개인정보보호소식지

[해외정보인권] '보건의료 데이터 거버넌스'에 대한 OECD이사회 권고{/}보건의료 빅데이터, 유출·오남용 위험… OECD국가들은 어떻게 대비할까?

By 2017/09/30 No Comments

편집자 주 : 빅데이터 정책 논의가 이루어져 온지 몇년이 되었습니다. 특히 보건의료 빅데이터는 공중보건을 위해 적절하게 사용된다면 시민들에게 혜택이 돌아갈 수도 있을 것입니다.
문제는 박근혜 정부가 공공 빅데이터 정책을 산업적 관점에서만 추진해 왔다는 점입니다. 보건의료 공공 데이터의 경우 국민의 개인정보이자 매우 높은 수준의 보호가 필요한 민감 정보인데 말입니다.
다른 나라에서는 공공 보건의료 빅데이터를 공개하거나 연계할 때 연구, 통계 및 공익적 목적으로만 한정하고 있습니다. 그런데도 영국에서는 진료정보 빅데이터의 2차적 이용에 대한 국민적 항의가 쇄도하여 2016년 보건의료 빅데이터서비스인 care.data 의 운영이 중지되었습니다.
“다른 나라에서 다 하고 있다”는 거짓말을 앞세워 보건의료 정보를 비롯한 국민 개인정보를 산업계에 제공하는 것은 안될 말입니다. 박근혜식 빅데이터 정책은 국민의 정보인권을 아찔한 위험에 처하게 했던 적폐였습니다.
이제는 바로잡기가 필요하지 않을지요. 최근 활발하게 논의되고 있는 관련 국제 규범 중 하나로서, OECD 이사회가 발표한 보건의료 데이터 거버넌스에 대한 권고를 소개합니다.

* ‘de-identification’이라는 용어는 ‘비식별화’로 번역될 수 있으나, 박근혜 정부가 “개인정보가 아닌 것으로 추정”한 ‘비식별화’라는 용어와 혼동될 수 있어서 보다 중립적인 ‘탈식별화’라는 용어로 번역하였습니다.

번역오류는 antiropy 골뱅이 jinbo.net 으로 알려주세요.

제목 : 2017년 보건의료 데이터 거버넌스에 대한 OECD 이사회 권고
원문 : Recommendation of the OECD Council on Health Data Governance

 

‘보건의료 데이터 거버넌스’에 대한 OECD이사회 권고


* 보건의료 데이터는 속성상 민감하고, 그 데이터 공유와 사용 확대는 데이터 유출과 오남용 위험을 야기해서 개인에게 개인적, 사회적, 재정적인 위해를 끼칠 수 있고, 보건의료서비스 제공자와 정부에 대한 대중의 신뢰를 떨어뜨릴 수 있다. 이러한 위험성을 적절하게 감소시키고 관리해야 한다.

* 이 OECD 권고는 각국에 보건의료 데이터 거버넌스 체계를 개발하고 실행해서 공익을 위해 보건의료 데이터의 사용을 가능케 하면서 동시에 프라이버시를 보장할 것을 촉구한다. 이 권고는 12가지 고수준 원칙에 따라 구성되었으며, 폭넓은 이해당사자의 참여로부터 개인건강정보 수집과 이용에 대한 효과적인 동의와 선택 체계 및 그 감독과 평가에 이르기까지 포괄하고 있다. 이 원칙들은 보다 조화로운 국내 데이터 거버넌스 체계를 장려하는 환경을 갖춤으로써, 보다 많은 국가들이 연구, 통계, 진료 품질 증진 뿐 아니라 국제 비교 목적으로 건강정보를 사용할 수 있도록 한다.

* 이 권고는 2016년 12월 13일 OECD 이사회에서 채택되었으며 2017년 1월 17일 파리에서 개최된 OECD 보건 장관 회의에서 환영받았다.

(중략)
Ⅰ. 이 권고가 건강관련 공익 목적으로 개인 건강정보의 접근과 처리에 적용된다는 점에 동의한다. 이는 보건의료의 품질, 안전, 책임성을 향상시키고, 공중보건 위기를 감소시키며, 건강 경과를 개선하기 위해 새로운 진단 도구와 치료법을 발견 및 평가하고, 보건의료자원을 효율적으로 관리하며, 과학과 의학의 진보에 기여하면서, 공공 정책 기획과 평가를 증진하는 한편, 보건의료에 대한 환자들의 참여경험을 향상시키기 위함이다.

Ⅱ. 권고 목적상, 다음 기술적 용어들에 대한 이해를 돕기 위해 간단히 기술할 필요가 있다.

– “개인 건강정보”란 건강과 관련하여 개인을 식별하거나 식별할 수 있는 모든 정보를 의미하며 관련된 여타의 개인정보를 포함한다.
– “개인 건강정보 처리”란 개인 건강정보에 관여하는 모든 정보 관련 작업으로 정보 수집, 이용, 제공, 보관, 기록, 수정, 검색, 이전, 공유, 연계 및 결합, 분석, 삭제를 의미한다.
– “탈식별화”(de-identification)란 일련의 개인 건강정보를 대체하여 그 결과적인 정보가 특정 개인과 쉽게 관련될 수 없도록 처리하는 것을 의미한다. 탈식별화는 익명화가 아니다. “재식별화”란 탈식별화된 정보에 연관된 사람을 식별하기 위하여 탈식별화된 정보에서 추정되는 정보를 처리하는 것을 의미한다.

Ⅲ. 국가적인 보건의료 데이터 거버넌스 체계를 수립하고 실행할 것을 정부에 권고한다. 이는 프라이버시, 개인 건강정보의 보호와 정보 보안을 증진함과 동시에, 건강관련 공익 목적으로 개인 건강정보가 사용되는 것을 장려하고 가용성을 높이기 위함이다. 이러한 보건의료 데이터 거버넌스 체계는 다음을 포함해야 한다.

1. 관여와 참여.

특히 공공적인 협의 과정을 통해서 광범위한 이해당사자가 관여하고 참여해야 한다. 이러한 관여와 참여는 이 체계 하에서 이루어지는 개인 건강정보의 처리가, 공익에 기여하는 한편, 자신의 개인정보가 보건의료 시스템관리, 연구, 통계, 기타 공익에 기여하는 보건의료 관련 목적을 위해 사용되고 또한 보호될 것이라는 개인의 합리적인 기대는 물론 사회적 가치와 부합해야 한다는 관점 속에 이루어져야 한다.

2. 개인 건강정보 처리에 있어 정부내 의견조정 및 공공/민간 부문 모두에서 기관간 협업 증진.

이러한 협업은 다음과 같아야 한다.

(1) 공통 데이터 요소 및 형식, 품질 보증, 데이터 상호운용성 기준을 장려할 것.
(2) 프라이버시를 보호하고 정보 보안을 보장하는 한편 보건의료 시스템관리, 통계, 연구 및 기타 공익에 기여하는 보건의료 관련 목적을 위해 데이터를 공유하는 데 있어, 장애물을 최소화하는 공통 정책과 절차를 장려할 것.

3. 개인 건강정보 처리 및 공중보건 대응을 위해 사용되는 공공부문 보건의료 정보시스템의 성능 검토.

이러한 검토는 다음을 포함해야 한다.

(1) 데이터 가용성, 품질, 사용적합성, 접근성은 물론 프라이버시 보호 및 정보 보안을 포함할 것.
(2) 보건의료 시스템관리, 연구, 통계 및 기타 공익에 기여하는 보건의료 관련 목적을 위해 허용되는 정보처리 요소. 특히 데이터셋 이전 및 데이터셋 기록 연계에는 적절한 보호조치가 뒤따를 것.

4. 개인에 대한 명확한 정보 제공.

이러한 정보제공은 다음을 보장해야 한다.

(1) 개인 건강정보가 개인으로부터 수집될 때, 적법한 제3자의 접근 가능성, 처리 이면의 기본 목표, 처리의 혜택, 제공의 법적 근거 등 개인 건강정보의 처리에 대한 정보를 명확하고, 정확하고, 쉽게 이해가능하고, 눈에 띄는 용어로 제공할 것
(2) 개인 건강정보에 대한 중대한 유출이나 여타 오남용에 대하여 개인들에게 시기적절하게 고지할 것. 개인 고지가 현실적이지 않을 경우 효과적인 공중 통신수단을 통한 고지가 가능함.

5. 설명후 동의(informed consent) 및 적절한 대안.

(1) 동의 체계는 다음과 같아야 한다.

a) 자신의 개인 건강정보 처리에 대한 개인의 동의가 필요한지 여부가 명확해야 하고, 동의가 필요한 경우 그 결정을 위해 사용되는 기준이 명확해야 함. 유효한 동의를 구성하는 요소가 무엇이고 어떻게 동의를 철회할 수 있는지 명확해야 함. 동의를 구하는 것이 불가능하거나 비현실적이거나 보건의료 관련 공익적 목적 달성과 양립하지 않는 환경 등에서는, 동의 요구를 대신할 수 있는 적법한 대안 및 예외가 명확해야 하고, 이러한 처리에는 이 권고에 부합하는 보호조치가 뒤따라야 함.
b) 개인 건강정보가 동의에 기반한 경우, 이 동의는 충분한 설명 후 자유롭게 이루어진 동의일 때 유효함. 개인이 장래의 정보 사용에 대해 동의하거나 철회할 때 그 방법이 명확하고 눈에 띄고 사용하기 쉬웠을 때 유효함.

(2) 개인 건강정보의 처리가 동의에 기반하지 않은 경우, 다음과 같은 체계가 실현가능한 한 보장되어야 한다.

a) 개인들은 자신의 개인 건강정보 처리에 대한 선호를 표현할 수 있어야 함. 특정 환경에서의 처리에 반대할 수 있어야 할 뿐 아니라, 자신의 개인 건강정보를 연구 및 기타 보건의료 관련 공익적 목적 하에 공유할 것을 적극적으로 요청할 수 있어야 함.
b) 정보 처리 목표와 요청이 지켜질 수 없을 때, 개인은 관련 법적 근거 등 그 사유를 알 수 있어야 한다.

6. 적절한 경우 개인 건강정보를 연구 및 기타 보건의료 관련 공익적 목적으로 사용하는 데 대한 검토와 승인 절차.

이러한 검토와 승인 절차는 다음과 같아야 한다.

(1) 데이터 사용 제안이 공익적인지 여부에 대하여 증거기반 평가가 이루어져야 함
(2) 강력하고 객관적이고 공정해야 함
(3) 시기적절하고 결과의 일관성을 촉진하는 방식으로 이루어져야 함
(4) 정당한 이익을 보장하면서 투명하게 이루어져야 함
(5) 정보 처리가 개인 및 사회에 미치는 편익과 위험성, 그리고 위험성 경감을 평가하는 데 필요한 전문성을 가진 이들에 의해 수행되는 독립적이고 학제적인 검토가 이루어져야 함

7. 건강정보 프라이버시 보호와 정보보안 및 기관의 상업적, 기타 정당한 이익을 침해하지 않는 공공 정보 체계를 통한 투명성.

공공 정보 체계는 다음 요소들을 포함해야 한다.

(1) 개인 건강정보 처리 목적과 이것이 기여하는 보건의료 관련 공익적 목적 뿐 아니라 그 법적 기반.
(2) 개인 건강정보 처리를 승인하는 데 사용되는 절차와 기준. 승인 데이터를 수령하는 자 목록 등 승인 결정의 요지.
(3) 보건의료 데이터 거버넌스 체계의 실행 및 그 효과와 관련한 정보.

8. 프라이버시 보호와 정보 보안을 보장하고 자신의 개인정보 이용에 대한 개인의 통제권을 촉진하는 동시에 개인 건강정보 재사용 및 분석 가용성을 가능케 하는 기술적 수단의 잠재성 최대화와 발전 증진.

9. 감독과 평가 체계.

(1) 개인 건강정보의 사용이 보건의료 관련 공익적 목적 취지에 부합하고 혜택을 가져올 것으로 기대되는지, 개인 건강정보에 대한 프라이버시 보호 및 정보 보안, 정보 유출 및 오남용에 대한 국가적 요구사항에 대한 불충분 이행 등 그 사용이 부정적인 결과를 야기하지 않는지 여부에 대해 평가해야 함. 또한 그 평가 결과를 다음과 같이 향후 개선 과정에 반영했는지 여부를 평가해야 함.

a) 개인 건강정보 가용성의 발전에 대한 정기적인 검토. 보건의료 연구 및 관련 활동에 대한 수요. 공공정책 수요.
b) 보건의료 데이터 거버넌스와 관련하여 프라이버시, 개인 건강정보 보호 및 정보 보안에 대한 위험성 관리 정책 및 실행에 대한 정기적인 평가와 갱신.

(2) 위와 같은 개인 건강정보 처리에 사용되는 기술의 성능, 신뢰성, 취약점에 대해 정기적인 검토 및 평가를 장려함.

10. 위와 같은 개인 건강정보 처리에서 사용되는 프라이버시 및 보안 수단에 대하여, 일반적인 기준과 정보처리기술에 부합하는 적절한 교육훈련 및 기능 개발 방안 수립.

11. 통제권과 보호조치의 실행.

(1) 적절한 감사체계가 동반되어, 개인 건강정보 처리에 대한 명확하고 확고한 책임성 영역을 보장해야 함
(2) 개인 건강정보는, 개인 건강정보 처리와 관련한 역할과 책임에 상응하고 관련 직업 윤리 강령에 부합하는 적절한 정보 프라이버시와 정보보안 훈련을 이수한 직원들의 책임 하에서만 처리된다는 조건을 갖추어야 함
(3) 개인 건강정보 처리 기관들로 하여금, 조직과 직원들에게 프라이버시 보호와 정보 보안에 대한 법적 의무를 고지하는 등 조직 정보 보안 프로그램과 협업하고 책임지는 직원을 지정하도록 장려해야 함
(4) 특히 새로운 계획을 수립하고 신규 실행과정을 도입할 때 공식적인 위험 관리 절차를 포함해야 함. 이는 원치 않은 데이터 삭제, 재식별화, 유출과 기타 오남용 등 위험요소에 대하여 정기적으로 평가하고 대응하며, 정기적으로 갱신되어야 함
(5) 보건의료 관련 공익적 목적에서 개인 건강정보의 효용성을 유지하는 동안에는, 실현가능한 한 프라이버시를 보호하고 정보 보안을 위해 설계된 기술적, 물리적, 조직적 수단을 포함해야 함. 이러한 수단은 다음을 포함해야 함

a) 개인 건강정보에 대한 탈식별화 등 개인의 식별을 한정하는 체계. 한편 재식별화를 승인받는 경우 그 허용을 감안하여 데이터 사용 제안을 고려하는 체계. 재식별화는 보건의료 시스템관리, 연구, 통계, 기타 보건의료 관련 공익적 목적으로 장래의 데이터 분석을 수행하기 위해 승인될 수 있으며, 적절한 경우 개인들에게 특정 여건이나 연구 결과를 고지하기 위해서 승인될 수 있음.
b) 개인 건강정보의 효용성을 관리하는 동안 혜택 최대화 및 위험 관리에 기여하는 처리를 위해서, 제3자와 개인 건강정보를 공유할 때의 계약. 이러한 계약은 안전한 데이터 이전을 위한 협약사항을 명기해야 하며, 불이행시 효과적으로 제재할 수 있는 적절한 수단을 포함해야 함
c) 실현가능하고 적절한 경우 데이터 접근 보안 센터 및 원격 데이터 접근 설비 등 제3자 데이터 이전에 대한 대안을 고려할 것.
d) 개인 건강정보에 대한 개인적인 접근에 대해서는 강력하게 신원을 확인하고 인증할 것.

12. 개인 건강정보를 처리하는 기관들에게 국내 보건의료 데이터 거버넌스의 기대수준에 부합하다는 사실을 입증할 것을 요구.

여기에는 기관들의 개인 건강정보처리에 대한 인증 또는 인가 체계 설립이 포함될 수 있다. 다만 이러한 인증 또는 인가가 개인 건강정보 처리 기준 실행에 기여하고 거버넌스 인정 기준에 부합하는 성능을 입증하는 경우에 한한다.

(하략)

(참고) 이하는 2015 OECD 자료
OECD 2015, Health Data Governance : Privacy, Monitoring and Research

(98p) 프라이버시 보호적 건강정보 사용을 위한 입법 프레임워크 주요 요소
입법 프레임워크는 반드시
a) OECD 프라이버시 프레임워크에 명시된 프라이버시 보호 기본 원칙을 반영해야 한다(OECD, 2013).
b) 모든 데이터 원천(source)과 모든 데이터 보유기관 및 처리자를 포괄해야 한다.
c) 독립적이고 학제적인 프로젝트 승인 기관 등 공정하고 투명한 프로젝트 승인 절차를 갖추어야 한다.
d) 공중보건, 연구와 공익적인 통계를 위한 개인건강정보의 사용을 허용해야 하며 승인 절차를 따라야 한다.
e) 동의에 의하건, 동의예외나 특별권한에 의하건, 추가적으로 승인된 통계, 연구 프로젝트에는 데이터 처리를 허용해야 한다. 원칙적으로 데이터의 추가적인 이용을 정당한 목적으로 간주해주어야 하는 활동은 통계, 연구 뿐이다.(Government statistics, and research, are all activities that should be considered as legitimate purposes for the further use of data.)
f) 추가적으로 승인된 연구와 통계에 있어 환자가 데이터셋에 자신의 개인정보가 포함된 데 대해 옵트아웃 권리를 갖는 경우, 가능한 한 환자가 선택사항을 간소하게 표현하고 유지할 수 있는 적절한 기술을 실행할 수 있는 실용적인 수단이 있어야 한다.
g) 개인건강 데이터셋을 승인된 목적으로만 연계해야 한다. (기록연계)
h) 승인된 데이터 연계 프로젝트나 정부 통계를 위해 연계가능한 데이터를 공공기관 간에 공유하는 것은 허용된다.
i) 공공기관과 TTP는 미래에 데이터 연계 프로젝트나 정부 통계 승인이 가능하도록 데이터 재식별화 키를 안전하게 보관하는 것이 허용된다.
j) 탈식별화된 개인 단위 건강정보를 연구 및 통계 프로젝트를 위해 사회 모든 부문 신청자에게 공유하고 접근시키는 것이 허용된다. 다만 프라이버시 및 보안을 위한 보호조치를 포함하고 재식별화를 방지하는 승인 절차를 따라야 한다.
k) 탈식별화된 개인 단위 건강정보를 연구 및 통계 사용을 위해 외국인 신청자에게 공유하고 접근시키는 것이 허용된다. 다만 해당 국가의 입법 시스템이 국내 데이터 보호 기준에 적정하게 부합해야 하고 프라이버시와 보안을 위한 보호조치를 포함하고 있으며 재식별화를 방지하는 승인 절차에 따라야 한다.
l) 개인건강정보 처리에 대한 모든 신청 사항과 승인 결정이 공공적으로 공개되어야 한다.