지난 달 시범운영 시작 ‘가명정보 비조치의견서 제도’ 첫 회신사례
[보안뉴스 여이레 기자] 개인정보보호위원회는 지난 26일 가명처리한 사망환자 정보를 연구·교육 목적으로 활용한 국제 공동연구 사례에 대해, ‘개인정보 보호법’(이하 보호법)상 행정조치 대상에 해당하지 않는다는 내용의 ‘비조치의견서’를 회신했다고 28일 밝혔다. 이번 회신은 개인정보위가 지난달 시범 도입한 ‘가명정보 비조치의견서’ 제도의 1호 사례다.
[자료: 연합뉴스]
‘가명정보 비조치의견서’는 신청인이 수행하려는 가명정보 처리 행위의 구체적 내용을 제출하면, 개인정보위가 법령 위반 여부를 검토한 뒤 위법성이 없다고 판단할 경우 ‘행정조치 대상이 아님’을 사전에 통지하는 제도다. 현장에서 가명정보 처리의 적법성 판단이 어려운 경우 불확실성을 줄이기 위한 취지로 도입됐다.
이번 사안은 서울대병원이 사망이 확인된 환자의 의료데이터를 가명처리해 연구·교육 목적에 활용하고자 하면서, 해당 행위가 보호법 적용 대상인지 사전 질의한 데 따른 것이다.
보호법상 개인정보는 ‘살아 있는 개인’에 관한 정보로 사망자 정보는 원칙적으로 개인정보에 해당하지 않는다. 다만 사망자 정보라도 유족과의 관계를 알 수 있는 정보라면 유족의 개인정보로 해석돼 보호법 적용 가능성이 있어, 개인정보위는 유족 관련성이 실질적으로 제거됐는지와 오남용·유출 위험 등을 중점적으로 들여다봤다.
개인정보위에 따르면 서울대병원은 연구 활용 전 사망환자 정보 가운데 유족과 관련될 수 있는 정보를 일괄 삭제하고, 유족과의 관련성을 유추할 수 없도록 처리했다. 이후 기관 내부 데이터심의위원회(DRB)를 통해 가명처리 적정성 등을 심의·승인받았다. 환자번호와 모든 날짜·시간, 진단코드 등에 대해서도 가명처리를 수행했다. 또한 기관 생명윤리위원회(IRB) 심의를 거쳐 ‘최소 위험 연구’로 승인받았다고 개인정보위는 설명했다.
기술·관리적 통제도 적용됐다. 해당 데이터는 병원 내 자체 구축 플랫폼을 통해서만 처리되도록 했고, 무단 외부반출이 불가능하도록 이용자 통제방안을 마련하는 등 반출 차단 중심의 보호조치를 갖췄다.
개인정보위는 이 같은 조치를 종합적으로 고려해 “해당 처리 행위는 보호법 적용 범위에 포함되지 않는다”고 명확히 하면서, 법 적용 대상이 아님에도 높은 수준의 보안 및 윤리적 안전장치를 마련한 점을 긍정적으로 평가했다.
비조치의견서 회신 사례는 공개가 원칙이다. 가명정보 처리 행위에 대해 현행 법령·가이드라인의 해석이나 적용이 어렵다고 판단될 경우 누구나 신청 가능하다
아울러 개인정보위는 보건복지부와 함께 사망환자정보 활용을 위한 가명처리 기준과 심의 절차 등을 구체화한 뒤, 연내 관련 가이드라인 개정에 반영할 계획이다.
송경희 개인정보위 위원장은 “그간 법적으로는 보호법 적용 대상이 아님에도 유족 식별 위험이나 모호한 법령 해석으로 현장 활용에 어려움이 컸던 사망환자정보에 대해 구체적인 판단과 활용 사례를 제시했다는 점에서 의미가 있다”며 “관계부처와 협력해 데이터 활용의 어려움을 적극 개선하겠다”고 말했다.
[여이레 기자(gore@boannews.com)]
[보안뉴스 여이레 기자] 개인정보보호위원회는 지난 26일 가명처리한 사망환자 정보를 연구·교육 목적으로 활용한 국제 공동연구 사례에 대해, ‘개인정보 보호법’(이하 보호법)상 행정조치 대상에 해당하지 않는다는 내용의 ‘비조치의견서’를 회신했다고 28일 밝혔다. 이번 회신은 개인정보위가 지난달 시범 도입한 ‘가명정보 비조치의견서’ 제도의 1호 사례다.
[자료: 연합뉴스]
‘가명정보 비조치의견서’는 신청인이 수행하려는 가명정보 처리 행위의 구체적 내용을 제출하면, 개인정보위가 법령 위반 여부를 검토한 뒤 위법성이 없다고 판단할 경우 ‘행정조치 대상이 아님’을 사전에 통지하는 제도다. 현장에서 가명정보 처리의 적법성 판단이 어려운 경우 불확실성을 줄이기 위한 취지로 도입됐다.
이번 사안은 서울대병원이 사망이 확인된 환자의 의료데이터를 가명처리해 연구·교육 목적에 활용하고자 하면서, 해당 행위가 보호법 적용 대상인지 사전 질의한 데 따른 것이다.
보호법상 개인정보는 ‘살아 있는 개인’에 관한 정보로 사망자 정보는 원칙적으로 개인정보에 해당하지 않는다. 다만 사망자 정보라도 유족과의 관계를 알 수 있는 정보라면 유족의 개인정보로 해석돼 보호법 적용 가능성이 있어, 개인정보위는 유족 관련성이 실질적으로 제거됐는지와 오남용·유출 위험 등을 중점적으로 들여다봤다.
개인정보위에 따르면 서울대병원은 연구 활용 전 사망환자 정보 가운데 유족과 관련될 수 있는 정보를 일괄 삭제하고, 유족과의 관련성을 유추할 수 없도록 처리했다. 이후 기관 내부 데이터심의위원회(DRB)를 통해 가명처리 적정성 등을 심의·승인받았다. 환자번호와 모든 날짜·시간, 진단코드 등에 대해서도 가명처리를 수행했다. 또한 기관 생명윤리위원회(IRB) 심의를 거쳐 ‘최소 위험 연구’로 승인받았다고 개인정보위는 설명했다.
기술·관리적 통제도 적용됐다. 해당 데이터는 병원 내 자체 구축 플랫폼을 통해서만 처리되도록 했고, 무단 외부반출이 불가능하도록 이용자 통제방안을 마련하는 등 반출 차단 중심의 보호조치를 갖췄다.
개인정보위는 이 같은 조치를 종합적으로 고려해 “해당 처리 행위는 보호법 적용 범위에 포함되지 않는다”고 명확히 하면서, 법 적용 대상이 아님에도 높은 수준의 보안 및 윤리적 안전장치를 마련한 점을 긍정적으로 평가했다.
비조치의견서 회신 사례는 공개가 원칙이다. 가명정보 처리 행위에 대해 현행 법령·가이드라인의 해석이나 적용이 어렵다고 판단될 경우 누구나 신청 가능하다
아울러 개인정보위는 보건복지부와 함께 사망환자정보 활용을 위한 가명처리 기준과 심의 절차 등을 구체화한 뒤, 연내 관련 가이드라인 개정에 반영할 계획이다.
송경희 개인정보위 위원장은 “그간 법적으로는 보호법 적용 대상이 아님에도 유족 식별 위험이나 모호한 법령 해석으로 현장 활용에 어려움이 컸던 사망환자정보에 대해 구체적인 판단과 활용 사례를 제시했다는 점에서 의미가 있다”며 “관계부처와 협력해 데이터 활용의 어려움을 적극 개선하겠다”고 말했다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
