“보건의료 자료(데이터)와 인공지능으로 열어가는 사람 중심 디지털 뉴딜 시리즈”-안전한 가명정보 결합으로 똑똑한 보건의료 자료(데이터) 활용 본격화

“보건의료 자료(데이터)와 인공지능으로 열어가는 사람 중심 디지털 뉴딜 시리즈”-안전한 가명정보 결합으로 똑똑한 보건의료 자료(데이터) 활용 본격화

 

등록일 : 2020-10-29[최종수정일 : 2020-10-29] 담당부서 : 보건의료데이터진흥과

 

 

“보건의료 자료(데이터)와 인공지능으로 열어가는 사람 중심 디지털 뉴딜 시리즈”

안전한 가명정보 결합으로 똑똑한 보건의료 자료(데이터) 활용 본격화

- ‘건강보험심사평가원’, ‘국민건강보험공단’, ‘한국보건산업진흥원’ 국내 최초로 가명정보 결합 전문기관으로 지정(10.29일) -

□ 보건복지부(장관 박능후)는 안전한 가명 정보의 결합 활용을 지원하기 위해 보건의료분야 결합 전문기관(이하 전문기관) 3곳을 지정한다고 밝혔다.

* 개인정보의 일부 삭제 등 가명 처리하여 추가정보 없이는 특정 개인을 알아볼 수 없는 정보

○ 그간 현장 활용 수요에 대응하기 위해서는 각기 다른 기관의 자료(이하 데이터) 결합 활용이 필수적임에도 법적 근거 미흡으로 활용이 어려웠으나,

- 개인정보 보호법 개정(1월9일)으로 가명 정보 결합 활용이 가능해짐에 따라 전문기관의 안전한 결합, 반출업무 수행이 매우 중요해졌다.

○ 전문기관은 개인정보보호법 제28조의3, 동 법 시행령* 및 관련 고시*에 따라 지정 기준(붙임1 참조)을 충족하는 경우 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정할 수 있다.

* 시행령 제29의2～4, 가명정보의 결합 및 반출 등에 관한 고시

<개인정보 보호법> 제28조의3(가명정보의 결합 제한) ① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.<이하생략>

○ 보건복지부는 건강정보 오남용 등 사회적 우려 불식을 위해 산하 공공기관을 대상으로 보건의료분야 전문기관을 우선 지정하게 되었으며,

○ 국민건강보험공단, 건강보험심사평가원, 한국보건산업진흥원 3개 기관이 보건의료분야의 가명 정보 결합업무를 수행하게 된다.

< 결합 전문기관 주요 기능 및 역할 >

? (가명정보 결합) 과학적 연구 등을 위해 2개 이상의 가명정보 결합

? (폐쇄공간 제공 및 처리 지원) 결합신청자가 결합된 정보를 가명·익명처리 할 수 있도록 기술적·관리적·물리적 조치된 공간과 필요한 지원 제공

? (반출심사) 반출심사위원회 구성 및 결합된 정보 반출 승인

□ 가명 정보의 결합은 개인정보보호법에 따라 지정된 전문기관만이 수행할 수 있으므로, 이번 전문기관 지정으로 실질적인 데이터의 결합이 가능하게 되었다.

○ 가명 정보 결합 활용은 보건복지부가 정부 최초로 공개한 ｢보건의료 데이터 활용 가이드라인｣(9.25일)에서 제시된 가명 정보 결합 활용절차에 따라 시행된다.

○ 구체적 절차를 살펴보면, 여러 가지 보건의료 데이터를 결합 활용하고자 하는 기관에서 개별 보건의료 데이터 보유기관의 활용심의를 거쳐 가명 정보 결합신청서(붙임2)를 전문기관으로 제출하고,

○ 전문기관은 결합 적정성을 검토한 후 결합 수행, 반출심의위원회를 거쳐 결합된 정보를 제공하게 된다.

가명정보 결합 활용 절차 예시
▸ 제약회사 연구원이 신약개발 또는 약효 평가 연구 등을 위해 병원 2곳의 진료기록과 건강보험 자료를 결합하여 연구를 수행하고자 하는 경우

□ 앞으로, 다양한 형태의 정보가 결합 가능해짐에 따라, 건강보험, 진료기록, 유전체 등 보건의료분야의 방대한 자료를 바탕으로 고부가가치 데이터를 생성 활용할 수 있는 기반이 마련되었다.

○ 의료기관은 다양한 기관과의 협업을 통한 가명 정보 결합, 분석이 가능하게 되어 빅데이터에 근거한 안전하고 정확한 진단‧검사, 치료법 개발 등 의료 질 향상에 기여할 수 있고,

○ 산업계에서는 결합정보를 바탕으로 제품‧서비스 수요 발굴 및 모형(모델) 검증, 임상효과 확인 등이 가능하게 되어, 신약, 융합형 의료기기, 유망 서비스 개발이 가속화될 것으로 보인다.

○ 아울러, 정부 및 공공기관에서는 가명 정보의 결합‧활용을 통해 데이터에 기반한 예방적 공공정책 수립과 정밀한 정책 효과성 평가 등이 가능해질 것으로 기대된다.

 

고부가가치 결합 사례 예시

■ 예측기반 정책 수립 및 평가 지원

■ 신의료기술 효과성 분석

■ 데이터, 의료인공지능 신산업 가속화

□ 보건복지부는 11월 중에 3개 전문기관이 참여하는 결합 전문기관 협의체를 구성․운영하여 결합정보 활용을 조기 안착시킬 계획이다.

○ 현장의 데이터 활용과정에서 나타난 문제점과 애로사항을 협의체에서 논의해 보완책을 신속히 마련하고, 활용성과 공유회 등을 개최하여 분야별 결합 우수사례를 발굴‧확산시키고자 한다.

○ 무엇보다, 안전한 결합정보 활용에 대한 사회적 신뢰 강화를 위해 신청 건에 대한 심의위원회 명단, 심의안건 목록 및 처리결과 등 전(全) 과정을 투명하게 공개하여 무분별한 활용을 차단한다는 방침이다.

□ 아울러, 가명 데이터 결합‧활용 편의 증진을 위한 방안도 다각적으로 추진될 예정이다.

○ 방대한 건강보험 빅데이터의 손쉬운 활용을 돕기 위해 ①정보제공(보유 데이터 내용‧구조, 개방 목록 등), ②결합 활용 상담(컨설팅) 등을 지원하는 빅데이터 큐레이팅* 시스템을 도입할 예정이며,

* 여러 정보를 수집, 종합하고 정보가 필요한 사람들에게 안내해주는 활동

 

공공보건의료데이터 내역

 

▸(건보공단) 가입자 자격‧보험료, 진료‧투약 내역, 건강검진 및 생활습관, 장기요양보험, 공급자 관련 정보(의료기관, 검진기관, 요양시설) 등 약 3조4천억 건(356TB)

▸(심평원) 진료내역, 실시간 투약내역(DUR), 의약품 유통, 의료자원 등 약 3조 건(300TB)

▸(국립암센터) 암 발생 현황 통계 ▸(질병관리청) 감염병・예방접종・국민건강영양조사 정보 등

○ 가명 데이터 제공자와 사용자간 권리‧의무관계 및 개인정보보호 책임을 분명히 하기 위해 (가칭)가명정보 활용 표준 계약서를 제시하고,

- 데이터 심의위원회* 표준 운영모델 등을 마련하여 중소병원 등 소규모 기관의 가명정보 제공시스템 구축을 지원하고자 한다.

* 기관 내 설치, 연구 목적과 방법에 적합한 가명처리 방법, 안전성 등 심의 기구

□ 보건복지부 임인택 보건산업정책국장은 “가명정보 결합으로 미래의료혁신과 관련 산업 성장을 견인할 고품질의 보건의료 데이터가 본격적으로 생산, 활용될 것으로 기대하며,

○ 분야별 현장 간담회 등 지속적 소통 창구를 마련하여 가명정보 활용을 보건의료분야가 선도할 수 있도록 하겠다.”라고 밝혔다.

<참고> 1. 결합 전문기관 지정 기준2. 가명정보 결합신청서3. 보건의료데이터 활용 가이드 라인 주요 내용4. 보건의료 데이터 활용 활성화 방향 및 기대효과 (예시)

참고1

결합 전문기관 지정기준

구 분
지정 기준
1.조직 및 인력
1-1 가명정보 결합ㆍ반출 업무 담당 조직 구성․운영
가. 개인정보보호 관련 자격 또는 경력자 3인을 포함한 8인 이상의 담당 조직 구성
나. 담당 조직에 대한 관리책임자 지정
다. 운영 인력에 대한 교육계획 수립
1-2 개인정보 보호 관련 자격 또는 경력자 3명 이상 상시 고용
가. 「국가기술자격법」에 따른 정보통신 직무분야의 국가기술자격 중 정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사 자격 취득 후 1년 이상 개인정보 보호 관련 경력이 있는 사람
나. 정보보호, 정보통신, 정보기술, 개인정보 보호, 데이터 분석, 통계학, 법학 관련 박사학위 취득 후 1년 이상 개인정보 보호 관련 경력이 있는 사람
다. 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 제14조제1항에 따른 정보보호 및 개인정보보호 관리체계 인증심사원 자격에 따른 인증심사원 취득 후 4년 이상 개인정보 보호 관련 경력이 있는 사람
라. 「변호사법」에 따른 변호사 자격 취득 후 1년 이상 개인정보 보호 관련 경력이 있는 사람
마. 정보시스템감사통제협회(Information Systems Audit and Control Association)의 공인정보시스템감사사(CISA) 자격 취득 후 5년 이상 개인정보 보호 관련 경력이 있는 사람
바. 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 공인정보시스템보호전문가(CISSP) 자격 취득 후 5년 이상 개인정보 보호 관련 경력이 있는 사람
사. 정보보호, 정보통신, 정보기술, 개인정보 보호, 데이터 분석, 통계학, 법학 관련 석사학위 취득 후 4년 이상 개인정보 보호 관련 경력이 있는 사람
아. 정보통신기사ㆍ정보처리기사 및 전자계산기조직응용기사, 정보보안기사 자격 취득 후 6년 이상 개인정보 보호 관련 경력이 있는 사람
자. 정보보호, 정보통신, 정보기술, 데이터 분석, 통계, 가명처리 관련 업무에 10년 이상 종사한 사람
2.공간․시설․장비
및

정책․절차 등
2-1 가명정보를 안전하게 결합하기 위한 필요공간, 시설 및 장비 구축
? 공간 및 시설 구축 기준
가. 결합, 가명 또는 익명화된 정보로 처리, 반출심사를 위한 공간 및 시설
나. 그 밖에 결합전문기관 업무 수행을 위한 공간 및 시설
다. 가목 및 나목에 대한 물리적 안전조치

? 아래 기능을 수행하는 시스템 구축
가. 가명정보 결합, 가명처리등, 반출심사에 필요한 기능
나. 데이터 송신·수신에 필요한 기능
다. 그 밖에 결합전문기관 업무를 위한 기능

? 데이터 및 네트워크에 대한 보안조치 마련
가. 데이터의 유출을 방지하기 위한 조치
나. 결합, 가명처리등, 반출심사와 관련한 정보 및 시스템에 대한 접근 권한 관리
다. 비인가자의 불법적인 접근 차단 및 침해사고 방지를 위한 조치
라. 개인정보 암호화 및 데이터 송신·수신 시 암호화 적용을 위한 조치
마. 접속기록 보관 및 위조·변조 방지 조치
바. 악성프로그램 등 방지 조치
사. 결합전문기관 업무 수행을 위한 관리용 단말기의 안전조치(해당 경우에 한정함)
아. 백업 및 복구를 위한 조치
자. 데이터 파기를 위한 조치
차. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조제2항에 따른 클라우드 보안인증을 받은 서비스 이용 시 가목부터 자목에 해당하는 보안조치가 포함되어 있는 경우 이를 입증할 수 있는 서류를 검토하여 해당 보안조치를 이행한 것으로 볼 수 있다.
카. 결합전문기관으로서 처리하는 정보와 그 밖에 자신이 보유한 개인정보의 분리
2-2 가명정보의 결합ㆍ반출 관련 정책 및 절차 등 마련
가. 결합, 가명처리등, 반출심사(심사위원 구성 방안 포함)를 위한 정책 및 절차
나. 결합전문기관 업무를 위한 각 공간에 대한 출입 통제 정책 및 절차
다. 데이터 반출·반입 통제 정책 및 절차
라. 데이터 파기 및 기록·보관에 대한 정책 및 절차
마. 개인정보의 안전성 확보조치 기준 제4조제1항제4호부터 제9호까지, 제11호, 제13호(접근권한 관리, 접근 통제, 개인정보 암호화, 접속기록 보관 및 점검, 악성프로그램 등 방지, 물리적 안전조치, 개인정보 유출사고 대응 계획, 재해 및 재난 대비에 관한 사항)에 대한 내부관리계획
3. 재정 능력
? 자본금 50억원 이상에 해당하는 재정 능력 충족

* 비영리법인의 경우 기본재산 또는 자본총계 50억원 이상
* 국회, 법원, 헌법재판소, 선거관리위원회, 중앙행정기관, 지방자치단체 적용 제외
4. 최근 3년이내 법 제66조에 따라 공표된 적이 없을 것
? 결합전문기관 지정 신청일 기준으로 최근 3년 이내 아래 공표사실이 없을 것

가. 제61조에 따른 개선 권고
나. 제64조에 따른 시정조치 명령
다. 제65조에 따른 고발 또는 징계권고
라. 제75조에 따른 과태료 부과의 내용 및 결과

참고2

가명정보 결합신청서

<개보위 가명정보의 결합 및 반출 등에 관한 고시(제2020-9호) 별지3 서식>

결합 신청서
신청번호

결합신청자
기관명

사업자등록번호
또는 법인등록번호

주소

대표자명

담당자

담당자 연락처
(전화, e-mail)

신청자 구분
[ ] 개인 [ ] 공공기관 [ ] 비영리법인 [ ] 민간기관

가명정보 제공
해당없음 [ ]
파일명

제공방법
[ ] 온라인 [ ] 오프라인
제출예정일
년 월 일
전체
가명정보 제공 기관명(총수)

제공정보
요약
컬럼 수

전체 레코드 수

전체 파일 크기

결합 결과물 이용
해당없음 [ ]
시계열 분석
[ ] 해당없음 [ ] 시계열(신규) [ ] 시계열(추가, 결합접수번호 : )
결합목적
[ ] 통계작성 [ ] 과학적 연구 [ ] 공익적 기록보존 등
세부결합목적

「개인정보보호법」 제28조의3제1항 및 같은 법 시행령 제29조의3제1항에 따른 결합을 위하여 결합전문기관에 결합신청서를 위와 같이 제출합니다.
년 월 일

신청인
(서명 또는 인)

결합전문기관의 장 귀하

첨부
서류
1. 사업자등록증, 법인등기부등본 등 결합신청자 관련 서류 1부
2. 결합 대상 가명정보에 관한 서류(전체 항목명 가명처리 대상 항목명, 가명처리 기법 및 예시 등) 1부(해당 경우에 한함)
* 결합키 생성에 사용된 속성 제외
3. 결합 목적을 증명할 수 있는 서류 1부
4. 안전조치계획 및 이를 증빙할 수 있는 서류 1부

 

참고3

보건의료데이터 활용 가이드 라인 주요 내용

□ 가명처리 방법

○ (원칙) 안전한 가명처리 방법이 있을 경우 가명처리 후 활용, 그렇지 않을 경우 가명처리 활용 유보(동의에 의해서만 가능)

○ 식별자, 인적사항 및 속성값 등 주요유형별 가명처리 방법 제시

 

데이터 유형별 가명처리 방법

 

? (식별자) 개인을 식별할 수 있으므로, 삭제 또는 일련번호 대체
? (인적사항) 주소, 생년월일 등은 부분 삭제하여, 식별력 감소
? (측정수치 및 의료인 관찰·입력, 알고리즘 생산 정보) 원칙적으로 별도 조치 없이 활용(의도적 결합을 제외하고는 개인 식별 불가능)
? (체외·체내영상) 삭제·모자이크 등 가명처리 후 활용 가능
? (유전체) 널리 알려진 질병에 관한 유전자 변이 유·무 또는 변이 유형 등 일부 유형을 제외하고, 개인의 동의를 받아 활용 가능
? (인종·민족) 별도 조치 없이 활용 가능

□ 가명처리 및 결합 절차

○ (가명처리) 내부·외부 요청 시, 기관 자체(심의위원회) 가명정보 제공 여부, 가명처리 적정성 등 심의를 거쳐 가명처리 후 제공, 활용

연구수요 발생
▶
신청서 작성
▶
심의위원회 검토·승인
▶
가명 처리
▶
반출 또는 폐쇄환경 분석

○ (결합) 서로 다른 기관 간 데이터 결합을 위해, 결합 전문기관을 통해 결합 후 결합 목적 및 재식별 가능성 등 심사를 거쳐 제공, 활용

신청서 작성
▶
심의
위원회 검토·승인
▶
결합
전문기관
신청·검토
▶
결합수행,
가명처리
▶
반출심사위원회 승인
▶
반출 또는 폐쇄환경 분석

 

□ 안전·보호조치 등

○ 안전한 가명정보 처리·관리를 위한 내부관리계획 수립 및 정보 상호 분리, 접근통제 및 기록, 취급자 교육, 윤리적 조치 등

참고4

보건의료 데이터 활용 활성화 방향 및 기대효과 (예시)

 

분야
개보법 개정 이전
개보법 개정 이후
예상성과·사례
의료기관
(연구)
?데이터 가명처리 근거 불명확
?데이터 활용 및 연구 제약
?명확한 법적 근거·가이드라인 하에 안전하고 활발하게 가명처리·분석 가능
?국내 유수의 민간 암병원 간 협력 네트워크를 구축, 암치료 데이터 연계, 암 연구 및 항암신약 개발추진

* 국립암센터-민간병원 사례
?데이터 제공 가능 여부 불분명, 기업 등 협력연구 기피
?외부 기업과의 협업연구 가능
정부·
공공기관
(자료개방)
?공공 데이터 제공 제한
- 목적 엄격(학술 only)
- 폐쇄환경으로만 열람
- 가명처리 근거 미흡

?데이터 연계·개방 활성화
- 산업적 활용 허용
- 원격접속 등 열람방법 다양화
- 가명처리 근거 확보
?공공데이터 분석으로 기존 의약품 적응증 확대

* 심평원 데이터 분석 결과 기존 자사 당뇨치료제의 비만치료 효능 발견

→ 별도 연구개발 없이 비만 치료제로 새로 허가받아 시장 대폭확대
?산업계가 자유롭게 쓸 수 있는 유전체 데이터 부족
?국가적 유전체 데이터 인프라 구축, 데이터 개방
제약· 의료기기
기업
?의료기관 진료정보를 활용할 경우 의료진 위탁연구만 가능

?공공기관 데이터 활용 제한
?의료기관·공공기관 가명정보를 기업이 제공받아, AI·신약·의료기기 등 개발에 활용
?신약‧의료기기의 임상적 효과 검증 단축, 대상질환 확대

* 항암제 치료 적응증 확대(미 FDA 추가허가)

?AI 스타트업-병원 협력연구로 암 진단 인공지능 개발

* 여러 병원과 협업→ 유방암, 폐암 진단 인공지능 개발
?중소기업의 경우, 의료기관과의 협력 어려움
?의료데이터 활용지원센터를 통해 의료기관 연계·협력
헬스케어 서비스· ICT 기업
?헬스케어 서비스 제공기록 등을 활용, 제품·서비스 개선을 위한 기술개발연구를 수행할 경우 개인정보보호법 위반 소지
?가명처리한 데이터를 활용, 제품개발 연구 가능

?유관기업 및 의료기관과의 협력연구 가능
?AI 기반 임상의사결정지원시스템(CDSS) 개발, 의료진 진료 지원 및 효율화

* 의무기록 빅데이터를 표준화 기반으로 분석, 임상진료 지원모델 개발