보건의료데이터의 안전한 활용을 위한 법제개선에 관한 연구

Abstract

Recently, the Korean government has established and promoted various data policies to promote the use of health and medical data. Efforts have been made to promote the use of health and medical data by starting a pilot project for the "health care big data platform" in 2018("National Assembly, 10 billion won in pharmaceutical development & 5.2 billion won increase in Advanced Bio Research," Daily Pharm News, November 29, 2018.), revising the Data 3 Act in 2020 to explicitly introduce the concept of pseudonymous data, and enacting the Data Industry Act on October 19, 2021.

Internationally, the European Union has enacted the General Data Protection Regulation (GDPR) instead of the Data Protection Directive (DPD) since May 2018, and Japan also prepared an amendment to the Personal Information Protection Act in 2019 to create the concept of pseudonymous data and is scheduled to take effect soon.

Proper use of health and medical data helps develop the medical industry and promote national health. In particular, Korea has a national health insurance system, so a huge amount of information, including health examination records, drug prescription records, and insurance qualifications, is collected from public institutions such as the National Health Insurance Corporation and the Health Insurance Review and Assessment Service. It has favorable conditions for data utilization in that it is possible to systematically collect and manage data.

However, there are various evaluations on whether such policies to revitalize the use of health and medical data are actually successful. According to the 'Ministry of Public Administration and Security's evaluation of the operation status of public data provision', the level of public data management system was good, while the level of private use support and information quality were insufficient (Lee Byung-chul, Analysis of Health and Medical Data Finance Projects, National Assembly Budget Office, 2021. p88).

There is a need for a way to promote effective data utilization. The current Personal Information Protection Act (Act No. 16930, February 4, 2020) and related laws and guidelines need to balance the risk management of personal information infringement and practical use of data. This paper aims to study legal improvement measures that can protect personal information while activating the use of health and medical data.

First, as an improvement plan for the protection of health and medical data, the introduction of an independent legal system was reviewed. While maintaining the current horizontal regulations, the specificity of health and medical data was reflected, and the parts requiring protection were supplemented to have legal characteristics by adding vertical regulations. By examining the legal regulations in detail, improvement measures were presented, and data governance improvement measures were proposed in the section below.

Article 23 of the Personal Information Protection Act provides special provisions for sensitive information to protect it more strictly than general personal information, and there may be confusion in interpretation as there is no explicit mention of the possibility of using sensitive information in provisions on the use of pseudonymous data and provision to third parties. Currently, the guidelines stipulate details on the premise that health and medical data can be used after pseudonym processing. It is necessary to promote data utilization by clarifying the legal basis for use and provision of health and medical data to third parties after pseudonym processing.

In addition, it is necessary to resolve conflicts in interpretation or confusion over application priorities arising from the provisions on the protection of personal information on health and medical data stipulated in various relevant laws. In the case of public health data, interpretation of "non-disclosure information" can be used in accordance with the Act on the Provision and Utilization of Public Data (Act No. 17344, June 9, 2020, Amendment to Public Data Act) and the Act on Information Disclosure.

In addition, since the law stipulates only "excluding and separating" information subject to non-disclosure, it is unclear whether it can be used after processing pseudonyms, so improvement measures were suggested. In addition, in the case of the Bioethics and Safety Act (Act No. 17783 partially amended by Act No. 17783), the definition of anonymization is different from the Personal Information Protection Act, and the requirements for the use of pseudonymous data, so solutions are proposed.

In addition, in order to increase the effectiveness of health and medical data utilization, laws and notices related to data standardization and integration were reviewed. In terms of inducement measures for data utilization, previous studies on the form and attribution of data rights were reviewed and directions were presented on the distribution of data utilization revenue.

Meanwhile, the contents to be reviewed and supplemented in terms of health and medical data protection under the current Personal Information Protection Act were reviewed. Improvement measures were examined for the provisions of subfect limited personal information protection measures, and the study was conducted on how far it is reasonable to recognize the data subject's right to view, correct, delete, and stop pseudonymous information.

Data governance is being emphasized to promote the use of health and medical data along with the legislation. This is because the participation of experts and public-private agreements are important due to the nature of health and medical data, and securing social trust in personal information protection is important. In relation to this, we tried to present specific measures by reviewing the inspection of the current health care big data platform and measures to strengthen and improve it in a comparative manner.

The Policy Deliberation Committee within these platforms is stipulated as a directive and is in charge of deliberation on not only policy deliberation but also research purposes and de-identification measures. It was proposed to legalize the basis for the composition of the Policy Deliberation Committee, focus its functions on policy decision-making, and to specialize in de-identification judgment by establishing a separate professional deliberation agency.

As an organization dedicated to judging the de-identification of health and medical data, a plan was proposed to establish 'governance for professional deliberation health and medical data and to establish a deliberation committee to deliberate on the adequacy of de-identification. The National Health Insurance Service, the National Health Insurance Review and Assessment Service, the Korea Health Industry Promotion Agency, and the National Cancer Center, which are currently combined specialized institutions, can supplement de-identification deliberations. The governance of such health and medical data review can provide policy advice to the Policy Deliberation Committee within the health and medical data platform.

As suggested in this paper, it will be of practical help in the use of safe health and medical data by supplementing the consistency between related laws, clarifying the legal basis for the use of pseudonymous data, giving legal provisions to the organization and composition of the deliberation committee, and establishing governance dedicated to de-identification of health and medical data.

It can be expected to reduce the burden of data processing by health and medical data holding institutions, improve data closeness, and improve data quality through data linkage. In addition, by clarifying the legal basis, it can act as a promotion to safely process data, and through the establishment of governance, it can increase transparency in data processing and build social trust through active participation and network of experts in each field. This will enable the safe use of health and medical data.

최근 대한민국 정부는 보건의료데이터 활용을 활성화하기 위해 다양한 데이터 정책을 수립하여 추진하고 있다. 2018년 보건의료 빅데이터 플랫폼 시범사업을 시작하고 관련 예산을 100억 원 증액하였고, 2020년 데이터3법을 개정하여 가명정보에 대한 개념을 명시적으로 도입하였으며, 데이터 산업진흥 및 이용촉진에 관한 기본법(법률 제18475호, 2021. 10. 19. 제정, 약칭:데이터산업법)을 제정하는 등 보건의료데이터의 활용을 증진하기 위한 노력을 기울여왔다.국회, 제약육성 100억. 첨단바이오 연구 52억 증액, 데일리팜, 2018. 11. 29.자 기사). 이러한 가운데, 국제적으로도 법제도적인 면에서 유럽연합은 2018년 5월부터 정보보호지침(Data Protection Directive, 이하 DPD)을 대체하여 일반정보보호법(General Data Protection Regulation, 이하 GDPR)을 제정하였고, 일본 또한 2019년 개인정보보호법 개정안을 마련하여 가명가공정보의 개념을 창설하고 곧 시행될 예정에 있는 등 변화가 있었다.

보건의료데이터는 적절하게 활용하면 의료산업계의 발전과 국민건강 증진에 도움이 된다. 특히 우리나라는 국민건강보험체제를 갖추고 있어 국민건강보험공단과 건강보험심사평가원 등 담당 공공기관에 전 국민의 건강검진기록, 의약품처방기록, 보험자격을 포함한 막대한 양의 정보가 수집되고 있다. 데이터의 수집과 체계적인 관리가 가능하다는 점에서 데이터 활용에 있어 유리한 여건을 갖추고 있다.

그러나 이러한 보건의료데이터 이용 활성화 정책이 실질적 성공을 거두고 있는지에 대해서는 평가가 엇갈린다. 행정안전부 공공데이터 제공 운영실태 평가결과에 따르면 공공데이터 관리체계의 수준은 양호한 반면 민간 활용지원 수준과 정보의 품질이 미흡한 것으로 나타났다(이병철, 보건의료 데이터 재정사업 분석, 국회예산정책처, 2021. 88쪽). 실효성 있는 데이터 활용을 도모할 수 있는 방안이 필요하다. 국내 현 개인정보보호법(법률 제16930호, 2020. 2. 4., 일부개정)과 관계법령 및 가이드라인의 권고들은 보건의료데이터의 활용시 발생할 수 있는 개인정보 유출의 위험관리와 데이터의 실질적 활용이라는 양 측의 균형을 도모할 필요가 있다. 이 논문은 보건의료데이터의 이용을 활성화하면서 개인정보를 보호할 수 있는 법제적 개선 방안에 대하여 연구하고자 한다.

우선 보건의료데이터 보호를 위한 개선방안으로서, 독립법제의 도입여부에 대하여 검토하였다. 현재의 수평적 규제를 유지하되 보건의료데이터의 특수성이 반영되어 보호가 필요한 부분은 수직적 규제를 가미하여 법규성을 갖도록 보완하는 방향을 제시하였다. 법규정을 상세히 살펴 개선 방안을 제시하고 데이터 거버넌스의 개선 방안에 대하여 제안하였다.

개인정보보호법은 제23조로서 민감정보의 특례 규정을 두어 일반 개인정보에 비하여 더 엄격하게 보호하고 있는데, 가명정보의 이용 및 제3자 제공에 대한 조문에서 민감정보의 가명정보 활용 가능성에 관한 명시적인 언급이 없어, 이에 대한 해석상의 혼란이 있을 수 있다. 현재 가이드라인에서는 보건의료데이터의 가명처리 후 활용이 가능함을 전제로 하여 세부내용을 정하고 있다. 보건의료데이터의 가명처리 후 이용 및 제3자 제공에 대한 법적 근거를 명확히 함으로써 데이터 활용을 촉진할 필요가 있다.

아울러, 보건의료데이터의 개인정보보호에 관한 조항이 관계 여러 법률에 규정되어 있음으로 인하여 발생하는 해석상의 충돌이나 적용상의 우선순위에 대한 혼란을 해결할 필요가 있다. 공공 보건의료데이터의 경우에는 공공데이터의 제공 및 이용 활성화에 관한 법률(법률 제17344호, 2020. 6. 9., 타법개정, 약칭: 공공데이터법) 및 공공기관의 정보공개에 관한 법률(법률 제17690호, 일부개정 2020. 12. 22. 약칭: 정보공개법)에 따라 활용이 가능한데 비공개대상정보에 대한 해석에 있어 논의가 있다. 또한 법문에 비공개대상정보의 제외·분리만을 정하고 있어 가명처리 후 이용이 가능한지 불분명한 면이 있어 개선방안을 제시하였다. 또한 생명윤리 및 안전에 관한 법률(법률 제17783호 일부개정 2020. 12. 29. 약칭: 생명윤리법)의 경우에는 익명화의 정의에 대하여 개인정보보호법과 상이하게 정하고 있고 가명정보의 활용 요건에 대하여 상이하게 규정하고 있어 이에 대한 정비를 제안하였다.

뿐만 아니라, 보건의료데이터 활용의 효용성을 높이기 위하여 데이터 표준화와 연계와 관련된 법령 및 고시에 대한 검토 및 개선방안을 살펴보았다. 또한 데이터 활용에 대한 유도책의 측면에서 데이터 활용 수익의 분배에 대하여, 데이터권의 형태와 귀속에 대한 선행연구들을 검토하고 방향을 제시하였다. 한편 현행 개인정보보호법에서 보건의료데이터 보호의 측면에서 검토 및 보완되어야할 내용들을 검토하였다. 개인정보 보호조치 의무주체가 한정된 조항들에 대하여 개선방안을 살펴보았고, 가명정보에 대한 정보주체의 열람권, 정정권, 삭제, 중지요구권 등의 권리를 어디까지 인정함이 타당한지 연구하였다.

법제의 정비와 함께 보건의료데이터의 이용 활성화를 위하여 데이터 거버넌스 구축이 강조되고 있다. 보건의료데이터의 특성상 전문가의 참여와 민·관 합의가 중요하고, 개인정보보호에 대한 사회적 신뢰 확보가 중요하기 때문이다. 관련하여 현 보건의료 빅데이터 플랫폼에 대한 점검과 이를 강화 및 개선할 방안에 대하여 비교법적으로 검토하여 구체적인 방안을 제시하고자 하였다. 이러한 플랫폼 내 정책심의위원회는 훈령으로서 정하고 있고 정책심의 뿐 아니라 연구목적, 비식별조치에 관한 심의도 담당하고 있다. 정책심의위원회 구성의 근거규정을 법규화하고 기능을 정책 의사결정에 집중하며 비식별 판단은 별도의 전문 심의기관을 둠으로써 전문화를 꾀하는 방안을 제안하였다.

이러한 보건의료데이터 비식별 판단 업무를 별도로 전담할 기구로서 보건의료데이터 전문 심의 거버넌스를 구축하고, 비식별 적정성을 심의할 심의위원회를 마련하는 방안을 제시하였다. 현행 결합전문기관인 국민건강보험공단, 건강보험심사평가원, 한국보건산업진흥원, 국립암센터를 통해 비식별 심의를 보완하도록 할 수 있다. 이러한 보건의료데이터 전문 심의 거버넌스로 하여금 보건의료 데이터 플랫폼 내 정책 심의위원회에 정책적 조언을 할 수 있도록 할 수 있다.

이 논문의 제언과 같이, 관련 법률 사이의 정합성을 보완하고 민감정보의 가명정보 활용 가능성의 법적 근거를 분명하게 하며 심의위원회의 조직과 구성에 대하여 법규성을 부여하고 보건의료데이터 비식별 심의를 전담하는 거버넌스를 마련한다면, 안전한 보건의료데이터 활용에 실질적인 도움이 될 것이다. 보건의료데이터 보유기관의 데이터처리 부담을 줄이고 데이터 폐쇄성을 개선하며, 데이터 연계를 통한 데이터 품질 제고를 기대할 수 있다. 또한 법적 근거를 명확히 함으로써 수범자로 하여금 안전하게 데이터를 처리할 수 있도록 하는 기준을 작용할 수 있고, 거버넌스의 확립을 통해 각 분야 전문가들의 적극적인 참여와 네트워크로 데이터 처리의 투명성을 높이고 사회적 신뢰를 구축할 수 있다. 이를 통해 보건의료데이터의 안전한 활용이 활성화 될 수 있을 것이다.