Publications
Detailed Information
비식별화 방식을 적용한 개인정보보호에 대한 연구 - 보건의료정보를 중심으로 - : A Study on How to Protect Personal Information by Utilizing De-identification
| DC Field | Value | Language |
|---|---|---|
| dc.contributor.advisor | 고학수 | - |
| dc.contributor.author | 김은수 | - |
| dc.date.accessioned | 2018-05-28T16:39:15Z | - |
| dc.date.available | 2018-05-28T16:39:15Z | - |
| dc.date.issued | 2018-02 | - |
| dc.identifier.other | 000000151380 | - |
| dc.identifier.uri | https://hdl.handle.net/10371/140836 | - |
| dc.description | 학위논문 (박사)-- 서울대학교 대학원 : 법학전문대학원 법학과, 2018. 2. 고학수. | - |
| dc.description.abstract | 개인정보의 보호는 프라이버시가 침해될 위험성을 제거하는 것이 아니라 프라이버시가 침해될 위험성을 관리한다는 전제에서 출발한다. 개인정보에 대한 실질적인 보호를 위해서는 개인정보가 공유되거나 활용될 때 발생하는 프라이버시 침해의 위험성이 수반된다는 사실을 인정하는 태도가 필요하다. 이런 프라이버시 침해의 위험성이 발생된다는 사실을 전제로 이렇게 발생한 위험성을 지속적으로 관리함으로써 프라이버시가 침해될 결과가 발생하지 않도록 하려는 위험성 관리의 접근법은 데이터의 활용 가치가 높아지는 빅데이터 시대에 더욱 필요하다.
그래서 이 논문의 목표 또한 일차적으로 개인정보의 보호를 위한 제도적 도구로서 부각되고 있는 비식별화를 위험성 관리의 관점에서 모형화하는 것이다. 더 나아가 여러 데이터들 중 국내의 보건의료정보에 적합한 비식별화 모형을 제시하는 것으로 목적으로 한다. 이런 목적 하에 위험성 관리 관점에서의 비식별화 자체에 대한 정확한 인식이 필요하다. 비식별화는 데이터에서 개인의 식별성을 제거함으로써 개인정보가 공개되는 문제를 해결하려는 접근법이다. 현재 일반적으로 통용되는 사전동의 방식이 가지고 있는 문제점들 때문에 이 사전동의의 대체제로서 비식별화 방식이 주목을 받고 있다. 하지만 동시에 비식별화는 재식별의 문제 때문에 실질적인 유용성이 없는 방식이라는 비판을 받고 있다. 이런 비판의 전제가 재식별의 위험성을 0(zero)으로 할 수 없다는 인식, 즉 프라이버시의 위험성이 제거되지 않는다는 인식을 반영한다. 프라이버시의 위험성을 제거하는 것이 아니라 관리하는 것이 실질적인 프라이버시 보호를 가능하게 하기 때문에 재식별의 위험성을 관리한다는 관점에서 보면 비식별화의 제도적 가치는 여전히 존재한다. 그래서 가이드라인 형태의 문헌들을 포함한 해당 국가의 개인정보보호에 대한 관련 규제와 함께 여러 의견서나 보고서들을 살펴보면 전반적으로 개인정보보호에 대해 위험성 관리 접근법의 적용 필요성을 공감하고 있는 것으로 판단된다. 미국은 보건의료정보 영역에 적용되는 법령의 형태로 비식별화를 두 가지 방식으로 제시하고 있다. 특히 재식별의 위험성을 구체적으로 관리하는 전문가 판단 방식을 도입했기 때문에 미국은 위험성 관리의 방식을 명시적으로 법령 형태로 규정하고 있다. EU 또한 일반데이터보호규칙(General Data Protection Regulation)의 여러 조항들이 위험성 관리의 방식을 반영하고 있다. 특히 식별화 기법의 한 가지 종류인 가명화를 명시적으로 도입함으로써 이런 기술적 방식의 적용으로 프라이버시 침해의 위험성을 줄일 수 있다고 강조하고 있다. 영국은 개인정보보호를 관장하는 기구가 발표한 익명화에 대한 실행규칙을 통해 재식별의 위험성이 0이 될 수 없다는 전제를 하고 있다. 이런 전제를 기반으로 재식별의 위험성을 좀 더 실질적인 관점에서 접근함으로써 위험성에 대한 구체적인 관리가 중요하다는 사실을 강조한다. 개별 국가들의 문헌들을 통해 위험성 관리의 모형을 좀 더 구체화하면 위험성 관리의 접근법은 데이터 자체의 위험성 관리와 데이터 환경의 위험성 관리로 구분할 수 있다. 이 두 가지 측면 모두 어떤 데이터를 대상으로 했는지에 따라 구제척인 운용이 달라지기 때문에 국내의 보건의료정보에 적합하게 적용할 필요가 있다. 국내의 경우에는 국민건강보험제도가 운용됨에 따라 공공기관과 민간의료기관들 모두가 보건의료정보를 보유한다. 특히 국민건강보험공단을 포함한 공공기관들이 보유하는 데이터들은 연구 목적으로 활용할 유인이 크기 때문에 데이터를 안전하게 제공하기 위한 사전적 및 사후적 관리 체계를 구축할 필요성이 크다. 이런 위험성 관리 체제와 함께 주목해야할 부분은 다양한 기관들이 가지고 있는 여러 종류의 보건의료정보를 연결해서 사용할 수 있는 방식이다. 이런 방식으로 이 논문은 가명화의 도입을 제안한다. 특히 이런 가명화는 법률해석 상 개인정보보호법 제18조 제2항 제4호의 규정에서 법률적 근거를 찾을 수 있다. 더 나아가 EU를 중심으로 가명화를 개인정보보호의 규제 체제 하에 명시적으로 도입하려는 움직임을 보이고 있다. 그래서 이 논문은 위험성 관리 모형을 구성하는 한 가지 단계로서 가명화 방식으로 도입할 것을 제시한다. 이런 도입을 통해 다양한 데이터베이스들 사이의 연결을 통한 빅데이터 연구에 대한 수요가 높은 국내의 보건의료정보 환경에 좀 더 적합한 방식으로 비식별화의 위험성 관리 모형을 운영할 수 있다. | - |
| dc.description.abstract | The protection of personal information is based on the premise that it manages the risk of privacy being violated, not eliminating the risk of privacy being infringed. In order to protect the privacy of personal information, it is necessary to acknowledge that there is a risk of privacy breach when personal information is shared or utilized. The risk management approach to prevent the consequences of privacy violation by continuously managing such risks based on the fact that such a risk of privacy violation occurs is more needed in the big data age where the value of the data is increased.
The goal of this paper is therefore to model de-identification, which has emerged as an institutional tool for the protection of personal information, from the viewpoint of risk management. Furthermore, it aims to present a non - discrimination model suitable for domestic health information among various data. For this purpose, accurate recognition of the de-identification itself in terms of risk management is needed De-identification is an approach to solving the problem of disclosing personal information by removing the identity of the individual from the data. Due to the problems of the current preconception method, de-identification method is attracting attention as an alternative to this preconception. At the same time, however, de-identification is criticized as a way of not having practical usefulness due to the problem of re-identification. The premise of this critique reflects the perception that the risk of re-identification can not be zero, that is, the perception that the risk of privacy is not eliminated. The institutional value of de-identification still exists from the perspective of managing the risk of re-identification, because managing rather than eliminating the risk of privacy allows for substantial privacy protection. The risk management approach can be divided into risk management of the data itself and risk management of the data environment. Both of these aspects need to be applied appropriately to domestic healthcare information, as the remedial operation varies depending on which data is targeted. In the case of Korea, as public health insurance system is operated, public institutions and private medical institutions have healthcare information. In particular, the data held by public institutions including the National Health Insurance Service is highly motivated to be used for research purposes. Thus, it is necessary to establish a pre- and post-management system to safely provide data. In addition to this risk management system, it should be noted that various kinds of health information of various institutions can be linked and used. In this way, this paper suggests the introduction of pseudonymization. In particular, this legalization can be found in the legal interpretation of Article 18 (2) 4 of the Personal Information Protection Act. Furthermore, there is a movement toward explicitly introducing a pseudonymization under the EU 's regulatory system for the protection of personal information. Thus, this paper suggests the introduction of a pseudonymization method as a step in constructing a risk management model. With this introduction, it is possible to operate a risk management model of de-identification in a way that is more appropriate for the domestic healthcare information environment, where there is a high demand for big data research through connections between various databases. | - |
| dc.description.tableofcontents | 제1장 서론 1
제1절 연구의 목적 1 제2절 연구의 동기 4 제3절 연구의 방법 및 전체 구조 5 1. 연구의 방법 5 2. 전체 구조 5 제2장 개인정보보호의 일반적 특성과 보건의료정보 7 제1절 개인정보보호의 이론적 전제 7 1. 개인정보보호의 목적 7 2. 개인정보보호의 개념적 특징 7 (1) 프라이버시와 개인정보보호의 개념 비교 7 (2) 개인정보 개념의 상대성 8 (3) 개인정보와 정보보안의 관계 9 3. 개인정보보호의 종류 11 (1) 이론적 배경 11 (2) 개인정보보호에 대한 두 가지 접근법 13 4. 개인정보보호의 경제학적 함의 17 (1) 의의 17 (2) 정보비대칭(Information asymmetry) 관점 22 (3) 공유재(Common goods) 관점 26 (4) 위험성(Risk) 관점 28 제2절 보건의료정보 영역의 특성 30 1. 보건의료정보의 개념적 특징 30 (1) 보건의료정보의 개념 30 (2) 민감정보로서의 보건의료정보 31 2. 보건의료정보의 일반적 특징 34 (1) 보건의료정보 활용의 가치에 대한 인식 34 (2) 개인정보보호법과 의료 영역 법률들의 관계 38 제3절 국내 보건의료정보의 수집 및 공유 39 1. 전체적인 특징 39 (1) 보건의료정보의 수집 및 공유 구조 39 (2) 국민 건강보험제도의 운용 40 2. 의료 기관에서의 보건의료정보 수집 현황 42 3. 공공 기관에서의 보건의료정보 수집 현황 44 (1) 국민건강보험공단 44 (2) 건강보험심사평가원 47 (3) 질병관리본부 49 (4) 국립암센터 51 (5) 보건산업진흥원 51 4. 보건의료정보의 공유 현황 53 (1) 국민건강보험공단 53 (2) 건강보험심사평가원 54 (3) 질병관리본부 55 (4) 국립암센터 56 5. 국내 보건의료정보의 가치 및 한계 57 제3장 비식별화의 개념정의 및 일반적 특징 60 제1절 개념정의 60 1. 식별의 의미 60 (1) 개념 분석의 의의 60 (2) 신분(Identity)의 공개 63 (3) 속성(Attribute)의 공개 64 (4) 추론(Inference) 공개 64 (5) 비교 및 소결론 65 2. 비식별화와 익명화의 비교 66 (1) 의의 66 (2) 외국 문헌들의 사례 67 (3) 소결론 74 3. 가명화의 개념 및 특징 75 (1) 가명화의 개념 75 (2) 기술적 측면에서의 가명화 83 (3) 제도적 측면에서의 가명화 86 제2절 비식별화의 목적 및 제도적 특징 87 1. 비식별화의 목적: 재식별 위험성의 관리 87 (1) 위험성의 개념정의 87 (2) 재식별의 위험성 관리에 대한 의미 90 2. 비식별화의 유용성에 대한 논의 92 (1) Paul Ohm 92 (2) Khaled El Emam 94 (3) 소결론 95 제3절 비식별화의 기술적 방식 96 1. 기술적 방식의 의의 96 2. 기술적 방식의 종류 97 (1) 전체적 개괄 97 (2) 통계적 공개 제한(Statistical Disclosure Limitation) 99 (3) k-익명성(K-anonymity) 103 (4) 차분프라이버시(Differential privacy) 112 3. 소결론 115 제4장 국내의 보건의료정보에 대한 비식별화 규제 116 제1절 국내의 개인정보보호 규제 일반 116 1. 개인정보보호법의 일반법적 적용 116 2. 의료 영역의 개별법 적용 117 제2절 개인정보 일반의 규제와 보건의료정보의 보호 118 1. 보건의료정보의 공유에 대한 개인정보보호법의 의의 118 2. 개인정보보호법의 규제 방식 119 (1) 사전적 동의 119 (2) 개인정보보호법 제18조 제2항 제4호의 적용 121 (3) 비식별화 처리 124 제3절 보건의료 영역의 규제와 보건의료정보의 보호 126 1. 의료법 126 2. 국민건강보험법 126 3. 「공공보건의료에 관한 법률」 127 4. 생명윤리법 127 (1) 전반적인 내용 127 (2) 연구 목적 사용으로서의 IRB의 심사규제 129 5. 암관리법 130 제4절 데이터 공유 규제와 보건의료정보의 보호 131 1. 공공데이터 활용으로서의 의의 131 2. 공공데이터법의 내용 132 제5절 비식별화 규제의 내용 및 한계 134 1. 비식별화 규제의 현황 134 (1) 법률 134 (2) 가이드라인 139 2. 소결론 및 과제 141 제5장 보건의료정보의 비식별화에 대한 외국의 논의 143 제1절 논의의 전제 143 제2절 미국 144 1. 개인정보보호의 규제에 대한 접근법 144 (1) 영역별 규제 144 (2) 사후적 집행 중심의 규제 146 2. 보건의료 분야에서의 개인정보보호 규제 147 3. HIPAA프라이버시규칙에 따른 비식별화 150 (1) 전반적 개괄 150 (2) 세이프하버 방식 152 (3) 전문가판단 방식 158 (4) 두 방식의 비교 162 4. 비식별화에 대한 주요 보고서 163 (1) National Academy of Medicine 164 (2) National Institute of Standards and Technology 183 제3절 EU 204 1. 개인정보보호에 대한 전반적인 개괄 및 특징 204 (1) DPD와 GDPR 204 (2) 기본권적 관점을 기반으로 한 규제 206 (3) 일반법 중심의 포괄적인 규제 및 보건의료정보 208 2. 비식별화 규제에 대한 내용 209 (1) DPD 209 (2) WP29의 익명화에 대한 의견서 217 (3) GDPR 229 (4) DPD와 GDPR의 비교 235 제4절 영국 236 1. 개인정보보호에 대한 전반적인 접근법 236 (1) DPD에 근거한 규제 및 개정의 움직임 236 (2) 보건의료정보 분야의 특수성 238 2. 비식별화에 대한 ICO의 실행규칙 240 (1) 의의 및 법적 성격 240 (2) 내용적 특성 241 3. 영국익명화네트워크(UK Anonymisation Network)의 익명화에 대한 보고서 245 (1) 보고서의 의의 245 (2) 이론적 특징 246 (3) 익명화에 대한 단계적 설명 247 (4) 호주 정부가 발표한 비식별화에 대한 보고서 254 제5절 일본 및 대만 257 1. 일본 257 (1) 배경 257 (2) 법률상의 비식별화 규제 258 (3) 익명화 가이드라인 260 2. 대만 260 (1) 보건의료정보 분야의 특수성 260 (2) 개인정보보호법의 비식별화 261 제6절 비교 및 정리 263 1. 전반적인 공통점 263 2. 규제 관점에서의 비교 265 (1) 미국 265 (2) EU 266 (3) 영국 266 (4) 일본 268 (5) 대만 269 제6장 보건의료정보의 비식별화 모형 제시 및 적용 270 제1절 이론적 전제 270 1. 위험성 관리 관점에서의 비식별화 270 (1) 위험성 관리의 의의 및 적합성 270 (2) 위험성 관리 방식에 대한 이론적 설명: 동의규칙 v. 보상규칙 272 (3) 개인정보보호와 위험성 관리 기준의 의미 274 2. 비식별화 규제의 목표 275 (1) 의의 275 (2) 데이터 자체의 위험성 관리 측면: 규제의 최소 기준 제시 276 (3) 데이터 환경의 위험성 관리 측면: 프라이버시의 위험성과 데이터 유용성 사이의 상충관계의 개선 284 (4) 소결론 및 정리 284 제2절 위험성 관리와 국내외 규제 287 1. 이론적 전제 287 2. 개별 국가들에의 적용 287 (1) 미국 287 (2) EU 288 (3) 영국 289 (4) 일본 290 (5) 대만 291 3. 국내에의 적용 및 위험성 관리 모형의 필요성 검토 292 (1) 국내 규제의 현황 292 (2) 위험성 관리 모형을 위한 입법적 필요성 293 (3) 위험성 관리 모형 도입의 실질적인 필요성 295 제3절 보건의료정보의 비식별화 모형의 제시 297 1. 비식별화 모형의 전체 구조 297 (1) 의의 및 개괄 297 (2) 데이터 자체의 위험성 관리 302 (3) 데이터 환경의 위험성 관리 303 (4) k-익명성의 적용 305 2. 위험성 관리 모형의 한계 및 보완 309 (1) 순수 위험성 관리 모형의 한계 309 (2) 제도적 유인으로서 가명화 방식의 도입 311 (3) 재식별의 위험성 평가 기관의 설치 문제 321 제7장 결론 325 참고 문헌 329 Abstract 342 | - |
| dc.format | application/pdf | - |
| dc.format.extent | 2544183 bytes | - |
| dc.format.medium | application/pdf | - |
| dc.language.iso | ko | - |
| dc.publisher | 서울대학교 대학원 | - |
| dc.subject | 개인정보보호 | - |
| dc.subject | 비식별화 | - |
| dc.subject | 재식별 | - |
| dc.subject | 위험성관리 | - |
| dc.subject | 가명화 | - |
| dc.subject | personal information protection | - |
| dc.subject | de-identification | - |
| dc.subject | re-identification | - |
| dc.subject | risk management | - |
| dc.subject | pseudonymization | - |
| dc.subject.ddc | 340 | - |
| dc.title | 비식별화 방식을 적용한 개인정보보호에 대한 연구 - 보건의료정보를 중심으로 - | - |
| dc.title.alternative | A Study on How to Protect Personal Information by Utilizing De-identification | - |
| dc.type | Thesis | - |
| dc.description.degree | Doctor | - |
| dc.contributor.affiliation | 법학전문대학원 법학과 | - |
| dc.date.awarded | 2018-02 | - |
- Appears in Collections:
- Files in This Item:
Item View & Download Count
Items in S-Space are protected by copyright, with all rights reserved, unless otherwise indicated.