[개인정보보호위원회]개인정보위, 가명처리한 사망환자정보 활용 국제 공동연구에 대해 비조치의견 회신

개인정보위, 가명처리한 사망환자정보 활용 국제 공동연구에 대해 비조치의견 회신

- 지난 달 시범운영 시작한 「가명정보 비조치의견서 제도」 첫 번째 회신사례

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 12월 26일, 가명처리한 사망환자 정보를 활용한 국제 공동연구 사례에 대해 「개인정보 보호법」(이하 '보호법')상 행정조치 대상에 해당하지 않는다는 내용의 비조치의견서를 회신하였다고 밝혔다.

  이번 사례는 개인정보위가 지난달 시범 도입한 「가명정보 비조치의견서」 제도의 1호 회신 사례에 해당한다. 이 제도는 신청인이 수행하려는 가명정보 처리 행위의 구체적인 내용을 제출하면, 개인정보위가 법령위반 여부 검토 후 위법성이 없다고 판단될 경우 "행정조치 대상이 아님"을 통지하는 제도이다.

  이번 회신은 서울대병원이 사망이 확인된 환자의 의료데이터를 가명처리하여 연구·교육 목적으로 활용하고자 하면서, 해당 처리 행위가 보호법 적용 대상에 해당하는지 여부에 대해 사전 질의한 데 따른 것이다. 

  개인정보는 "살아 있는 개인"에 관한 정보로서, 사망자에 대한 정보는 원칙적으로 개인정보에 해당하지 않으나, 사망자 정보라 하더라도 유족과의 관계를 알 수 있는 정보인 경우에는 유족의 개인정보에 해당하여 보호법이 적용될 수 있다. 이에 따라 개인정보위는 이번 사안에서 유족과의 관련성이 실질적으로 제거되었는지 여부와 오남용·유출 위험이 있는지 등을 중점적으로 검토하였다.

  서울대병원은 연구 활용에 앞서 사망한 환자 정보 중 유족과 관련될 수 있는 정보를 일괄 삭제하고 유족과의 관련성을 유추할 수 없도록 처리한 뒤, 이를 자체 데이터심의위원회(DRB)*를 통해 심의·승인받았다. 또한 환자번호, 모든 날짜·시간, 진단코드 등에 대해서도 가명처리를 수행하고, 기관 생명윤리위원회(IRB)**의 심의를 거쳐 최소 위험 연구로 승인받았다. 아울러, 해당 데이터는 병원 내에서 자체적으로 구축한 플랫폼을 통해서만 처리되고, 무단 외부반출이 불가능하도록 하는 등 이용자 통제방안도 마련하였다.

  * 기관 데이터심의위원회(DRB) : 개인정보처리자가 보호법 제28조의2에 따라 가명정보 처리 시, 가명처리 적정성 검토 등을 위해 기관 내부 관리계획에 따라 구성·운영하는 검토위원회

 ** 기관 생명윤리위원회(IRB) : 생명윤리 및 안전을 확보하기 위하여 생명윤리법 제10조에 따라 인간대상연구를 수행하는 자의 소속된 기관이 설치·운영하는 위원회

  개인정보위는 이러한 사안을 종합적으로 고려하여, 서울대병원의 사망한 환자 정보에 대한 해당 처리 행위가 보호법 적용 범위에 포함되지 않음을 명확히 하였으며, 보호법상 보호 대상이 아님에도 불구하고 높은 수준의 보안과 윤리적 안전장치를 갖추었다고 판단했다.

  가명정보 비조치의견서 회신 사례는 공개를 원칙으로 하며, '가명정보 지원 플랫폼(dataprivacy.go.kr) > 가명정보 비조치의견서' 메뉴에서 확인할 수 있다.  가명정보 처리 행위에 대해 현행 법령 및 가이드라인의 해석이나 적용이 어려운 경우, 누구든지 신청 가능하다.

  한편, 개인정보위는 복지부와 사망환자정보 활용을 위한 가명처리 기준과 심의 절차 등을 구체화한 후 연내 관련 가이드라인을 개정하여 반영할 계획이다.

  송경희 개인정보위 위원장은 "이번 사례는 그간 법적으로 보호법 적용 대상이 아님에도 불구하고, 유족 식별 위험성이나 모호한 법령 해석으로  현장에서 활용에 어려움을 겪어온 사망환자정보에 대해 구체적인 판단과 활용 사례를 제시했다는 점에서 의미가 있다."라고 강조하며, "앞으로 복지부 등 관계부처와 긴밀히 협력하여 현장에서 느끼는 데이터 활용의 어려움을 적극 개선해나가겠다"라고 말했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 데이터안전정책과 주문호(02-2100-3088)