2023년과 2024년에 걸쳐 개정된 개인정보보호법은 디지털 헬스케어 시대에 맞춰 환자 데이터 보호와 정보 주체의 권리를 더욱 강화하는 방향으로 변화했습니다. 2023년 개정안에서는 데이터 이동성, 가명처리, 자동화된 데이터 처리에 대한 통제권을 강화했고, 2024년에는 공공기관의 개인정보 보호수준 평가 의무화와 개인정보 보호책임자의 자격 강화에 중점을 두었습니다. 이번 글에서는 개정된 주요 내용을 바탕으로 환자 데이터를 교환할 때 고려해야 할 사항과 구체적인 데이터 보호 방안을 설명하겠습니다.
개인정보보호법 2023년 및 2024년 개정안 주요 내용
1. 개인정보 전송요구권 도입 (2023년)
2023년 개정안에서 전송요구권이 신설되었습니다. 이 권리를 통해 환자는 본인의 개인정보를 특정 기관에 전송하도록 요구할 수 있으며, 이를 통해 데이터 이동성과 정보 주체의 통제권을 강화합니다. 정책브리핑에 따르면, 전송요구권은 헬스케어와 마이데이터 산업에서 환자가 자신의 데이터 주권을 행사할 수 있도록 지원하는 주요 제도입니다
.
2. 자동화된 결정에 대한 설명 및 거부권 (2023년)
자동화된 결정 통제권은 AI와 같은 자동화된 시스템이 개인정보를 처리할 경우, 정보 주체가 처리 과정에 대해 설명을 요구하거나 거부할 수 있는 권리를 제공합니다. 이를 통해 정보 주체는 자동화된 데이터 분석 과정에서 자신의 데이터 활용 방식을 이해하고 통제할 수 있습니다
.
3. 가명처리 및 비식별화 정보 보호 강화 (2023년)
가명처리와 비식별화는 개인정보 보호의 중요한 부분으로, 개정안에서는 이러한 데이터의 안전한 관리 의무를 강화하여 데이터 유출 시 피해를 최소화하고자 합니다. 개인정보보호위원회는 보안 관리 기준을 엄격히 적용하고, 데이터 유출 시 즉시 보고하도록 하여 정보 보호에 더욱 신경 쓰도록 하였습니다
.
4. 데이터 유출 시 신고 의무 확대 (2023년)
기존에는 정보통신 서비스 제공자에게만 적용되었던 데이터 유출 신고 의무가 모든 개인정보처리자로 확대되었습니다. 개정안에 따라 개인정보 유출 시 신속하게 관련 기관에 신고하여 피해를 최소화하고 대응 체계를 강화할 수 있습니다
.
5. 공공기관 개인정보 보호수준 평가 의무화 (2024년)
2024년 개정안에서는 모든 공공기관이 정기적으로 개인정보 보호수준 평가를 받도록 의무화하여, 공공기관에서 개인정보 보호의 표준을 유지하도록 하였습니다. 평가 항목에는 관리 체계의 적정성, 정보주체 권리 보장 조치, 안전성 확보 조치 등이 포함됩니다. 중앙행정기관, 지방자치단체, 공공기관 및 지방공사 등은 이 평가를 통해 보호수준을 점검하고 개선해야 합니다
.
6. 개인정보 보호책임자 자격 요건 강화 (2024년)
2024년 개정안에 따르면 개인정보 보호책임자는 정보보호 관련 경력이 최소 4년 이상이어야 하며, 그중 2년 이상은 개인정보 보호 관련 경력이어야 합니다. 또한, 보호책임자가 독립적으로 업무를 수행할 수 있도록 경영진 보고 체계와 필요한 자원을 지원받도록 규정하였습니다. 이를 통해 개인정보 보호책임자가 내부적으로 데이터 보호 정책을 실질적으로 강화할 수 있습니다
.
환자 데이터를 교환할 때 유의해야 할 사항
2023년과 2024년 개정된 개인정보보호법에 따라 환자 데이터를 교환할 때는 다음 사항을 고려하여 안전하게 데이터를 처리해야 합니다.
- 환자의 명확한 동의 확보
환자의 데이터를 외부 기관에 전송하거나 공유할 때는 명확한 동의를 받으며, 데이터 전송의 목적과 방법을 사전에 안내해야 합니다. 이는 전송요구권이 반영된 절차로, 환자가 데이터 활용에 대해 충분히 이해할 수 있도록 설명하는 것이 중요합니다. - 가명화 및 비식별화 적용
데이터를 제공할 때는 가명처리 및 비식별화를 통해 환자의 민감 정보가 외부로 노출되지 않도록 합니다. 예를 들어, 이름을 ‘환자A’로 대체하고, 나이와 같은 데이터는 범주화하여 특정 개인을 식별할 수 없도록 처리합니다. - 보안 조치 및 접근 권한 제한
데이터 전송 시 SSL/TLS와 같은 보안 프로토콜을 사용하고, 데이터 접근 권한을 필요한 인원으로 제한해야 합니다. 내부 데이터베이스에서도 암호화된 저장소를 통해 보안을 유지하고, 접근 권한을 최소화하여 관리하는 것이 중요합니다. - 자동화 시스템의 데이터 처리 시 설명 제공
AI 및 자동화 시스템이 환자 데이터를 처리하는 경우, 해당 처리 과정에 대해 설명을 제공하고 필요 시 거부할 수 있는 권리가 있음을 안내해야 합니다. 이를 통해 환자는 데이터가 자동으로 처리되는 방식과 그 목적을 명확히 알 수 있습니다. - 공공기관의 보호 수준 관리 및 협력 체계 활용
공공기관은 개인정보 보호수준 평가를 정기적으로 받아야 하며, 이를 통해 보호 관리 수준을 점검하고 개선할 수 있습니다. 개인정보보호위원회는 협력 체계를 강화하여, 공공기관들이 개인정보 보호의 표준을 선도하고 민간 부문에서도 이를 따라갈 수 있도록 지원합니다.
구체적인 익명화 처리 방법
개인정보 보호와 데이터 활용을 위해 다음과 같은 익명화 기법을 사용할 수 있습니다.
익명화 기법설명적용 예시
| 가명처리 | 식별 정보를 코드나 난수로 대체하여 개인 식별 가능성을 낮춤 | 환자 이름을 ‘환자A’ 등으로 변경 |
| 총계처리 및 범주화 | 개별 데이터를 통계나 그룹 단위로 처리하여 정보 보호 | 나이를 ‘20대’, ‘30대’와 같은 범주로 변환 |
| 마스킹 및 암호화 | 전화번호 등 일부 정보를 별표(*) 처리하거나 암호화하여 보안 강화 | 전화번호를 ‘010-****-1234’ 형태로 표시 |
| 무작위화(Randomization) | 데이터에 무작위 값을 추가하여 원본 데이터와 약간의 차이를 주어 보호 | 체중에 ±5kg의 무작위 값 추가 |
| K-익명성(K-anonymity) | 동일한 특성을 가진 최소 K개 그룹으로 묶어 특정 개인 식별을 방지 | 동일 연령, 성별로 그룹화하여 최소 인원 구성 |
이와 같은 익명화 방법을 통해 데이터 유출 위험을 최소화하면서도, 연구와 같은 목적에 안전하게 활용할 수 있습니다.
ISO 27001과 개인정보보호법의 관련성
ISO 27001은 정보보안 관리 체계(ISMS) 국제 표준으로, 개인정보 보호법의 요구사항을 효과적으로 충족하는 데 매우 유용합니다.
- 정보보안 관리 체계 구축: ISO 27001은 보안 관리 체계를 통해 개인정보 보호법이 요구하는 보호 조치를 체계적으로 구현할 수 있습니다.
- 위험 평가 및 리스크 관리: 개인정보보호법이 요구하는 위험 평가를 수행하여, 데이터 유출 방지를 위한 예방적 조치를 마련할 수 있습니다.
- 개인정보 처리 절차와 보안: ISO 27001의 암호화 및 접근 통제는 민감 정보 관리와 보안 수준을 강화하여 법적 요구 사항을 충족할 수 있도록 지원합니다 .
마무리
2023년과 2024년 개정된 개인정보보호법은 환자 데이터 보호와 정보 주체의 권리를 강화하는 중요한 기반을 마련했습니다. 개정안에 따라 전송요구권, 자동화된 결정 통제권, 가명정보의 철저한 관리 의무가 추가되었으며, ISO 27001과 같은 보안 표준을 통해 보안 체계를 강화할 수 있습니다. 이 개정을 통해 안전한 데이터 사용과 환자 권리 보호를 더욱 확고히 할 수 있기를 기대합니다.
'Data Science > database' 카테고리의 다른 글
| DBMS와 NoSQL의 차이점과 최신 트렌드: LIMS 데이터베이스 구축에 적합한 선택은? (1) | 2024.10.28 |
|---|---|
| ISO 27001을 활용한 의료 데이터베이스 보호 및 데이터 관리 체계 구축 가이드 (0) | 2024.10.28 |
| OMOP CDM이란? (0) | 2024.10.16 |
| 구글 스프레드시트와 database 연동 (1) | 2022.04.25 |