바이오인

 

개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보이용 보호법 등, 이른바 “데이터 3법”이 작년 1월 국회에서 통과되었다. 통과된 3개 개정안의 핵심은 개인 정보를 빅 데이터로 활용하기 위해 익명화(pseudonymization) 하는 것이다. 정보통신, 바이오∙헬스, 금융 등 다양한 분야에서 4차 산업혁명을 추진하기 위한 전제조건이다. 개정안은 3개 법안이 모두 통과되면서 작년 말부터 실효를 발휘하게 되었다. 이는 이미 필요한 시스템을 구축하고 앞으로 나아가고 있는 한국의 경쟁국들인 미국, 중국, 일본, EU (GDPR) 같은 국가들의 상황을 감안할 때 사실 늦은 감이 없지 않다. 개정안의 주요 핵심은 '가명 정보'의 개념을 도입하여 정보 수집의 본래 목적에 크게 벗어나지 않는 범위 안에서 이전보다 자유롭게 데이터를 사용할 수 있는 법적 근거를 도입, 미래의 통화(currency of the future)인 데이터의 경제 개발에 추진력을 제공하는 것이다. 본 동향리포트에서는 이 법령 개정안이 가져오게 될 주요 변경 사항 중 핵심 사항들을 점검하고, 이것이 대한민국의 의료계 및 생명과학계에 미칠 잠재적 영향에 대해 논하고자 한다.

키워드: 데이터 3법, 개인정보보호법, 원격진료, 디지털 헬스, 스마트 헬스케어

 

1. 서문

2. 본론

  2.1. 주요 개정 포인트

    2.1.1. “가명 정보”의 개념 도입

    2.1.2. 개인정보 보호 체계의 조직화

    2.1.3. 동의가 필요 없는 개인 데이터의 합리적인 사용 허용

    2.1.4. 데이터 세트의 병합

  2.2. 시사점 및 핵심 사항

    2.2.1. 의료 빅데이터 활용 분야의 활성화

    2.2.2. 원격의료 및 개인화 맞춤치료

    2.2.3. 디지털 헬스-스마트케어 시대 개막

    2.2.4. 신약개발

    2.2.5. 바이오산업의 혁신 유도

3. 맺는 말

4. 참고문헌

 

 

 

1. 서문

 

우리는 시간이 지날수록 점점 더 많은 양의 데이터가 생산 및 이용되고, 인공지능(artificial intelligence, A.I.), 클라우드 서비스(cloud services), 사물인터넷(internet of things, IoT) 등 신기술 사용이 필수가 된 데이터 중심 경제(data economy) 시대에 살고 있다. 이러한 배경에서 세계 다른 주요 지역의 입법 동향과 맞물려 대한민국에서는 개인정보의 안전한 이용을 보장하면서 빅 데이터의 보다 효율적인 처리를 위한 기반을 마련하기 위해 데이터 3법을 개정해야 한다는 주장이 오랫동안 제기되어 왔다. 데이터 3법의 개정은 그러한 노력의 정점이라 할 수 있다. 그 결과, 대한민국 국회는 2020년 1월 9일 개인정보보호법에 대한 세 가지 주요 데이터 개인정보 보호법에 개정안을 통과시켰다. 정보통신망 이용촉진 및 정보보호법(네트워크법) 신용정보의 이용 및 보호법(신용정보법) 개정안은 공청 후 1년에서 18개월 안에 시행될 신용정보법의 몇몇 특정 조항을 제외하면 시행된다 [1].

 

개정안의 대략적인 요지는 '가명화된 데이터'의 개념을 도입하고 수집의 원래 목적과 합리적으로 관련된 정도로 보다 유동적으로 데이터를 사용할 수 있는 법적 근거를 도입하여 '데이터 경제'의 개발을 촉진하는 것이다. 본 동향리포트에서는 데이터 3법 개정안이 가져오게 될 주요 변경 사항 중 핵심이 되는 것들을 간략하게 짚어보고, 이것이 국내 의료계 및 바이오∙헬스 업계에 미칠 잠재적 영향에 대해 논하고자 한다.

 

2. 본론

 

2.1. 주요 개정 포인트

 

2.1.1. “가명 정보”의 개념 도입

 

개인정보보호법 개정안은 '개인정보', '가명 정보', '익명 정보'를 구분하지만, “개인 정보”의 범위에서 ‘익명 정보'를 제외하고 있다. 일반적으로 사용 목적이 통계 준비, 연구 및 공공 기록을 유지하는 경계 내에 있는 경우 가명 데이터는 동의를 얻지 않고 처리될 수 있다 (표 1). 그러나, “익명화” 또는 “가명화” 처리를 하는 데에 있어 명확한 지침이 없기 때문에 '개인', '가명'과 '익명' 데이터를 구별하는 것은 어려울 수 있다. 그럼에도 불구하고, '개인 데이터'를 '가명 데이터'로 잘못 특성화한 결과는 위반자의 연간 매출액의 최대 3%의 벌금과 기타 형사 처벌과 같은 제재를 가하기 때문에 잠재적으로 매우 심각할 수 있다 [2]. 개정된 개인정보보호법은 통계 정보를 생성하거나, 과학 목적의 연구 또는 공공 기록 보관에 개인 동의 없이 가명화된 정보(가명 정보)를 사용할 수 있도록 했다. 이 법은 또한 개인정보보호위원회 및 기타 중앙부처에 의해 허가된 목적에 한해 가명 정보의 가공을 허용한다. 한편, 수정된 신용정보의 이용 및 보호에 관한 법률(신용정보 보호법)과는 달리 개정된 개인정보보호법은 상업적 용도로 가명 정보의 사용을 명시적으로 허용하지 않는다는 점에 유의해야 한다(관련 정부 부처인 행안부는 가명 정보의 상업적 사용은 신용정보보호법과 마찬가지로 개인정보보호법에서도 허용되고 있다고 지적했지만, 이에 대해 시민 단체들이 반발이 심해 논란이 예상되고 있다).

 

 

2.1.2. 개인정보 보호 체계의 조직화

 

개인정보의 관리 감독 기구인 ‘개인정보보호위원회’는 국무총리 소속 합의제 중앙행정기관으로 격상되었고, 여러 부처에 다소 혼잡하게 산재해 있던 감독 권한이 이 위원회로 일원화되면서 좀 더 효율적인 정보의 보호 및 관리가 가능하게 되었다.

 

2.1.3. 동의가 필요 없는 개인 데이터의 합리적인 사용 허용

 

정보 주체의 동의를 얻지 않고 개인정보를 사용하는 것은 '수집의 원래 목적과 합리적으로 관련된 범위 내에서'와 '정보 주체의 권리 침해 여부 및 개인 정보의 무결성을 보호하기 위한 조치가 적절히 취해졌는 가의 여부를 고려한 후' 사용하는 경우 허용될 수 있다. 즉, 개인정보를 가명 정보화해 기업들이 빅데이터를 산업에 활용할 수 있도록 풀어주되, 가명 정보와 개인정보(실명 정보)의 결합을 시도하거나, 개인정보를 안전하게 관리하지 못하는 경우, 엄격하게 처벌하는 것이 개정안의 핵심인 것이다 [3].

 

‘가명 정보’는 개인정보 중 성명과 주민번호 등을 가명화(pseudonymization)하여 누구인지 식별이 불가능하게 한 정보를 말하는데, 예를 들어 보험 가입 시 회사에 제공하는 성명, 주민등록번호, 전화번호의 경우, 그 정보만으로도 개인에 대한 식별이 가능하기 때문에 이러한 정보를 암호화(codification)한 결과물이 바로 가명 정보다 (표 2).

 

 

2.1.4. 데이터 세트의 병합

 

다른 개인 정보 통제자가 보유한 데이터 세트는 요구 사항을 준수하는 규정에 의해 지정된 전문 기관에 의해 병합을 시행되는 경우 가능하다. 개인정보보호법의 시행령 초안은 원칙적으로 통합된 데이터셋을 데이터 취급 전문 기관 내 지정된 특정 위치 내에서 사용해야 하며 데이터 처리자가 외부로 데이터 세트의 반출이 필요한 경우, 해당 기관 수장의 승인이 필요하다는 것을 명문화하고 있다.