도록 정해야 한다.

이때 재식별 등 손해배상에 관한 내용이나 배상보험 가입에 관한 내용을 양도 조건에 담을 것이 권장된다.

■ 반출된 가명정보가 재식별됐다, 책임은?-재식별 행위자가 처벌

정보에 대한 책임 역시 중요한 부분이다. 정상적인 가명처리 절차에 따라 반출돼 활용된 가명정보가 재식별 할 수 있게 됐다면 그 책임은 어디에 있을까.

개인정보보호원은 개인정보처리자, 수취당사자보다는 재식별 행위에 무게를 두겠다는 입장이다. 다만 책임 및 권한(활용목적, 활용방법, 보호방법, 재제공가능여부, 대가, 파기의무, 손해배상책임의 한계 등 책임)은 명확히 하라는 입장이다.

■ 성실히 따랐지만 해커가...-가명처리 수준에 따라 판단

안전·보호조치를 성실히 따랐지만 해커의 공격 등 악의적 목적으로 데이터 유출 또는 재식별이 될 경우, 면책 여부를 판

가름 한느 것은 가명정보 처리 이행도다.

개인정보위원회는 개인정보처리자가 가명정보를 처리함에 있어 절차적, 기술적으로 적절한 노력을 다 했는지 판단한느 과정에서 면책 여부가 결정될 것이라고 설명했다.

한편 이번 FAQ에는 ▲가명처리 정보 철회, ▲개인정보보호법과 의료법, 생명윤리법 간 관계, ▲데이터 결합 및 반출에 드는 시간 등에 대한 질문과 답변이 함께 게재됐다(파일 하단 첨부 : 출처 개인정보보호위원회).