보건복지부(이하 ‘복지부’)와 개인정보 보호위원회(이하 ‘보호위’)는 2024. 1. 「보건의료데이터 활용 가이드라인」을 개정*하였습니다. 「보건의료데이터 활용 가이드라인」은 2020. 9. 최초 발간되었고, 2022. 1. 1차 개정되었으며(이하 ‘개정 전 가이드라인’), 이번에 2차 개정되었습니다(이하 ‘개정 가이드라인’).
* 2014. 1. 19. 개정안을 공개하고, 2024. 1. 29.까지 의견수렴을 거쳐 2024. 1. 31. 최종 확정안을 복지부, 한국보건의료정보원 등 유관기관 홈페이지에 게시함
I. 시사점
개정 전 가이드라인은 보건의료데이터 활용에 있어 (i) 데이터 유형별로 가명처리를 유보해야 하는 데이터 유형(유전체데이터 등)과 (ii) 데이터심의위원회(Data Review Board, 이하 ‘DRB’)의 설치 및 인적구성(외부위원 인원 등)을 정하는 등, 보건의료데이터 특유의 지침을 상당 부분 포함하고 있었습니다.
이번 개정 가이드라인은 업계 애로사항을 고려하여 (i) 데이터 유형별 가명처리 가부는 개인정보처리자 스스로 판단하도록 하였고(유전체데이터 등 일부 데이터 유형의 가명처리 방식은 추가로 예시함), (ii) DRB는 내부관리계획에 따라 구성·운영하되 외부위원 포함 요건은 권장사항으로 완화하였습니다.
개정 가이드라인은 의료제품 개발을 위해 고품질의 의료데이터 확보가 필요한 헬스케어기업과, 그러한 의료데이터를 가명처리 및 제공하는 의료기관 간의 데이터 제공·활용 실무에 상당한 영향을 끼칠 것으로 보여집니다. 구체적으로는, (i) 의학적 가치가 높은 의료인의 자유입력(free-text) 차트 데이터, 유전자검사 파일(VCF) 및 기록지 등의 가명처리가 가능해지고, (ii) DRB 설치 및 운영에 있어 각 사업자/기관별 내부관리계획에 맞게 위원 구성을 적절히 조정할 수 있게 될 것으로 기대됩니다.
II. 가이드라인 주요 개정 내용
1. 데이터 유형별 가명처리 방법
개정 전 가이드라인에서는 데이터 유형별로 적정한 가명처리 방식을 제시하면서, 안전한 가명처리 방식이 개발되지 않은 경우 가명처리를 통한 활용을 유보한다(즉, 정보주체 동의를 얻어야 활용이 가능하다)는 입장을 취했습니다. 이에 따르면, 유전체데이터, 자유입력데이터(문자열), 음성데이터는 가명처리가 유보되는 데이터 유형에 해당하였습니다.
이번 개정 가이드라인(12면)에서는 ”보건의료 분야는 비정형 데이터가 다양하게 존재하고 있어 일률적인 가명처리 방법 및 기준 제시가 제한”되므로, 개인정보처리자 스스로 데이터 유형별로 가명처리 방식을 선택하도록 하였습니다. 한편, 유전체데이터, 자유입력데이터(문자열), 음성데이터에 대해서는 적정한 가명처리 방법의 예시를 수록하였습니다.
** NGS 기반 유전자검사 중 SAM/BAM/VCF 및 검사기록지는 개인식별위험성이 있는 희귀 변이 염기서열 정보, 메타데이터 등을 삭제하여 가명처리. 단, FASTQ 원시데이터는 정보주체 동의를 받는 것을 권고
2. 보호위의 「가명정보 처리 가이드라인」과의 조화
이번 개정 가이드라인은 DRB를 개인정보 보호법상 내부관리계획의 일부로 명시하는 것을 포함하여, 보호위의 「가명정보 처리 가이드라인」(2022. 4.)의 재위탁 관련 서술(11면), 내부관리계획 작성예시(78면), 가명처리 기술 및 예시(80면) 등을 대폭 수용하였습니다.
개정 전 가이드라인에는 보건의료데이터에 특유한 DRB에 대해 규정하고 있었는데, 각 기관별로 DRB를 설치해야 하는지, DRB 운영을 위탁할 수 있는지 등 실무상 논란이 있었으나, 이번 개정 가이드라인(7, 21면)에서는 DRB에 대해 “개인정보처리자가 보호법 제28조의2에 따라 가명정보처리 시, 가명처리 적정성 검토 등을 위해 기관 내부 관리계획에 따라 구성·운영하는 검토위원회”임을 명시하였고, 외부위원을 포함한 위원 구성 요건도 필수(“구성해야 함”)에서 권장 사항(“구성할 수 있음”)으로 기준이 완화되었습니다.
한편, 부록 서식 중 ‘가명정보 제공 및 활용 계약서(안)’ (62면)에서 가명정보 활용에 따른 연구 결과 및 지식재산권의 귀속에 대한 예시조항은 삭제되었고, 가명정보 제공 비용 산정 기준(76면)이 새롭게 추가되었습니다. 나아가, 최근 논의 중인 비정형데이터 가명처리 기준에 대해서도 지속적인 모니터링이 필요할 것으로 보입니다.
3. 의료기관 등 가명정보 제공자 책임소재 명확화
개정 전 가이드라인에서는 가명정보 제공자가 어떤 요건 하에서 법적 책임이 면제되는지 기준이 다소 불명확하였으나(가명정보 제공자와 가명정보를 제공받는 자 간에 ‘계약으로 명확한 책임관계를 정하라’고 가이드하였음), 이번 개정 가이드라인에서는, 가명정보 제공자가 개인정보 보호법에서 정한 목적에 따라 가명처리하고, 가명정보에 대해 안전조치 등 법률에서 정한 사항을 준수하였다면, 가명정보를 제공받은 자의 안전조치 미이행, 고의의 재식별행위 등 위법행위에 대해서는 책임을 지지 않는다(“해당 행위자만 제재한다”)는 취지의 해석이 명시되었습니다.
아울러, 가명정보 활용을 위해 의료기록을 가명처리 하기 위한 목적으로 열람할 경우, 의료법 관련 조항과의 충돌 여부에 대한 복지부 유권해석(복지부 보건의료정책과-의료기관정책과-보건의료데이터진흥과, 2023. 3. 21.자 검토의견)도 함께 수록되었습니다.