개인정보보호위원회는 가명처리한 사망환자 정보를 활용한 연구에 대해 행정조치 대상이 아니라고 판단했다. 이는 서울대병원이 사망이 확인된 환자의 의료데이터를 가명 처리해 연구·교육 목적으로 활용한 것에 대한 검토 결과다. 개인정보는 ‘살아있는 개인’에 관한 정보로, 사망자에 대한 정보는 원칙적으로 개인정보에 해당하지 않는다. 다만 유족과의 관계를 알 수 있는 정보인 경우 유족의 개인정보에 해당해 보호법이 적용될 수 있다.
서울대병원은 연구 활용 전 사망환자 정보 중 유족과 관련된 정보를 일괄 삭제하고 유족과의 관련성을 유추할 수 없도록 처리했다. 이후 이를 자체 데이터심의위원회를 통해 심의·승인받았다. 환자번호, 날짜, 시간, 진단코드 등에 대해서도 가명처리를 수행했고 기관 생명윤리위원회의 심의를 거쳐 최소 위험 연구로 승인받았다. 해당 데이터는 병원 내에서 자체적으로 구축한 플랫폼을 통해서만 처리되고, 무단 외부 반출이 불가능하게 하는 등 이용자 통제방안도 마련했다.
개인정보위는 이러한 점을 종합적으로 고려해 서울대병원 사례는 보호법 적용 범위에 포함되지 않는다는 결론을 내렸다. 보호법상 보호 대상이 아닌데도 높은 수준의 보안과 윤리적 안전장치를 갖췄다고 판단했다. 이는 개인정보위가 지난달 시범 도입한 ‘가명정보 비조치의견서’ 제도의 1호 회신 사례다. 이 제도는 신청인이 수행하려는 가명정보 활용에 대해 위법성이 없다고 판단했을 때 ‘행정조치 대상이 아님’을 통지하는 제도다.
개인정보위는 이 사안을 민간의 질의에 대해 정부가 답하도록 한 제도의 첫 번째 회신 사례로, 모호성 사전 제거를 통해 데이터 활용 장려 취지에 따라 공개 답변했다. 송경희 개인정보위 위원장은 “현장에서 느끼는 데이터 활용의 어려움을 적극 개선하겠다”고 말했다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com