보건의료산업 관련 데이터 이용의 쟁점

김화 한국민사법학회 2020 民事法學 Vol.92 No.-

In jüngsten Zeit speilt die sog. Big-Data mit der Zeit eine große Rolle im allen neuen Industriebranche. All die Brennpunke im Zusammenhang mit dem Datenschutz sowie Datenverwendung beziehen sich auf dem Schutz der personlichen Daten, insbesondere Schutz vor unbefugtem Datengebrauch sowie unerlaubtem Datenabfluss. Dennoch sollte man es nicht berücksichtigen, dass derartige Daten mehr Bedeutung hinsichtlich des Entstehend von Big-Data nehmen. Aufgrund dessen sollte man richtiges Schlüssel ziehen, wie diese Daten zum Zweck des Big-Date richtig und gerechtfertigt verwendet werden können. Im Zusammenhang mit den persönlichen Gesundheits- oder Behandlungsdaten ist solche Überlegung von mehren Bedeutungen, weil diese Gesundheitsdaten klare Bezug auf innere Bereich der Personen haben. Bislang befasst sich man vornehmlich mit dem Schutz der Gesundheitsdaten. Jedoch kann man die neue Novellierung der Datenschutzgesetze so bewerten, dass Gebrauch als Schutz solchen Daten mehre Wertung hat. Damit eine Mittelweg zwischen dem Schutz und Verwendung gefunden werden könnte, ist über Sondergesetz für Gesundheitsdatenschutz nachzudeken. Demgegenüber sollte man darauf fokussieren, dass unerlässliche Datenschutz im Rahmen der Gesundheitsbranche auch mit Hilfe von Selbstkontrolle der Behandelnden erreicht werden kann. Darüber hinaus kann man eine Gewinnszuweisungsrecht im Erwägung ziehen, denn die auf Big-Date zugrundelegende Daten beruhen auf einzele Daten von jeweiligen betreffenden Personen. Da die Behandlungs- sowie Gesundheitsdaten für wichtigen Beweis in Gerichtsverfahren verwendet werden kann, sollte die Richtigkeit der Daten gewährleistet werden. Dafür sollte ein Recht auf Berichtigung von seinen eigenen Daten zugesprochen werden. 최근 데이터 규제와 관련된 데이터 3법이 개정되면서 데이터의 이용에 대한 관심이 크게 높아지게 되었다. 개개인의 데이터를 수집하여 빅데이터를 만들고, 그러한 빅데이터를 활용하여서 의미있는 결과를 도출할 수 있는 기술은 인공지능(A.I.) 기술이 상용화되면서 더욱 가속화되고 있다. 이제 데이터는 단순히 자연히 생성되고 사라지는 그 무엇이 아니라 새로운 산업혁명을 위한 쌀과 같은 위치를 점하게 된 것이다. 특히 그 중에서도 개인의료정보는 최근의 코로나 사태를 맞이하면서 더욱 중요한 의미를 가지게 되었다. 개인의료정보의 통합 및 분석을 통하여서 새로운 신약의 개발부터 그 평가, 효과적인 의료보건정책의 수립까지 가능하게 되었기 때문이다. 그러나 개인의료정보의 경우 이는 개인의 내밀한 영역과 관련되어 있는 민감정보로서 활용의 필요성 뿐 아니라 보호의 필요성도 매우 큰 부분이다. 특히 개인의료정보를 다루는 의료기관들이 정보화되어가며 개인의료정보는 쉽게 수집되어 유출될 수 있게 되었고, 한번 유출된 개인의료정보의 경우 그 피해를 사후적으로 복구하는 것이 거의 불가능하기 때문이다. 결국 개인의료정보와 관련된 문제는 그 이용과 보호의 접점을 어떻게 맞출 수 있는가의 문제로 귀결되게 된다. 개인의료정보의 경우 개인의 민감한 정보의 측면 뿐 아니라, 이는 의료행위를 통하여서 수집된다는 측면에서 환자의 입장에서 의료인이 개인의료정보활용의 동의를 요구하는 경우 이를 거부하기 쉽지 않다는 문제점이 있다. 또한 치료과정에서 다양한 기관, 의료인 및 비의료인들이 개입하는 만큼 개인의료정보가 유출되는 경우 이를 복구하기는 매우 어려운 반면 유출의 위험성은 매우 크다는 특징을 가지고 있다. 개인의료정보의 적절한 활용과 그를 가능하게 하기 위한 충분한 보호를 위해서는 개인의료정보를 수집, 처리하는 의료기관 등의 자율적인 정보보호의 노력이 필요하다. 또한 개인의료정보가 그 진실성이 담보될 수 있고, 정보주체에 의한 자율적인 감시가 가능하기 위하여서 개인의료정보에 대한 정정 및 삭제청구권이 적극적으로 활용될 필요성이 있다. 개인의료정보는 다른 개인정보와 다른 다기한 특수성이 존재하므로 개인의료정보보호만을 위한 특별법의 필요성도 고려해 볼 수 있을 것이다. 마지막으로 이러한 개인의 의료정보를 통하여서 상업적 이익이 발생하는 경우 그러한 정보를 제공한 정보주체에 대하여서 그 이익을 적절하게 분배할 수 있는 시스템을 도입함으로써 개인의료정보의 보호 뿐 아니라 활용도 함께 도모될 수 있는 제도의 도입도 요구된다고 본다.

의료 분야에서의 개인정보보호

최계영(Kae-Young Choi) 서울대학교 공익산업법센터 2016 경제규제와 법 Vol.9 No.2

의료 분야에서의 개인정보보호는 사생활의 보호, 의료행위의 원활한 수행을 위해 중요하지만, 개인의료정보의 활용이 가져다 줄 학술적⋅경제적 유용성도 외면할 수 없다. 개인의료정보의 ‘보호’와 ‘이용’ 사이에서 적절한 균형점을 찾는 것은 현재의 시급한 과제이다. 이 연구는 의료 분야에서의 개인정보보호에 관한 유럽연합과 미국의 현황을 살펴보고 우리나라에의 시사점을 도출하고자 하였다. 양 법제를 비교할 때에는 개인정보보호 규제체계를 구성하는 기본개념인 ① 보호 대상 정보, ② 동의, ③ 동의 면제 사유를 기준으로 하였다. 유럽연합의 개인정보보호 법제에는 2016년 개인정보보호일반규정(General Data Protection Regulation; GDPR)이 제정되면서 큰 변화가 일어났다. 보호 대상 정보에 관하여 보면, 기존의 개인정보/익명정보 이분법에서 벗어나 처음으로 가명정보개념이 도입되었다. 정보주체의 위험을 감소시키면서 동시에 개인정보처리자의 의무를 경감시키는 장치이다. 동의에 관해 보면, 연구를 위한 개인정보 이용에 대해서는 정보주체의 구체적 동의 대신 ‘광범위한 동의’(broad consent)도 가능하다는 해석이 규정 전문에 명시되었다. 개인의료정보의 이차적 이용을 용이하게 하기 위한 것이다. 동의 면제 사유에 관하여 보면, 민감정보에 대해서도 의학적 목적, 공중보건, 연구 목적을 위한 이용에 대하여 비교적 넓게 정보주체의 동의가 면제된다는 점을 확인할 수 있었다. 미국에는 개인의료정보 보호에 관한 법률이 별도로 제정되어 있다(HIPAA). 먼저 보호 대상 정보에 관하여 보면, 비식별화 방식에 관한 구체적 규정을 두고 있다는 점이 특징적이다. ‘전문가결정 방식’과 ‘세이프하버 방식’이 그것이다. 또한 ‘제한적 정보집합물’ 개념을 따로 두어 부분적으로 규제를 완화하고 있다. 동의 면제 사유에 관하여 보면, 기관심사위원회(IRB) 등의 동의 면제 승인이 있으면 동의 없이도 연구 목적을 위하여 개인의료정보를 이용할 수 있는 가능성을 열어 두고 있다. 이상의 논의를 토대로 우리나라 법제에의 시사점을 도출하였다. 첫째, 정부가 제정한 『개인정보 비식별 조치 가이드라인』은 법적 구속력이 없으므로 개인의료정보의 안정적인 이용을 보장하는 데에는 한계가 있고, 적어도 법률에 위임근거를 둔 법규명령의 형식으로 비식별화 방식이 규정되는 것이 바람직하다. 둘째, 동의의 요건을 완화하여 해석하는 최근의 흐름에 비추어 볼 때 연구 목적 이용을 위한 동의에 있어서는 특정 연구에 한정되지 않고, 후속 연구나 연관된 연구에 재사용하는 것을 허용하는 광범위한 동의도 허용될 것이다. 셋째, 민감정보에 대해서도 연구 목적 이용에 대해서는 동의를 면제하는 방향의 입법적 개선이 필요하다. Although personal information protection in the medical field is important for privacy protection and smooth implementation of medical practice, the scientific/economic usefulness of personal health information cannot be disregarded. Finding an appropriate balance point between the ‘protection’ and ‘use’ of personal health information is an urgent task of now. This study is aimed to examine the present situation of personal information protection in the medical field in the European Union and the USA to derive implications for South Korea. The two legislative systems were compared with each other based on ① protected information, ② consent, and ③ reasons for exemptions from consent, which are basic concepts that constitute personal information protection regulations. European Union’s legislative system for personal information protection was changed drastically when the General Data Protection Regulation (GDPR) was established in 2016. With regard to protected information, breaking from the existing dichotomy of personal information and anonymous information, the concept of pseudonymized information was introduced for the first time. Pseudonymized information is a device that reduces the risk of data subjects while relieving the obligations of data controllers. With regard to consents, an interpretation that, for use of personal information for research, data subjects’ ‘broad consents’ may be valid instead of their specific consents was stated clearly in the GDPR Recital with a view to facilitating secondary use of personal health information. With regard to reasons for exemptions from consents, it could be seen that relatively wide ranges of the use of sensitive data for medical purposes, public health related purposes and research purposes are exempted from data subjects’ consents. In the USA, a law regarding personal health information protection (HIPAA) has been separately enacted. First, with regard to protected information, the said is characteristic in that it has specific regulations for de-identification methods, which are the ‘expert determination method’ and the ‘safe harbor method.’ In addition, the concept of ‘limited data set’ is separately set forth to partially relax the regulation. With regard to reasons for exemptions from consents, the law opens up possibilities to use personal health information for research purposes without data subjects’ consents on approval of a waiver of authorization from Institutional Review Boards, etc. Based on the above discussion, implications for South Korean legislative systems were derived. First, the 『personal information de-identification action guidelines』 established by the government have limitations in ensuring stable use of personal health information because they have no legal binding force and specifying de-identification methods with a ground for delegation in a law is desirable. Second, in light of recent streams to interpret requirements for consents toward relaxation, in the case of consents for research purposes, broad consents that are not limited to specific studies but are reusable for follow-up studies or related studies will be allowed. Third, legislative improvement is necessary toward giving exemption from consents to the use of sensitive data for research purposes is exemption from consents.

의료인의 환자 개인의료정보 보호에 관한 법적 고찰

백경희(白景喜),장연화(張宴華) 조선대학교 법학연구원 2020 法學論叢 Vol.27 No.2

의료과실의 존부가 문제되는 의료분쟁에서 진료기록은 이를 판단하는 가장 중요한 증거가 되는 동시에, 환자의 고유식별정보를 비롯하여 건강과 관련된 민감한 개인정보가 포함되어 있는 문건이다. 현행법은 환자의 개인의료정보를 보호하기 위하여 의료인에게 환자의 진료상 비밀을 누설하지 못하도록 하고, 진료기록을 환자 본인 이외의 자에 대해 열람하거나 그 사본을 발급하지 못하도록 하고 있다. 그런데 의료분쟁이 발생했을 때 의료인은 진료기록을 토대로 의료과실이 없다는 점이 확인되어야 민사상 손해배상책임과 형사상 업무상 과실치사상죄의 죄책에서 면책되게 된다. 대상사건들은 의료분쟁 중 법적 절차를 거치지 아니한 채 의사가 자신의 의료 무과실을 밝히고자 자신이 지니고 있는 환자의 진료기록 상 개인의료정보를 사용한 것이다. 의료분쟁의 해결도 법질서를 바로 잡기 위한 것으로 공익성이 인정되는바, 이를 위해 의료인이 진료기록상 환자 개인의료정보를 사용한 것이 사회상규에 위배되지 않는 정당행위로 위법성이 조각될 수 있는지가 문제된다. 본고에서는 환자의 개인의료정보가 기록된 진료기록을 중심으로, 개인의료정보의 보호와 의료인의 진료기록 사용의 정당성 여부를 대상 사건들을 중심으로 살펴보고자 한다. In medical disputes where the presence or absence of medical malpractice is a problem, medical records are the most important evidence for judging this, and are documents containing sensitive personal information related to health including unique personal identification information of patients. Under the current law, in order to protect the personal medical information of patients, it is necessary to prevent the medical information from leaking the medical secrets of the patient from the medical personnel. And it is also necessary for the the patient himself to view and to issue the medical records. However, when a medical dispute occurs, medical personnel should be confirmed that there is no medical malpractice based on the medical records, and then will be exempted from civil liability and criminal liability. The case involved the use of personal medical information in the medical records of the patient that medical personnel possesses without going through legal procedures in the medical dispute to clarify absence of medical medical malpractice. The question is whether illegality can be justified, if it is a legitimate act that does not violate social norms that medical personnel use personal medical information of patients in medical records for that purpose. In this paper, I would like to focus on the medical records in which the in personnel medical information of patients is recorded and examine whether or not the protection of in personnel medical information and the use of medical records by medical personnel are justified. 医療過誤の存否が問題となる医療紛争で診療記録は、これを判断するための最も重要な証拠となるとともに、患者の固有識別情報を含む健康に関する敏感な個人情報が含まれている文書である。現行法は、患者の個人医療情報を保護するために、医療関係者に患者の診療上の秘密を漏洩しないようにして、診療記録を患者本人以外の者に対して閲覧したり、そのコピーを発行しないようにしている。 ところが、医療紛争が発生したとき、医療人は、診療記録をもとに、医療過誤がないという点が確認されるべきで民事上の損害賠償責任と刑事業務上過失致死傷罪の罪責で免責されることになる。対象事件は、医療紛争で法的手続きを経ないまま、医師が自分の医療無過失を明らかにしよう、自分が持っている患者の診療記録上の個人医療情報を使用したものである。医療紛争の解決にも法秩序を正すためのもので公益性が認められるところ、そのために医療人が診療記録上、患者の個人医療情報を使用したことが、社会常規に違反しない正当な行為で違法性が阻却されることができるかの問題になる。本稿では、患者の個人医療情報が記録された診療記録を中心に、個人医療情報の保護と医療人の診療記録の使用の正当性かどうかを対象事件を中心に検討したい。

의료영역에서의 개인정보보호의 문제점과 해결방안

이한주 한국의료법학회 2012 한국의료법학회지 Vol.20 No.2

지식정보사회에서 개인정보 보호의 문제는 더 이상 각 개인의 사생활 문제의 차원에서 해결할 수 있는 것이 아니라 사회적으로 해결해야할 중요한 과제로 인식되고 있다. 특히 개인의료정보 보호의 문제는 정보의 특성과 함께 의료적 특수성을 함께 고려해서 판단해야할 것이다. 본 논문에서는 개인정보를 포함한 개인의료정보의 개념과 특성을 통하여 법적 보호의 필요성을 파악하고자 하였다. 특히 개인정보의 보호가 헌법적으로 어떤 의미를 갖고 있는지에 대해 기존의 논의와 헌법재판소 등의 판례와 함께 검토하였다. 이를 바탕으로 개인의료정보가 의료 프로세스 상에서 수집, 이용, 제공, 폐기 등의 각 단계에서 어떤 문제점이 발생할 수 있는지를 판단하고자 하였다. 특히 2011년 ‘개인정보보호법’이 제정·시행됨으로서 기존의 법령을 통해서 해결할 수 없었던 많은 부분들을 보완할 수 있게 되었으나, 아직 해결해야할 많은 문제들이 있음을 적시하였다. 결론적으로 개인의료정보는 다른 정보와 달리 보호뿐만 아니라 이용의 필요성도 함께 제기되고 있다는 점을 고려하여 양측을 균형적으로 고려하는 것이 무엇보다 중요하다. 또한 의료행위 과정에서 개인의료정보는 여러 가지 문제에 직면할 수 있기 때문에, 각 단계별로 침해여부에 대한 면밀한 검토가 필요하다.

보건의료 빅데이터 활용에 관한 법적 검토 - 개인정보보호를 중심으로 -

김근령 ( Kim Geun Ryeong ),이대희 ( Lee Dae Hee ) 한남대학교 과학기술법연구원 2018 과학기술법연구 Vol.24 No.3

본 연구는 보건의료 빅데이터의 활용에 있어 제기되는 법적 쟁점을 개인정보보호의 측면에서 검토하였다. 구체적으로 보건의료 빅데이터의 정의와 특성을 살펴보고, 보건의료 빅데이터의 활용에 있어서 개인정보 보호법과의 쟁점을 검토하고, 외국의 관련 법률 및 사례 연구를 통해 보건의료 빅데이터의 활용에 있어서 개인정보보호법의 개정 방향에 대해 논의하였다. 먼저, 보건의료 빅데이터는 개인정보보호법 상에서 쟁점을 살펴보면 다음과 같다. 우리의 개인정보보호법에서 정의하는 개인정보의 정의가 모호하다. 개인정보의 판단기준이 식별가능성이라는 추상적이고 포괄적인 기준으로 판단하고 있어 보건의료 분야 뿐 아니라 향후 타 분야의 빅데이터 활용을 위해서도 개인정보 개념에 대한 재정립이 필요한 것으로 보인다. 다음으로, 보건의료정보는 개인정보이자 민감정보에 해당하므로 개인정보보호법에 따라 수집되어야 하는데, 그 수집방법에 있어서는 정보주체의 사전 동의가 필수적이다. 그러나 보건의료 빅데이터의 경우 모든 개인정보의 대해 사전의 동의를 구하는 것이 현실적으로 불가능하다고 볼 수 있다. 따라서 개인정보보호원칙의 기본이 되는 통지 및 동의(notice and consent)의 원칙이 지켜지기 어려운 문제가 발생한다. 또한 보건의료 빅데이터 중 장기간 축적되는 시계열이 존재하며, 빅데이터 분석을 통한 새로운 결과를 도출해 낼 수 있는 특성으로 인하여 개인정보 최소화 및 목적 명확성의 원칙이 지켜지기 어려운 측면이 있다. 이외에도 비식별화를 통해 개인정보를 활용할 수 있으나, 비식별화 방안에 대한 구체적인 법적 근거가 없으며, 비식별화 조치를 수행한 보건의료 정보라도 이 정보가 일정한 분석 또는 결합 등에 의해 재식별 가능성이 존재할 수 있다. 이러한 상황하에서 보건의료 빅데이터의 경우 기존의 개인정보보호원칙을 고수하기 보다는 상황에 맞게 융통적·합리적으로 적용하는 것이 필요하다. 미국 백악관 보고서에 의하면 전후사정 내지 맥락(context)의 중요성을 고려하여 빅데이터 활용을 통해 데이터 수집시에는 예상할 수 없었던 방식으로 변할 수 있다는 것을 인정하며 데이터를 전후 사정에 적절하게 사용함으로써 소비자에게 혜택을 제공하여 혁신의 원천을 제공하며, 기업에게는 융통성을 제공할 수 있다고 제안하고 있다. 뿐만 아니라 개인정보보호법 내 비식별화 및 재식별에 대한 명확한 기준이 필요할 것으로 보인다. EU GDPR처럼 개인정보보호원칙이 배제되는 익명정보와 일정한 조치하에 공익적 목적으로 사용가능한 가명정보의 구분, 미국의 HIPPA의 전문가 결정방식과 세이프하버(Safe Harbor)처럼 비식별화 방식의 구체적인 제시가 필요하다. 결국 보건의료 빅데이터의 활용에 있어서는 개인정보 주체를 보호하고 기술활용에 따른 보건의료 기술 발전 및 치료법 개발 등의 공공적 혜택을 누릴 수 있도록 하는 것은 개인정보보호원칙이 어떻게 적절하게 적용할 것인가 여부에 달려있으며, 에스토니아 사례에서 보듯이 정부 주도의 효율적 시스템 도입과 법제 개정을 통하여 투명성이 보장된 시스템을 기반으로 블록체인 등의 신기술을 활용하여 국민의 의료정보를 보호함과 동시에 보건의료 빅데이터의 효율적 활용을 고려할 필요가 있다. This paper examines the legal issues in the utilization of healthcare big data from the perspective of personal data regime. First of all, it reviews the definition and characteristics of healthcare data, and explains that the definition of personal data under the Personal Data Protection Act is ambiguous. This paper argues that fair information practice principles(FIPPs) is in conflict with the healthcare big data analysis. First, it is practically impossible to obtain consent from the data subject in the analysis of big data. Second, the analysis of healthcare big data cannot meet the data minimization principles because there is a long-term accumulation time series of healthcare big data. Third, the purpose specification principle cannot not complied because data would be analyzed for the purpose quite differently from that of the collection. In conclusion, this paper argues that personal data needs redefining, that the opt-out system be adopted at least for the analysis healthcare big data, that clear criteria be set for de-identification or anonymization, that re-identification be strictly prohibited, and that new technologies such as blockchain technology be adopted to utilize big data while protection personal privacy.

코로나 팬데믹 사태에서 의료 빅데이터 수집과 활용에 따른 법적 문제

선종수 ( Sun Jong Soo ) 한국비교형사법학회 2021 비교형사법연구 Vol.22 No.4

과학기술은 날로 발전하고 있으며, 앞으로 어떠한 모습으로 어떻게 변화할 것인지 예측도 하지만, 그렇지 않은 경우도 있다. 기술 발전에 따라 삶은 풍요로워질 뿐만 아니라 편리해 질 것이다. 그러나 이와는 반대로 다양한 문제도 노출된다. 특히 개인의 사생활 침해는 예전이나 지금이나 향후에도 여전히 풀어야 할 숙제로 남는다. 개인의료정보를 수집·관리·분석을 위해서 정보주체의 명시적 사전동의가 필요하다. 그리고 이를 활용하기 위해서는 광범위한 개인의료정보가 빅데이터로 축적되어야 하며, 이들 정보를 의료기관들 사이에서 공유할 수 있어야 비로소 의료 빅데이터가 구축된 것이라 할 수 있다. 이러한 개인의료정보를 빅데이터로 구축한다는 것은 개인의료정보를 보호한다는 측면과 정면으로 충돌할 가능성이 있다. 개인의료정보의 ‘활용’은 대부분 연구를 위한 목적으로 사용되고 이를 통해 우리 사회의 새로운 방어체계를 구축하는 것에 도움이 되는 긍정적 효과가 나타날 수 있다. 그러나 긍정적 측면이 있음에도 불구하고 개인의료정보는 민감정보로 유출 등으로 인한 피해의 위험성이 언제나 상존하고 있다. 이러한 위험성에 대한 법적 한계를 설정하는 것은 「개인정보 보호법」을 기본으로 하고 있다. 그러나 의료정보라는 특수한 영역을 전반적으로 다룰 수 있는 것은 아니다. 이에 따라 「의료법」을 비롯하여 「보건의료기본법」 등 여러 법률에서 이에 관하여 규율하고 있다. 우리와는 달리 미국, 캐나다 그리고 프랑스의 경우 단일화된 법률로 의료정보를 관리하는 체계를 갖추고 있다. 앞으로 우리 사회는 현재보다 더 많은 의료정보를 수집하고 빅데이터로 축적할 것이며, 이를 여러 산업현장에서 활용할 것이다. 이러한 과정은 필연적으로 자기정보결정권의 침해 문제, 개인의료정보 소유권 문제 그리고 수집되고 분석한 개인의료정보 활용에서 정보 보관과 폐기 등 다양한 문제가 제기될 것이다. 위험성 제거를 위한 강력한 법적 규제를 할 경우 수집한 의료정보를 적절하게 활용함에 제한을 받게 된다. 이는 개인정보를 보호한다는 측면에서만 보면 적합하지만, 모든 국민의 사회보장 또는 보건의료복지의 보장 측면에서 보면 적합하지 않은 결과를 초래하게 된다. 따라서 이를 적절하게 운용할 수 있는 방안을 모색해야 하며, 그 방안은 정책적 모형으로도 가능하지만, 법적 근거를 가질 수 있는 방향으로 찾아야 할 것이다. Scientific technology is developing day by day, and people try to predict in what way and how it will change in the future, but it’s not always predictable. With the development of technology, life will become not only affluent but also convenient. Yet, on the other hand, diverse problems will be exposed, too. In particular, the invasion of personal privacy was, is and will be still the problem to solve. For the collection, management and analysis of personal medical information, clear prior consent by the owner of the information is necessary. In addition, for the use of this, an extensive range of personal medical information needs to be accumulated as big data, and only when this information can be shared among medical organizations, we can say medical big data has been established. This establishment of personal medical information itno big data has the possibility of coming into conflict with the position of protecting personal medical information. The ‘use’ of personal medical information is mostly for the purpose of research, through which, there can be the positive effect of helping establish a new protection system of our society. Yet, in spite of the positive aspect, the danger of damage because of the leakage of sensitive information always coexits in personal medical information. To set legal limit to prevent this danger is based on 「the Personal Information Protection Act」. However, it can’t cover all the areas of the special field of medical information. Accordingly, different laws including 「Medical Law」 and 「Framework Act on Health and Medical Services」 regulate it. Different from Korea, the United States, Canada and France have the system to manage medical information with unified law. Our society will collect more medical information in the future than in the present, accumulate it as big data, and use it in different industrial sites. In this process, a vaiety of problems will necessarily occur, such as the violation of the right to informational self-determination, the ownership of personal medical information, and information keeping and discard in the use of the collected and analyzed personal medical information. In case of strong regulation to get rid of danger, the proper use of the collected medical information becomes limited. It’s appropriate from the aspect of protection of personal information, but it can bring about undesirable results from the aspect of the guarantee of the social security or health care welfare of all citizens. Therefore, the way to manage it properly needs to be found, and even though it is possible as a policy model, the direction should be toward the establishment of the legal foundation.

醫療情報와 個人情報保護

전영주(Jeun Young-Ju) 한국법학회 2006 법학연구 Vol.23 No.-

인터넷과 미디어 등을 통해 우리는 하루에도 수많은 정보를 얻고, 대량 정보가 순식간에 송ㆍ수신되는 시대를 살고 있다. 정보통신 기술의 발전과 급변하는 현대사회에서 많은 진화와 진보를 하고 있는 것이다. 의료분야에서도 전자의무기록시스템이나 원격수술시스템 등 의료과학의 발전이 계속되고 있다. 그러나 종종 개업한 병원들이 어떻게 주소를 알았는지 우편물을 보내고, 각종 은행ㆍ보험회사 등 민간기업에서도 요청하지 않은 홍보물이 도착하곤 한다. 이처럼 과학기술의 발전과 더불어 개인정보의 피해 사례는 계속 증가할 것으로 보인다. 또한 개인병원과 민간기업들과 같은 영리단체들이 본인들의 이익을 위하여 개인정보를 얻기 위해 금전적 불법거래를 한다는 뉴스를 접할 때면 개인정보 보호에 관한 대책 마련이 시급함을 의미한다. 알리고 싶지 않은 개인정보가 유출됨으로 인해 피해를 본다면 이는 개인정보자기결정권을 침해했다고 할 수 있다. 의료기술과학과 생명공학의 발달로 인간의 유전자정보를 이용하여 개인의 사생활 침해, 기업 채용시 차별, 보험회사들의 차별 문제 등이 발생할 수 있어 미국 등 선진각국에서는 이미 이에 대비한 제도적 장치를 마련하고 있다. 우리나라에서도 날로 심각해지는 개인정보보호를 위해 개인정보기본법안을 국회에 상정하였으나 아직까지 통과되지 못하고 있는 실정이다. 우리나라 개인정보관련 법률을 보면 우선 정보통신망이용촉진및정보보호등에관한법률, 공공부문의개인정보보호에관한법률, 신용정보보호에관한법률 등이 있으나, 공공부문과 민간부분이 나뉘어져 있고, 이러한 개인정보 보호에 관한 적용이 세분화되어 있어 자칫 법의 사각지대가 발생할 수 있어, 개인정보 보호 중 특히 정보의 특수성을 갖는 의료정보에서 개인정보 보호는 취약할 수밖에 없다. 2005년 정부혁신지방분권위원회는 새로운 개인정보 보호체계의 근간이 될 '개인정보보호기본법' 제정안을 공표하기도 하였으나 정부 부처간 협의가 이루어지지 않고 있어 우리나라는 개인정보 보호에 대한 기본법률 조차 없는 실정이다. 따라서 개인정보보호기본법을 제정함에 있어 무엇보다도 의료정보와 관련된 문제점을 정확히 파악하고 대처하는 것이 의료정보보호의 취약함을 보완하는 최선책일 것이다. 현재의 의료법만으로는 의료정보의 표준화와 정보화 등을 규율할 수 없고, 단순한 의료인의 비밀유지 등 몇몇 규정만으로는 의료정보에서 발생되는 개인정보를 보호하기에는 미흡하며, 의료정보관련 개인정보보호법안이 보다 시급하다. In this paper, The purpose of promoting individual information protection, medical service information, and individual right to control the circulation of information relation to oneself. The private information protection law and the private protection law by the executive branch lack a particular policy to protect the individuals' privacy on medical information. Therefore, when there is a dispute in revealing certain medical information, the victim can be protected by filing his or her complaint to the administration of justice or to the victimizer who may come up with a way to satisfy the victim. Especially, Genetic technology including genetic test and screening, gene therapy and genetic enhancement is developing rapidly. As genetic technology and other technologies relevant to human bioloty are developed, society will faced a host of complex ethical, legal, and social issues. One of the most complex sets of issues involves our choices over who will access to these technologies. There is a great concern that the mischiefs of genetic technology may outstrip its benefits. In addition, another question has been raised who should benefit from the development of genetic technology. enterprise that offers consumers commodities or services is checking problem about customer information of management system is checking problem about customer information of management system essentially. Also, in Korea and Japan, the law about individual information protection of administrative machinery is already made. And the law about finance enterprise like bank or communication enterprise is being made. in addition, basic law of 「individual information protection」 about general company is being under examination. Especially, medical service information can be divided several grade by infringement degree.

보건의료-빅데이터 산업을 위한 개인정보보호 법제 탐색

전정환 이화여자대학교 법학전문대학원 2017 Ewha Law Review Vol.7 No.-

New concerns regarding privacy protection of medical records are being raised as the availability and possibilities of this highly sensitive and personal set of information is rapidly growing in the healthcare big data area. U.S. and EU countries are trying to achieve this goal by establishing data classification standards of identifiable health information, introducing protective measurements for re-identification risks, and patient data ownership. On the other hand, they also work to adjust privacy regulations to meet the demands of the healthcare sector recognizing the increased use of medical big data, unlike the Korean counterpart who has been reluctant to promote the healthcare big data uses. This study first reviews the current healthcare big data uses and structure-based vulnerabilities of big data, and then comparatively studies the big-data related regulation systems. In conclusion, this study suggests that it is necessary to introduce public interest disclosure clause to Korea to balance between vitalization of the current health care big data and privacy regulation like U.S. or EU. 보건의료-빅데이터에 대한 전망과 기대가 높은 반면, 보건의료정보는 민감정보와 관련성이 높아 개인정보보호의 필요성이 큰 영역이라고 할 수 있다. 주요국들은 이를 주로 식별가능성(개인의 특정가능성)의 정도에 따른 정보처리 제한, 재식별화 위험 방지책 마련, 그리고 정보주체의 참여권 보장을 통해서 달성하고자 하는데, 보건의료-빅데이터 구조의 특성상 보다 엄격한 보호가 요구되는 면이 있다. 한편 주요국들은 건강산업(health industry)의 효용성에 주목하여, 이와 관련된 개인정보의 활용을 염두에 두고 개인정보보호법제를 조정하고 있는 것으로 보인다. 반면 한국의 경우는 소극적인 자세로 보건의료정보를 다루어 왔는데, 빅데이터 시대와 함께 건강정보의 효용성을 생각한다면 미국과 유럽의 개인정보보호법제에서 보건의료정보가 어떻게 취급되는지를 참고할 필요가 있다. 따라서 본고에서는 보건의료-빅데이터의 효용과, 그 구조에서 예상되는 개인정보침해 위험을 살펴보았고, 개인정보보호법제를 비교법적으로 살펴본 후, 한국에서 보건의료-빅데이터 활용에 적합한 법제를 검토해 보았다. 결론적으로 보건의료-빅데이터 산업의 활성화와 민감정보인 개인정보보호의 조화를 위해서는 주요국과 같이 한국에도 보건의료 공익을 위한 별도의 공정이용 조항 도입의 필요성이 있다고 본다.

‘보건의료 데이터 활용 가이드라인’의 현행법상 문제점

이석배 대한의료법학회 2021 의료법학 Vol.22 No.4

민간과 공공이 생산해내는 정보의 홍수속에서, 이 방대한 분량의 정보는 빅데이터로 대표되는 제4차 산업혁명시대의 핵심자원으로 간주되고 있다. 전 세계적으로 이 빅데이터에 대한 관심이 높아지고 데이터의 확보와 축적, 축적된 데이터의 안전하면서도 유용하게 활용하는 방안에 대한 논의가 활발하다. 특히 보건의료 데이터는 빅데이터 기술이 활용될 가장 가치있는 자원으로 평가되고 있다. 이러한 보건의료 데이터를 유용하게 활용하기 위해서는 분산된 보건의료 데이터를 통합하여 조사나 연구에 활용가능한 형태로 이용자에게 제공되어야 한다. 주요 국가들이 데이터 경제의 주도권을 확보하기 위해 경쟁하는 상황에서 우리나라도 2020년 8월 「개인정보보호법」등 소위 ‘데이터 3법’이 개인정보의 활용방향으로 개정되었다. ‘데이터 3법’의 개정은 개인정보 정의의 판단기준을 명확하게 하고, 가명정보의 개념을 도입하여 개인정보의 안전한 활용을 뒷받침하기 위한 제도적 기반이라 할 수 있다. 최근에는 그 후속 조치로 개인정보보호위원회가 ‘가명정보 처리 가이드라인’을 발표하였고, 보건복지부는 이와 별도로 ‘보건의료 데이터 활용 가이드라인’을 발표하였다. 하지만 여전히 풀어야 할 숙제는 남아있다. 우리나라는 「국민건강보호법」에 따라 전국민의 건강보험 가입이 의무화되어 있고, 모든 국민의 보건의료정보는 국민건강보험공단, 국민건강보험심사평가원 등 공공기관이 보유, 관리하고 있다. 이러한 데이터는 보건의료와 관한 빅데이터를 구성하게 되는데, 특히 모든 국민이 단일 건강보험에 모두 가입되어 있다는 점에서 보건의료 영역에서 빅데이터로서 그 가치와 잠재력은 어느 나라에서도 찾기 어려운 것도 사실이다. 반면 안정성의 측면에서는 그만큼 위험을 가지고 있다고 볼 수 있다. 보건의료데이터는 사람의 생명이나 신체와 직결되고 그와 관련된 수많은 민감정보를 포함하고 있어, 다른 분야보다 세심하고 보수적인 관점에서 개인정보를 보다 안전하게 보호하는 것을 전제로 그 안에서 활용이 될 수 있도록 제도가 마련되어야 할 것이다. 이 글에서는 개인정보보호위원회와 보건복지부가 제시한 ‘보건의료데이터 활용 가이드라인’의 주요내용을 분석하기 위하여 우선 개정된 「개인정보보호법」의 주요내용을 검토하고, 그에 따라 ‘보건의료 데이터 활용 가이드라인’의 주요내용을 분석하여 타법률과 충돌문제 등 그 문제점과 개선방안을 검토하였다. ‘보건의료 데이터 활용 가이드라인’은 그 성격상 현행 「개인정보보호법」의 해석을 보충하고, 보건의료 분야에 특화된 데이터 활용의 관점에서 「개인정보보호법」이 내다보지 못했던 상황에 관해 법의 해석・적용과 실무상의 지침을 제시하려 하였으나, 가이드라인의 제목에서 나타나듯이 ‘활용’에 초점을 두어 개인정보보호와 균형을 이루는 데에는 실패한 것으로 보인다. ‘보건의료 데이터 활용 가이드라인’은 「개인정보보호법」의 내재적인 문제점과 「의료법」, 「생명윤리법」과 충돌문제나 실효성 문제, 법률에 규정할 네용을 법률에 근거없이 가이드라인에 담고 있는 등 아직까지 미흡한 부분이 많고, 여러 가지 문제점을 가지고 있다는 점을 확인하였다. In the midst of the flood of private and public information, the huge amount of information is a key resource in the age of the 4th industrial revolution, represented by big data. Interest in these is growing worldwide. There is an active discussion about how to backup and accumulate data and how to use the collected data safely and effectively. Above all, health data is valued as the most valuable resource for which big data technology is used. To make good use of health data, distributed health data must be integrated and made available to users in a form that can be used for research or inspection. In a situation in which large countries are competing for the establishment or management of the data economy, the so-called 3 data laws, which contain the PERSONAL INFORMATION PROTECTION ACT(PIPA)), were also changed in South Korea in August 2020. The PIPA introduced the concept of pseudonymous information and established a legal basis for its use. As a follow-up action, the 'Personal Information Protection Commission (PIPC)' announced the 'Guidelines for Handling Pseudonymous Information' and 'Ministry of Health and Welfare' announced the 'Guidelines for the Use of Health Data'. Health data are directly related to human life and body and therefore contain a lot of sensitive data. So it is a system that can be used from a more cautious and conservative point of view, provided that personal data is more securely protected. In order to analyze the main content of the “Guidelines for the Use of Health Data”, we first checked the main content of the revised DSG. Afterwards, by analyzing the essential contents of the “Guidelines for Use of Health Data”, problems such as conflicts with other laws and improvement measures were checked.

플랫폼 경제시대 데이터 3법의 개정과 개인 의료데이터의 활용

손영화 한국지식재산학회 2021 産業財産權 Vol.- No.67

오늘날 우리는 인공지능(AI)을 이용한 기술혁신이 지배하는 이른바 제4차 산업혁명시대에 살고 있다. 이와 같은 다양한 미래기술 중의 하나 가 바로 플랫폼(platform)이다. 경제학에서 플랫폼이라고 하면 ‘구매자와 판매자, 양 당사자를 중개하는 것’을 지칭한다. 그러나 제4차 산업혁명 시대에서의 플랫폼은 단순한 중개의 장으로서의 역할을 뛰어 넘어 기 업 생존의 필수요소로서 자리매김하고 있다. 4차 산업혁명 시대의 핵심 자원으로 주목받고 있는 것의 하나가 바로 의료 빅데이터다. 미국의 경우에는 1996년 의료기관에서 의료 보험사측에 정확한 의료정보를 제 공하도록 하기 위하여 제정된 의료프라이버시법(Health Insurance Portability and Accountability Act)에서 치료목적의 정보 활용을 인정한 바 있다. 2009년 도입된 의료정보기술법(Health Information Technology for Economic and Clinical Health Act)은 의료정보의 의미있는 활용 (Meaningful Use)을 강조하면서 전자진료정보의 활용을 강조하였다. 개인 의료데이터를 기반으로 한 AI의 딥러닝기술 그리고 커넥티드 기구 등에 의한 개인 의료데이터의 집적에 따른 의료 빅데이터는 플랫 폼 경제시대의 핵심 자원이라고 할 것이다. 특히, 클라우드나 인공지능 등 신기술을 접목한 데이터 수집은 신산업 육성에 필수적인 요소로 손꼽힌다. 이와 같은 개인 의료데이터의 수집 및 그 활용은 새로운 산업의 한축을 담당할 것으로 기대된다. 그러나 그와 더불어 개인 의료데이 터는 개인정보에 해당하고, 경우에 따라서는 민감정보에 해당할 수 있 어 항상 그 침해가능성에 따른 보호의 문제가 제기되어 왔다. 그동안 우리나라의 개인정보보호법은 개인정보보호를 위한 보루의 역할을 다 해 왔는데, 그 반작용으로 개인 의료데이터의 이용 및 활용을 위한 장애 물이 되어 왔음도 사실이다. 최근 이른바 데이터 3법의 개정이 이루어져 개인 의료데이터의 이용 및 활용을 위한 계기를 새로이 만들어 주고 있다. 미국의 의료데이터를 둘러싼 법제를 살펴볼 때, 가명정보의 자유로운 이용을 규정하고 있다. 그러나 한편 FTC 3원칙에 의하여 가명정보 이용 시의 한계를 명확히 함으로써 개인정보의 침해가능성을 줄이고 있다. 우리나라의 개인정보보호법에서도 개인정보의 침해방지를 위하여 미 국 FTC 3원칙과 마찬가지로 가명정보의 재식별을 금지하도록 하는 규 정을 두고 있다. 앞으로 미국의 입법동향 및 실무지침의 운용현황을 예의 주시할 필요가 있다. The big medical data associated with the accumulation of personal medical data through AI's deep learning technology based on personal medical data and the connected organization can be said to be a core resource of the platform economy era. In particular, data collection combining new technologies such as cloud and artificial intelligence is considered an essential element in nurturing new industries. The collection and utilization of personal medical data is expected to play a role in a new industry. However, there has always been a problem of protection due to the possibility of personal medical data being personal information and possibly sensitive information. The Personal Information Protection Act of Korea has served as a fort for the protection of personal information, but it is also true that the reaction hinders the use of personal medical data. In recent years, the so-called Data 3 Law has been revised, creating new opportunities for the use of personal medical data. The U.S. government regulates the free use of pseudonymous data when it comes to medical data. On the other hand, the possibility of personal information infringement is reduced by clarifying the limitations of the use of pseudonymous data in accordance with FTC's three-part de-identification test. Korea's Personal Information Protection Act stipulates that re-identification of pseudonym information is prohibited, just like the U.S. In order to prevent personal information from being infringed, it is necessary to keep a close eye on the current status of the U.S. legislative trends and working-level guidelines.