• 제목/요약/키워드: 옵트아웃

검색결과 3건 처리시간 0.017초

미국의 보건의료데이터 보호 및 활용을 위한 주요 법적 쟁점 -미국 HIPAA/HITECH, 21세기 치료법, 공통규칙, 민간 가이드라인을 중심으로- (Legal Issues in Protecting and Utilitizing Medical Data in United States - Focused on HIPAA/HITECH, 21st Century Cures Act, Common Law, Guidance -)

  • 김재선
    • 의료법학
    • /
    • 제22권4호
    • /
    • pp.117-157
    • /
    • 2021
  • 본 연구에서는 미국의 보건의료데이터 관련 주요 법령으로 HIPAA/HITECH, 21세기 치료법, 공통규칙, 주법 등을 검토, 데이터의 보호 및 활용 관점에서 관련 법령의 발전과정, 구체적 쟁점에 관한 입법방침을 검토하였으며, 다음과 같은 시사점을 도출하였다. 첫째, 미국의 경우 개인의료정보에 관한 단일법제를 통하여 보호와 활용 기준을 비교적 명확하게 규율하고 있다. 미국의 경우 1996년 의료정보보호에 관한 기본법으로 HIPAA를 도입, 의료정보를 개인식별정보, 비식별정보, 한정데이터세트로 구분하여 PHI의 경우 목적에 따른 활용범위를 규정하였으며, 의료정보의 비식별조치 방식 규정, 한정데이터세트의 삭제정보 대상, 데이터 재식별 금지합의서 등에 관하여 규정하였다. 한편, 연구목적 의약품 및 의료기기 혁신 촉진을 위하여 제정된 21세기 치료법에서는 정보의 공유와 정보접근성 강화를 위하여 데이터 공유를 위한 상호호환성, 데이터 차단 금지, 정보주체의 접근성 강화를 규정하였으며, 공통규칙에서는 포괄적 동의제도를 도입, 절차를 명확하게 규정하고 있다. 우리나라의 경우 개인정보보호법을 기초로 하되, 보건의료데이터를 규율하는 일관된 법제를 제정한다면 규제체계와 내용을 보다 명확히 하여 정보소유자와 이용자에게 정보이용에 대한 신뢰를 높일 수 있을 것으로 생각된다. 둘째, 미국의 경우 의료정보의 활용 측면에서 규제체계를 비교적 간소화하고 명확하게 규정하고 있다는 점에서 의미가 있는 것으로 생각된다. 구체적으로 식별가능 의료정보의 익명조치 방안으로 전문가 합의 방식과 세이프 하버 방식을 규정하고, 구체적인 방법을 규정하고 있다. 특히 세이프하버 방식의 경우 18가지 식별자를 제거하면 비식별조치가 된 것으로 판단하고 있어 비식별조치 방식과 절차를 명확하게 규정하고 있다는 점, 전문가 합의 방식도 전문가 판단기준, 절차 등을 규정하고 있어 판단절차에 대한 신뢰를 높이고 있다는 점에서 의미가 있다. 보건의료데이터의 경우 치료목적, 연구목적 등으로 활용될 경우 그 가치가 증가될 것으로 생각되므로 보다 간소하고 명확한 기준을 제안함으로써 정보보호와 활용의 목적을 달성할 수 있을 것으로 생각된다. 셋째, 미국의 경우 정보주체의 권리보호 방안을 구체화하되, 설명의무를 상세히 규정하되 식별정보에 대한 소비자의 정보권한(옵트아웃 절차)를 명시하고 있다. 구체적으로 HHS 규칙과 FDA 규정에서 인간대상 연구에 대하여는 포괄적 동의제도를 인정하되 공통규칙을 통하여 동의절차, 방법, 요건을 규정하고 있다. 특히 정보주체에 대한 고지의무, 옵트아웃 제도, 삭제요구권 등에 관하여 규정하고 있으며, 동의절차에서 동의 대상자가 쉽고 명확하게(8th grade reading level 기준) 이해할 수 있도록 하며, 최신성·편의성을 유지하도록 하고 있다. 특히 최근 미국 주법(뉴욕, 캘리포니아 주 등)은 데이터 보호 및 활용에 관한 법령을 제정하면서 정보접근권, 삭제요구권, 옵트아웃 제도, 정보처리 동의의 투명성 강화조치 마련 등을 규정하여 데이터 활용에 있어서 정보주체의 권리를 보장하고 있다. 정보주체의 권리 보호는 정보의 가치보존과 활용 측면에서 가장 중요한 전제요건이 될 것이므로 우리나라의 입법에서도 참조할 수 있을 것으로 생각된다. 넷째, 미국의 경우 보건의료데이터 법제 전반에서 신뢰기반 제도를 활용하고 있다는 점은 중요한 의미가 있을 것으로 생각된다. 예컨대 HIPAA에서는 Limited Data Set의 경우 연구자의 재식별금지 합의서를 전제로 정보를 활용할 수 있도록 규정하고 있으며, 익명조치를 전문가 합의, 세이프하버 방식 등으로 간소화하여 연구목적 정보이용을 활성화하는 방안, 동의제도를 간소화하는 방안도 정보주체와 정보이용자간 신뢰에 기반한 것으로 볼 수 있다. 의료정보는 정보주체, 생성·보관·활용자가 모두 신뢰에 기반하여 협력할 때 그 가치가 나타날 수 있을 것으로 생각되므로 정보주체의 권리보장을 전제로 하되, 정보이용자가 당해 정보를 보다 가치 있게 이용(meaningful use)하도록 하는 신뢰에 기반한 법제도 마련이 필요할 것으로 생각된다.

보건의료 빅데이터의 연구목적 사용에 대한 법제 개선방안 (Improving Legislation on the use of Healthcare Data for Research Purposes)

  • 박대웅;정현학;정명진;류화신
    • 의료법학
    • /
    • 제17권2호
    • /
    • pp.315-346
    • /
    • 2016
  • 빅데이터 처리기술의 발전과 함께 보건의료 빅데이터의 잠재적 가치도 크게 주목받고 있다. 그리고 이러한 잠재적 가치를 현실화하기 위해서는 보건의료 빅데이터를 이용한 다양한 연구가 필수적이다. 하지만 개인정보보호법을 중심으로 한 빅데이터 규제체계는 경제재로서의 빅데이터의 측면을 고려하지 못하고 있어, 이를 연구목적으로 활용하는데 많은 장애를 발생시키고 있다. 환자의 치료라는 1차적 목적을 중심으로 한 보건의료정보의 규제체계를 기술의 발전에 부합하며 공익적 활용이 용이한 형태로 개선시켜야 한다. 이를 위해서 개인정보의 보호와 활용의 균형에 대한 고민이 반영된 해외의 법제 동향을 살펴볼 필요가 있다. 해외 법제의 시사점을 바탕으로 우리 법제에서 다음과 같은 방향의 개선점을 도출할 수 있다. 우선 보건의료정보에 특화되고 보호와 활용을 아우르는 법제가 필요하다. 개인정보의 비식별화도 개인정보보호법의 적용이 배제되는 수준을 명확하게 규정해야 한다. 보건의료 빅데이터를 연계할 수 있는 법적 기반의 구축을 통해 관련 연구에 시너지 효과를 창출해야 한다. 외국에서의 논의에 대한 검토와 사회적 합의를 바탕으로 옵트아웃 제도의 도입도 고려해야 한다. 하지만 무엇보다 중요한 것은 이러한 시스템에 대한 국민의 신뢰일 것이다.

  • PDF

감염병 위기 상황에서 감염병 데이터의 수집 및 활용에 관한 법적 쟁점 -미국 감염병 데이터 수집 및 활용 절차를 참조 사례로 하여- (Legal Issues on the Collection and Utilization of Infectious Disease Data in the Infectious Disease Crisis)

  • 김재선
    • 의료법학
    • /
    • 제23권4호
    • /
    • pp.29-74
    • /
    • 2022
  • 2020년 예상하지 못한 형태의 COVID-19 감염병의 급속도로 전파·확산으로 국민의 "생명·신체·재산"에 피해를 줄 수 있는 재난관리법상 사회재난이 발생하면서, 감염병병원체의 검사 및 발생 사실에 대한 신고 및 보고(제11조), 실태조사(제17조), 역학조사(제18조), 예방접종을 위한 역학조사(제29조) 등을 통하여 수집된 정보는 발전된 데이터 인식 및 처리 기술, 인공지능을 통한 학습 기술 등과 결합하여 (1) 의료자원 배분을 위한 정책적 근거 마련(병상배정, 방역물품 공급), (2) 감염병 확산 방지를 위한 방역 정책적 근거 마련(집합금지·영업제한 등 정책 결정, 확진자 발생 현황 예측을 위한 연구 및 정책 결정), (3) 예방접종 촉진 및 피해 현황 파악 등 감염병 위기 상황에서 의사결정의 중요한 근거로 활용되어 왔다. 이러한 감염병 데이터를 활용한 의료정책의 결정은 방역정책 결정, 정보제공, 의약품 개발 및 연구 기술 발전에 기여하여 왔으며, 국제적으로 감염병 데이터의 활용 법제 마련에 관한 논의가 증가하면서 감염병 데이터 활용의 법적인정 범위와 한계에 대한 관심이 높아졌다. 감염병 데이터의 활용은 감염병 전파 및 확산 차단 목적, 감염병의 예방·관리·치료업무 목적, 감염병 연구 목적으로 분류할 수 있으며, 정보의 활용은 감염병 위기 상황을 전제로 논의된다. 먼저 민감정보인 "진료기록, 예방접종약, 예방접종, 기저질환 유무, 건강순위, 장기요양인정등급, 임신여부 등"에 관한 정보의 경우, 업무 목적으로 수집·제공·활용하는 경우 개인정보보호법상 활용이 인정되는 "타법에서 정하는 업무" 범위에 대한 해석이 요구된다. "감염병 전파 및 확산 차단, 감염병의 예방·관리·치료" 목적의 업무수행의 경우 입법적으로 명확하게 사전에 규율하기 쉽지 않다. 따라서 이를 인정하기 위한 전제로 먼저 대법원 및 헌법재판소에서 의료행위의 개념을 명확하게 정의하기 어렵다는 부분을 차용할 수 있다. 따라서 현실적으로 구체적인 업무수행의 행위 유형은 후행적으로 "입법목적, 학문적 원리, 전문성, 사회통념"을 기준으로 판단하여 재량권의 일탈 또는 남용의 논리로 해석하게 된다. 목적 달성에 필요한 정보수집 대상의 확정, 수집 정보의 활용방안의 한계 설정을 위하여 감염병으로 인한 공중보건 위기 상황에서 데이터 활용의 공익적 필요성이 있는지를 우선 판단하되 해당 정보의 활용이 정보주체나 제3자의 이익을 부당하게 침해하지 않았는지를 기준으로 판단한다. 이익형량의 세부 기준으로 위기 상황에서 감염병의 전파속도와 정도, 해당 민감정보의 처리 없이 목적달성을 할 수 있었는지, 민감정보의 처리를 통한 방역정책 도입의 효과성 등을 기준으로 판단하게 된다. 한편, 연구목적 감염병데이터의 수집·제공·활용은 원칙적으로 개인정보보호법상 가명처리, 생명윤리법상 동의와 기관생명윤리위원회의 심의, 국민건강보험공단 자료 활용 시 자료제공 심의위원회 절차를 거쳐 활용되게 된다. 따라서 가명처리 및 데이터심의위원회의 심의 또는 정보주체의 동의 및 기관생명윤리심의위원회의 심의를 거치므로 원칙적으로 절차적 타당성을 확보하는 한 연구목적 활용은 인정된다. 다만, 가명화 또는 익명화 절차를 명확히하여 연구책임자의 부담을 줄여야 하며, 포괄적 동의제도와 옵트아웃 제도의 도입 또는 동의 절차가 명확히 마련되어야 하며, 기술발전으로 나타날 수 있는 재식별 가능성 또는 보안성 확보 절차를 명확히 규정할 필요가 있을 것으로 생각된다.