비식별화 방식을 적용한 개인정보보호에 대한 연구 : 보건의료정보를 중심으로
= A Study on How to Protect Personal Information by Utilizing De-identification
- 저자[authors] 김은수
- 발행사항 서울 : 서울대학교 대학원, 2018
- 형태사항[Description] xv, 345 p. : 삽화, 도표 ; 26 cm
- 일반주기명[Note] 참고문헌 수록
- 학위논문사항[Dissertation] 학위논문(박사)-- 서울대학교 대학원 : 법학과 법학전공 2018. 2
- DDC[DDC] 340 22
- 발행국(발행지)[Country] 서울
- 출판년[Publication Year] 2018
- 주제어 개인정보보호,비식별화,재식별,위험성관리,가명화,personal information protection,de-identification,re-identification,risk management,pseudonymization
- 소장기관[Holding] 서울대학교 중앙도서관 (211032)
초록[abstracts]
The protection of personal information is based on the premise that it manages the risk of privacy being violated, not eliminating the risk of privacy being infringed. In order to protect the privacy of personal information, it is necessary to acknowledge that there is a risk of privacy breach when personal information is shared or utilized. The risk management approach to prevent the consequences of privacy violation by continuously managing such risks based on the fact that such a risk of privacy violation occurs is more needed in the big data age where the value of the data is increased.
The goal of this paper is therefore to model de-identification, which has emerged as an institutional tool for the protection of personal information, from the viewpoint of risk management. Furthermore, it aims to present a non - discrimination model suitable for domestic health information among various data. For this purpose, accurate recognition of the de-identification itself in terms of risk management is needed
De-identification is an approach to solving the problem of disclosing personal information by removing the identity of the individual from the data. Due to the problems of the current preconception method, de-identification method is attracting attention as an alternative to this preconception. At the same time, however, de-identification is criticized as a way of not having practical usefulness due to the problem of re-identification. The premise of this critique reflects the perception that the risk of re-identification can not be zero, that is, the perception that the risk of privacy is not eliminated. The institutional value of de-identification still exists from the perspective of managing the risk of re-identification, because managing rather than eliminating the risk of privacy allows for substantial privacy protection.
The risk management approach can be divided into risk management of the data itself and risk management of the data environment. Both of these aspects need to be applied appropriately to domestic healthcare information, as the remedial operation varies depending on which data is targeted. In the case of Korea, as public health insurance system is operated, public institutions and private medical institutions have healthcare information. In particular, the data held by public institutions including the National Health Insurance Service is highly motivated to be used for research purposes. Thus, it is necessary to establish a pre- and post-management system to safely provide data.
In addition to this risk management system, it should be noted that various kinds of health information of various institutions can be linked and used. In this way, this paper suggests the introduction of pseudonymization. In particular, this legalization can be found in the legal interpretation of Article 18 (2) 4 of the Personal Information Protection Act. Furthermore, there is a movement toward explicitly introducing a pseudonymization under the EU 's regulatory system for the protection of personal information. Thus, this paper suggests the introduction of a pseudonymization method as a step in constructing a risk management model. With this introduction, it is possible to operate a risk management model of de-identification in a way that is more appropriate for the domestic healthcare information environment, where there is a high demand for big data research through connections between various databases.
초록[abstracts]
개인정보의 보호는 프라이버시가 침해될 위험성을 제거하는 것이 아니라 프라이버시가 침해될 위험성을 관리한다는 전제에서 출발한다. 개인정보에 대한 실질적인 보호를 위해서는 개인정보가 공유되거나 활용될 때 발생하는 프라이버시 침해의 위험성이 수반된다는 사실을 인정하는 태도가 필요하다. 이런 프라이버시 침해의 위험성이 발생된다는 사실을 전제로 이렇게 발생한 위험성을 지속적으로 관리함으로써 프라이버시가 침해될 결과가 발생하지 않도록 하려는 위험성 관리의 접근법은 데이터의 활용 가치가 높아지는 빅데이터 시대에 더욱 필요하다.
그래서 이 논문의 목표 또한 일차적으로 개인정보의 보호를 위한 제도적 도구로서 부각되고 있는 비식별화를 위험성 관리의 관점에서 모형화하는 것이다. 더 나아가 여러 데이터들 중 국내의 보건의료정보에 적합한 비식별화 모형을 제시하는 것으로 목적으로 한다. 이런 목적 하에 위험성 관리 관점에서의 비식별화 자체에 대한 정확한 인식이 필요하다.
비식별화는 데이터에서 개인의 식별성을 제거함으로써 개인정보가 공개되는 문제를 해결하려는 접근법이다. 현재 일반적으로 통용되는 사전동의 방식이 가지고 있는 문제점들 때문에 이 사전동의의 대체제로서 비식별화 방식이 주목을 받고 있다. 하지만 동시에 비식별화는 재식별의 문제 때문에 실질적인 유용성이 없는 방식이라는 비판을 받고 있다. 이런 비판의 전제가 재식별의 위험성을 0(zero)으로 할 수 없다는 인식, 즉 프라이버시의 위험성이 제거되지 않는다는 인식을 반영한다. 프라이버시의 위험성을 제거하는 것이 아니라 관리하는 것이 실질적인 프라이버시 보호를 가능하게 하기 때문에 재식별의 위험성을 관리한다는 관점에서 보면 비식별화의 제도적 가치는 여전히 존재한다.
그래서 가이드라인 형태의 문헌들을 포함한 해당 국가의 개인정보보호에 대한 관련 규제와 함께 여러 의견서나 보고서들을 살펴보면 전반적으로 개인정보보호에 대해 위험성 관리 접근법의 적용 필요성을 공감하고 있는 것으로 판단된다. 미국은 보건의료정보 영역에 적용되는 법령의 형태로 비식별화를 두 가지 방식으로 제시하고 있다. 특히 재식별의 위험성을 구체적으로 관리하는 전문가 판단 방식을 도입했기 때문에 미국은 위험성 관리의 방식을 명시적으로 법령 형태로 규정하고 있다. EU 또한 일반데이터보호규칙(General Data Protection Regulation)의 여러 조항들이 위험성 관리의 방식을 반영하고 있다. 특히 식별화 기법의 한 가지 종류인 가명화를 명시적으로 도입함으로써 이런 기술적 방식의 적용으로 프라이버시 침해의 위험성을 줄일 수 있다고 강조하고 있다. 영국은 개인정보보호를 관장하는 기구가 발표한 익명화에 대한 실행규칙을 통해 재식별의 위험성이 0이 될 수 없다는 전제를 하고 있다. 이런 전제를 기반으로 재식별의 위험성을 좀 더 실질적인 관점에서 접근함으로써 위험성에 대한 구체적인 관리가 중요하다는 사실을 강조한다.
개별 국가들의 문헌들을 통해 위험성 관리의 모형을 좀 더 구체화하면 위험성 관리의 접근법은 데이터 자체의 위험성 관리와 데이터 환경의 위험성 관리로 구분할 수 있다. 이 두 가지 측면 모두 어떤 데이터를 대상으로 했는지에 따라 구제척인 운용이 달라지기 때문에 국내의 보건의료정보에 적합하게 적용할 필요가 있다. 국내의 경우에는 국민건강보험제도가 운용됨에 따라 공공기관과 민간의료기관들 모두가 보건의료정보를 보유한다. 특히 국민건강보험공단을 포함한 공공기관들이 보유하는 데이터들은 연구 목적으로 활용할 유인이 크기 때문에 데이터를 안전하게 제공하기 위한 사전적 및 사후적 관리 체계를 구축할 필요성이 크다.
이런 위험성 관리 체제와 함께 주목해야할 부분은 다양한 기관들이 가지고 있는 여러 종류의 보건의료정보를 연결해서 사용할 수 있는 방식이다. 이런 방식으로 이 논문은 가명화의 도입을 제안한다. 특히 이런 가명화는 법률해석 상 개인정보보호법 제18조 제2항 제4호의 규정에서 법률적 근거를 찾을 수 있다. 더 나아가 EU를 중심으로 가명화를 개인정보보호의 규제 체제 하에 명시적으로 도입하려는 움직임을 보이고 있다. 그래서 이 논문은 위험성 관리 모형을 구성하는 한 가지 단계로서 가명화 방식으로 도입할 것을 제시한다. 이런 도입을 통해 다양한 데이터베이스들 사이의 연결을 통한 빅데이터 연구에 대한 수요가 높은 국내의 보건의료정보 환경에 좀 더 적합한 방식으로 비식별화의 위험성 관리 모형을 운영할 수 있다.