개인정보보호위원회는 2025년 12월 28일 사망한 환자의 가명처리 의료정보를 연구에 활용하는 것이 개인정보 보호법상 행정조치 대상에 해당하지 않는다고 판단했다. 이는 개인정보위가 지난달 시범 도입한 ‘가명정보 비조치의견서’ 제도의 1호 회신 사례다. 서울대병원이 사망환자 정보를 가명처리해 연구·교육 목적으로 활용한 사례에 대해 이 판단을 내렸다.
개인정보위는 개인정보 보호법에서 개인정보는 ‘살아 있는 사람’에 관한 정보를 의미하며, 사망자 정보는 원칙적으로 개인정보에 해당하지 않는다고 판단했다. 다만 사망자 정보라도 유족과의 관계를 알 수 있는 경우 유족의 개인정보로 볼 수 있어 보호법이 적용될 수 있다고 설명했다. 이번 사안에서 개인정보위는 유족과의 관련성이 실질적으로 제거됐는지, 정보가 오·남용되거나 외부로 유출될 위험은 없는지 두 가지 기준을 중점적으로 살펴봤다.
서울대병원은 연구에 앞서 사망한 환자 정보에서 유족과 관련될 수 있는 내용을 일괄 삭제하고, 환자번호, 날짜, 시간, 진단코드 등에 대해서도 가명처리를 수행했다. 해당 데이터는 병원 내부에 구축된 전용 시스템에서만 처리되며, 무단 외부 반출이 불가능하도록 접근 통제 등 보안 장치도 마련했다. 이와 함께 데이터는 자체 데이터심의위원회와 생명윤리위원회의 심의를 거쳐 최소 위험 연구로 승인받았다.
개인정보위는 이러한 조치를 종합적으로 검토한 결과, 서울대병원의 이번 사례가 개인정보 보호법 적용 범위에 포함되지 않는다고 판단했다. 보호법상 보호 대상이 아닌데도 높은 수준의 보안과 윤리적 안전장치를 갖췄다고 판단했다. 이에 따라 개인정보위는 이번 사례를 ‘가명정보 비조치의견서’ 제도의 첫 번째 적용 사례로 기록했다.
현장에서 느끼는 데이터 활용의 어려움을 적극 개선하겠다. 앞으로도 보건복지부 등 관계 부처와 협력해 데이터 활용의 어려움을 개선해 나가겠다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com