2020. 9. 발표된 개보위의 보건의료 데이터활용 가이드라인에서 유념할 내용만 정리해 보았다.
1. 보건의료 분야의 개인정보 가명처리 등에 대하여는 본 가이드라인이 '개인정보 가명처리 가이드라인'보다 우선하여 적용됨
2. 추가정보의 예 : 알고리즘, 매핑테이블정보, 가명처리에 사용된 개인정보 등
*추가정보와 가명정보는 관리적, 기술적으로 분리하여야 하고, 접근권한도 분리하여야 함
3. 과학적 연구 : 새로운 기술, 제품, 서비스의 연구개발이나 개선도 포함됨
*따라서 가명정보를 활용하여 새로운 서비스를 개발하는 것은 허용됨
4. 안전한 가명처리 방법이 없는 경우 : 안전한 가명처리 방법이 현재 개발되어 있지 않은 경우, 가명처리 방법이 개발될 때까지는 가명처리 가능 여부를 판단할 수 없으며, 이러한 정보는 정보주체 동의 하에서만 활용이 가능함
5. 본 가이드라인 외의 다른 방법을 활용한 가명처리 방법 : 외부전문가에게 평가를 받은 이후에 심의위원회 승인 하에 실시 가능
6. 식별자의 암호화 : 식별자를 양방향 암호화하거나, 알려진 일방 암호화 알고리즘(예:SHA, MD5)을 활용하여 암호화한 경우도 식별자로 해석됨. 따라서 가명처리 시 삭제 대상임
7. 건강정보(민감정보)에 대한 가명처리는 인정됨. 다만 구체적으로 따져보아야 하되, 예컨대 의료 환경에서 의료인이 입력한 정보 중 정형화되지 않은 자유입력 정보는 안전한 가명처리 방법이 개발될 때까지 가명처리 가능여부를 유보함
8. (음성정보) 가명처리 가능여부 유보 (본인 동의 기반으로만 사용 가능)
* 음성정보는 성문, 성조, 말투 등을 통해 개인을 유일하게 식별할 수 있는 요소가 남아있을 수 있기 때문에, 현재로서는 가명처리 가능성 여부를 유보함. 따라서 본인 동의 기반으로만 사용할 수 있음.
9. 유전체 정보는 그 안에 담긴 정보의 내용을 모두 해석해내지 못하고 있고, 부모·조상·형제·자매·자손·친척 등의 제3자 정보를 담고 있을 수 있으므로 적절한 가명처리 방법이 개발될 때까지는 가명처리 가능여부 유보가 적절함
10. (유전체를 제외한 오믹스* 정보) 가명처리 불요
11. (지문 등 생체인식정보) 가명처리 가능여부 유보(본인 동의 기반으로만 사용 가능)
12. 가명정보를 최초 제공받을 당시 원 개인정보처리자에게 밝힌 목적(X) 외의 목적(Y)* 으로 처리할 경우 내부 활용절차에 준하여 심의위원회의 심의를 받아야 함. 또한, 원 개인정보처리자에게 고지할 것을 권장
* 이때, Y목적은 통계 작성, 과학적 연구, 공익적 기록보존 등으로 한정됨
13. 개정 개인정보 보호법(이하 ‘개보법’)의 ‘가명처리’는 생명윤리법의 ‘익명화’에 포함되는 것으로 해석됨
14. ⅰ) 의료기관이, ⅱ) 보유 중인 ⅲ) 환자에 관한 기록을 ⅳ) 제3자(외부자)에게, ⅴ) 열람 또는 사본 발급 등 그 내용의 확인을 제공하는 경우에 개인정보 보호법을 적용하지 않고 의료법*을 적용함
15. 데이터 심의위원회 : 가명정보의 기관 내 활용, 기관 외 제공, 결합신청, 가명처리 적정성 검토 등을 실시 할 수 있는 독립 위원회
16. 가명정보를 재제공* 할 목적으로 제공받는 것은 금지됨
* 최초 개인정보를 보유한 자 A가 가명처리를 한 정보를 B에게 제공하고, B가 별도의 과학적 연구 등을 수행하지 않고 C에게 정보를 제공하는 경우
이상 주의해야 할 점을 몇 가지 적어보았다. 실제 업무를 하는 경우는 더 많은 점을 신경써야 하겠지만, 열거한 점을 유념하면 업무가 많이 편해질 수 있을 것이다.
* 법무법인 민후 김경환 대표변호사 작성, 블로그(2021. 2. 16.) 기고.
