가명정보 비조치의견서 제도 첫 사례···의료데이터 활용 불확실성 해소
서울대병원 사망환자 빅데이터, 법 적용 대상 제외 명확화

개인정보보호위원회가 가명처리한 사망환자 의료정보를 국제 공동연구에 활용하는 것은 개인정보 보호법상 행정조치 대상이 아니라는 첫 공식 판단을 내렸다. 의료·바이오 분야에서 사망환자 데이터를 둘러싼 법적 불확실성이 일부 해소될 것이란 평가가 나온다.

개인정보보호위원회는 26일 서울대병원이 신청한 사망환자 의료데이터 활용 사례에 대해 ‘비조치의견서’를 회신했다고 28일 밝혔다. 이번 회신은 지난달 시범 도입된 ‘가명정보 비조치의견서 제도’의 첫 적용 사례다.

비조치의견서 제도는 가명정보 처리 행위의 구체적 내용을 제출하면, 개인정보위가 사전 검토를 거쳐 법 위반 소지가 없을 경우 ‘행정조치 대상이 아님’을 공식적으로 통지하는 제도다. 데이터 활용 과정에서의 사후 규제 불안을 줄이기 위한 안전장치로 평가된다.

이번 사안은 서울대병원이 사망이 확인된 환자의 의료데이터를 가명처리해 연구·교육 목적으로 활용하려 하면서, 해당 행위가 개인정보 보호법 적용 대상에 해당하는지 여부를 질의한 데 따른 것이다. 개인정보 보호법은 ‘살아 있는 개인’에 관한 정보를 보호 대상으로 삼고 있어, 사망자 정보는 원칙적으로 보호 대상이 아니다. 다만 유족과의 관계가 식별될 수 있는 경우에는 예외적으로 보호 대상이 될 수 있다.

개인정보위는 유족과의 관련성이 실질적으로 제거됐는지, 오·남용이나 유출 위험이 있는지 여부를 중점적으로 검토했다. 서울대병원은 사망환자 정보 중 유족과 연관될 수 있는 항목을 일괄 삭제하고, 환자번호·날짜·시간·진단코드 등에 대해 가명처리를 수행했다. 또 기관 데이터심의위원회(DRB)와 기관생명윤리위원회(IRB) 심의를 거쳐 최소 위험 연구로 승인받았으며, 데이터는 병원 내 통제된 연구 플랫폼에서만 활용하도록 했다.

개인정보위는 이러한 조치를 종합해 “신청서에 기재된 방식대로 처리된 사망환자 정보는 개인정보 보호법 적용 범위에 포함되지 않는다”고 판단했다. 보호 대상이 아님에도 불구하고 높은 수준의 보안·윤리적 안전장치를 갖췄다는 점도 긍정적으로 평가했다.

의료·AI·바이오 연구 현장에서는 이번 판단을 계기로 사망환자 데이터를 활용한 빅데이터·인공지능 연구가 보다 활성화될 수 있을 것으로 보고 있다. 특히 지역 거점 국립대병원과 연구기관을 중심으로 의료 AI, 중환자 데이터 분석, 국제 공동연구 수요가 늘어나는 상황에서 제도적 기준이 하나의 선례가 될 것이란 관측이다.

개인정보위는 향후 보건복지부와 협력해 사망환자 정보 활용을 위한 가명처리 기준과 심의 절차를 구체화하고, 관련 가이드라인을 개정할 계획이다. 송경희 개인정보위 위원장은 “현장에서 활용에 어려움을 겪어온 사망환자 정보에 대해 구체적인 판단과 활용 사례를 제시했다는 점에서 의미가 있다”고 말했다.

/김진홍기자 kjh25@kbmaeil.com

김진홍 기자

kjh25@kbmaeil.com

• 개인정보위, 사망환자 가명정보 국제공동연구 ‘비조치’ 첫 판단
• 포항상의, 1월 5일 신년인사회 개최
• 포항 제조업 경기, 바닥은 지났지만 회복은 아직

다른기사 보기