보건의료 빅데이터 활용에 관한 법적 검토 - 개인정보보호를 중심으로 -
= Review on Healthcare Big Data Analysis - Focusing on Privacy Protection -
- 저자[authors] 김근령 ( Kim Geun Ryeong ), 이대희 ( Lee Dae Hee )
- 학술지명[periodical name] 과학기술법연구
- 권호사항[Volume/Issue] Vol.24No.3[2018]
- 발행처[publisher] 한남대학교 과학기술법연구원
- 자료유형[Document Type] 학술저널
- 수록면[Pagination] 57-90
- 언어[language] Korean
- 발행년[Publication Year] 2018
- 주제어[descriptor] 빅데이터, 보건의료정보, 개인정보, 동의, 옵트아웃, 개인정보 보호원칙, 개인정보 자기결정권, 에스토니아, 블록체인, Big data, health care data, privacy, personal data, FIPPs, right to informational self-determination, Blockchain
초록[abstracts]
[본 연구는 보건의료 빅데이터의 활용에 있어 제기되는 법적 쟁점을 개인정보보호의 측면에서 검토하였다. 구체적으로 보건의료 빅데이터의 정의와 특성을 살펴보고, 보건의료 빅데이터의 활용에 있어서 개인정보 보호법과의 쟁점을 검토하고, 외국의 관련 법률 및 사례 연구를 통해 보건의료 빅데이터의 활용에 있어서 개인정보보호법의 개정 방향에 대해 논의하였다. 먼저, 보건의료 빅데이터는 개인정보보호법 상에서 쟁점을 살펴보면 다음과 같다. 우리의 개인정보보호법에서 정의하는 개인정보의 정의가 모호하다. 개인정보의 판단기준이 식별가능성이라는 추상적이고 포괄적인 기준으로 판단하고 있어 보건의료 분야 뿐 아니라 향후 타 분야의 빅데이터 활용을 위해서도 개인정보 개념에 대한 재정립이 필요한 것으로 보인다. 다음으로, 보건의료정보는 개인정보이자 민감정보에 해당하므로 개인정보보호법에 따라 수집되어야 하는데, 그 수집방법에 있어서는 정보주체의 사전 동의가 필수적이다. 그러나 보건의료 빅데이터의 경우 모든 개인정보의 대해 사전의 동의를 구하는 것이 현실적으로 불가능하다고 볼 수 있다. 따라서 개인정보보호원칙의 기본이 되는 통지 및 동의(notice and consent)의 원칙이 지켜지기 어려운 문제가 발생한다. 또한 보건의료 빅데이터 중 장기간 축적되는 시계열이 존재하며, 빅데이터 분석을 통한 새로운 결과를 도출해 낼 수 있는 특성으로 인하여 개인정보 최소화 및 목적 명확성의 원칙이 지켜지기 어려운 측면이 있다. 이외에도 비식별화를 통해 개인정보를 활용할 수 있으나, 비식별화 방안에 대한 구체적인 법적 근거가 없으며, 비식별화 조치를 수행한 보건의료 정보라도 이 정보가 일정한 분석 또는 결합 등에 의해 재식별 가능성이 존재할 수 있다. 이러한 상황하에서 보건의료 빅데이터의 경우 기존의 개인정보보호원칙을 고수하기 보다는 상황에 맞게 융통적·합리적으로 적용하는 것이 필요하다. 미국 백악관 보고서에 의하면 전후사정 내지 맥락(context)의 중요성을 고려하여 빅데이터 활용을 통해 데이터 수집시에는 예상할 수 없었던 방식으로 변할 수 있다는 것을 인정하며 데이터를 전후 사정에 적절하게 사용함으로써 소비자에게 혜택을 제공하여 혁신의 원천을 제공하며, 기업에게는 융통성을 제공할 수 있다고 제안하고 있다. 뿐만 아니라 개인정보보호법 내 비식별화 및 재식별에 대한 명확한 기준이 필요할 것으로 보인다. EU GDPR처럼 개인정보보호원칙이 배제되는 익명정보와 일정한 조치하에 공익적 목적으로 사용가능한 가명정보의 구분, 미국의 HIPPA의 전문가 결정방식과 세이프하버(Safe Harbor)처럼 비식별화 방식의 구체적인 제시가 필요하다. 결국 보건의료 빅데이터의 활용에 있어서는 개인정보 주체를 보호하고 기술활용에 따른 보건의료 기술 발전 및 치료법 개발 등의 공공적 혜택을 누릴 수 있도록 하는 것은 개인정보보호원칙이 어떻게 적절하게 적용할 것인가 여부에 달려있으며, 에스토니아 사례에서 보듯이 정부 주도의 효율적 시스템 도입과 법제 개정을 통하여 투명성이 보장된 시스템을 기반으로 블록체인 등의 신기술을 활용하여 국민의 의료정보를 보호함과 동시에 보건의료 빅데이터의 효율적 활용을 고려할 필요가 있다.
This paper examines the legal issues in the utilization of healthcare big data from the perspective of personal data regime. First of all, it reviews the definition and characteristics of healthcare data, and explains that the definition of personal data under the Personal Data Protection Act is ambiguous. This paper argues that fair information practice principles(FIPPs) is in conflict with the healthcare big data analysis. First, it is practically impossible to obtain consent from the data subject in the analysis of big data. Second, the analysis of healthcare big data cannot meet the data minimization principles because there is a long-term accumulation time series of healthcare big data. Third, the purpose specification principle cannot not complied because data would be analyzed for the purpose quite differently from that of the collection. In conclusion, this paper argues that personal data needs redefining, that the opt-out system be adopted at least for the analysis healthcare big data, that clear criteria be set for de-identification or anonymization, that re-identification be strictly prohibited, and that new technologies such as blockchain technology be adopted to utilize big data while protection personal privacy.]