개인 동의 없이도 가명정보를 활용할 수 있게 한 개정 개인정보보호법이 시행된 가운데, 정신질환·성매매 감염병 등 개인 인권에 중대한 피해를 야기할 수 있는 정보는 원칙적으로 사전에 개인 동의를 거쳐야 한다는 내용의 가이드라인이 나왔다.
보건복지부와 개인정보보호위원회는 개인정보보호법 후속조치 일환으로 이 같은 내용의 ‘보건의료 데이터 활용 가이드라인’을 공개한다고 25일 밝혔다.
이 가이드라인은 보건의료 분야 가명정보의 안전한 활용을 위해 개인정보처리자가 참고할 수 있는 기준을 제시했다. 가명처리 기준과 방법, 절차 등을 제시함으로써 가명처리 시 오·남용을 방지하고 현장 혼란을 최소화한다는 방침이다.
처리 과정 전반에 걸쳐 운영 체제, 안전 조치와 윤리적 조치사항 등을 제시해 정보 주체의 권익을 보호했다.
개인정보처리자가 보건의료 데이터를 가명처리해 활용하고자 하는 경우 그 목적과 적절한 가명처리 방법, 처리 환경에 대해 데이터 심의위원회 승인을 받아야 한다. 또 가명 처리 후 가명처리가 적절하게 수행됐는지, 특정한 개인이 재식별될 가능성은 없는지 살필 수 있도록 심의위원회의 적정성 검토를 거치도록 했다.
가이드라인에서는 개인정보처리자가 데이터 유형별로 적절한 가명처리 방법과 절차를 통해 변환해 활용할 수 있게 하되, 정신질환·성매매감염병·후천성면역결핍증(AIDS)·희귀질환·학대 및 낙태 정보 등 재식별 시 개인 인권에 중대한 피해를 야기할 수 있는 정보에 대해서는 원칙적으로 동의를 받아 활용하도록 했다.
가명처리 과정에서 개인을 식별할 가능성이 높은 보험가입자번호, 환자번호 등 식별자는 삭제하거나 일련번호로 대체하고 그 외 정보는 재식별 가능성 등을 고려해 유형별로 적절한 가명처리 방법에 대해 제시했다. 또 유전체정보 등 안전한 가명처리 방법이 아직 개발되지 않은 경우 개인의 동의를 받도록 했다.
개인이 본인 정보를 가명처리해 활용하는 것을 원하지 않을 경우 이를 개인정보처리자에게 요구할 수 있다. 이 경우 가명처리 대상에서 제외(OPT-OUT·옵트아웃)된다.
임인택 보건복지부 보건산업정책국장은 “보건의료 데이터가 의약품·의료기기 개발 등을 포함한 과학적 연구에 안전하게 활용될 수 있게 이번 가이드라인을 마련했다”며 “가이드라인을 통해 보건의료 현장에서 활용 가능한 구체적인 가명처리 방법과 절차를 제시하고 개인정보보호법 개정 취지에 따라 데이터의 사회적 활용과 개인의 사생활 보호가 균형을 이룰 수 있게 제도적 장치와 근거를 마련했다”고 말했다.
