의료 분야에서의 개인정보보호 = Personal Information Protection in the
Medical Field - Centering on the Legislative Systems of the European Union
and the USA -
| 저자 |
최계영(Kae-Young
Choi) |
| 학술지명 | 경제규제와 법 |
| 권호사항 |
Vol.9No.2[2016]
|
| 발행처 |
서울대학교
공익산업법센터 |
| 자료유형 |
학술저널
|
| 수록면 |
206-223 |
| 언어 |
Korean |
| 발행년도 |
2016 |
| 주제어 |
개인의료정보(personal
health information),동의(consent),동의 면제 사유(reasons for exemptions from
consent),민감정보(sensitive information),비식별화(de-identification) |
| 초록 |
의료
분야에서의 개인정보보호는 사생활의 보호, 의료행위의 원활한 수행을 위해 중요하지만, 개인의료정보의 활용이 가져다 줄 학술적⋅경제적 유용성도
외면할 수 없다. 개인의료정보의 ‘보호’와 ‘이용’ 사이에서 적절한 균형점을 찾는 것은 현재의 시급한 과제이다. 이 연구는 의료 분야에서의
개인정보보호에 관한 유럽연합과 미국의 현황을 살펴보고 우리나라에의 시사점을 도출하고자 하였다. 양 법제를 비교할 때에는 개인정보보호
규제체계를 구성하는 기본개념인 ① 보호 대상 정보, ② 동의, ③ 동의 면제 사유를 기준으로 하였다.
유럽연합의 개인정보보호 법제에는 2016년
개인정보보호일반규정(General Data Protection Regulation; GDPR)이 제정되면서 큰 변화가 일어났다. 보호 대상
정보에 관하여 보면, 기존의 개인정보/익명정보 이분법에서 벗어나 처음으로 가명정보개념이 도입되었다. 정보주체의 위험을 감소시키면서 동시에
개인정보처리자의 의무를 경감시키는 장치이다. 동의에 관해 보면, 연구를 위한 개인정보 이용에 대해서는 정보주체의 구체적 동의 대신
‘광범위한 동의’(broad consent)도 가능하다는 해석이 규정 전문에 명시되었다. 개인의료정보의 이차적 이용을 용이하게 하기 위한
것이다. 동의 면제 사유에 관하여 보면, 민감정보에 대해서도 의학적 목적, 공중보건, 연구 목적을 위한 이용에 대하여 비교적 넓게
정보주체의 동의가 면제된다는 점을 확인할 수 있었다.
미국에는 개인의료정보 보호에 관한 법률이 별도로 제정되어
있다(HIPAA). 먼저 보호 대상 정보에 관하여 보면, 비식별화 방식에 관한 구체적 규정을 두고 있다는 점이 특징적이다. ‘전문가결정
방식’과 ‘세이프하버 방식’이 그것이다. 또한 ‘제한적 정보집합물’ 개념을 따로 두어 부분적으로 규제를 완화하고 있다. 동의 면제 사유에
관하여 보면, 기관심사위원회(IRB) 등의 동의 면제 승인이 있으면 동의 없이도 연구 목적을 위하여 개인의료정보를 이용할 수 있는 가능성을
열어 두고 있다.
이상의 논의를 토대로 우리나라 법제에의 시사점을 도출하였다.
첫째, 정부가 제정한 『개인정보 비식별 조치 가이드라인』은 법적 구속력이 없으므로 개인의료정보의 안정적인 이용을 보장하는 데에는 한계가 있고,
적어도 법률에 위임근거를 둔 법규명령의 형식으로 비식별화 방식이 규정되는 것이 바람직하다. 둘째, 동의의 요건을 완화하여 해석하는 최근의
흐름에 비추어 볼 때 연구 목적 이용을 위한 동의에 있어서는 특정 연구에 한정되지 않고, 후속 연구나 연관된 연구에 재사용하는 것을
허용하는 광범위한 동의도 허용될 것이다. 셋째, 민감정보에 대해서도 연구 목적 이용에 대해서는 동의를 면제하는 방향의 입법적 개선이
필요하다.
|
| 초록 |
Although
personal information protection in the medical field is important for privacy
protection and smooth implementation of medical practice, the
scientific/economic usefulness of personal health information cannot be
disregarded. Finding an appropriate balance point between the ‘protection’
and ‘use’ of personal health information is an urgent task of now. This study
is aimed to examine the present situation of personal information protection
in the medical field in the European Union and the USA to derive implications
for South Korea. The two legislative systems were compared with each other
based on ① protected information, ② consent, and ③ reasons for exemptions
from consent, which are basic concepts that constitute personal information
protection regulations.
European Union’s legislative system
for personal information protection was changed drastically when the General
Data Protection Regulation (GDPR) was established in 2016. With regard to
protected information, breaking from the existing dichotomy of personal
information and anonymous information, the concept of pseudonymized
information was introduced for the first time. Pseudonymized information is a
device that reduces the risk of data subjects while relieving the obligations
of data controllers. With regard to consents, an interpretation that, for use
of personal information for research, data subjects’ ‘broad consents’ may be
valid instead of their specific consents was stated clearly in the GDPR
Recital with a view to facilitating secondary use of personal health
information. With regard to reasons for exemptions from consents, it could be
seen that relatively wide ranges of the use of sensitive data for medical
purposes, public health related purposes and research purposes are exempted
from data subjects’ consents.
In the USA, a law regarding
personal health information protection (HIPAA) has been separately enacted.
First, with regard to protected information, the said is characteristic in
that it has specific regulations for de-identification methods, which are the
‘expert determination method’ and the ‘safe harbor method.’ In addition, the
concept of ‘limited data set’ is separately set forth to partially relax the
regulation. With regard to reasons for exemptions from consents, the law
opens up possibilities to use personal health information for research
purposes without data subjects’ consents on approval of a waiver of
authorization from Institutional Review Boards, etc.
Based on the above discussion,
implications for South Korean legislative systems were derived. First, the
『personal information de-identification action guidelines』 established by the
government have limitations in ensuring stable use of personal health
information because they have no legal binding force and specifying
de-identification methods with a ground for delegation in a law is desirable.
Second, in light of recent streams to interpret requirements for consents
toward relaxation, in the case of consents for research purposes, broad
consents that are not limited to specific studies but are reusable for
follow-up studies or related studies will be allowed. Third, legislative
improvement is necessary toward giving exemption from consents to the use of
sensitive data for research purposes is exemption from consents.
|
| 목차 |
국문초록
Ⅰ. 서론
Ⅱ. 유럽연합의 개인의료정보 보호
Ⅲ. 미국의 개인의료정보 보호
Ⅳ. 결론 : 우리나라에의 시사점
참고문헌
ABSTRACT
|
|
