유전체 연구와 개정 개인정보 보호법의 가명처리 제도
Adoption of Pseudonymization by Korea’s Personal Information Protection Act & Its Implications on Genomic Research
- 주제(키워드) genomic data , genomic research , Personal Information Protection Act of Korea , GDPR , pseudonymization , scientific research exemptions , 개인정보 보호법 , 생명윤리 및 안전에 관한 법률 , 민감정보 , 가명처리 , 유전체 정보 , 유전체 연구 , GDPR , Shrems 사건 , 보건의료 데이터 활용 가이드라인
- 주제(기타) 기타법학
- 설명문(URI) https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART002631254
- 등재 KCI등재
- 발행기관 이화여자대학교 법학연구소
- 발행년도 2020
- URI http://www.dcollection.net/handler/ewha/000000176627
- 본문언어 한국어
초록/요약
Unmistakably influenced by the General Data Protection Regulation of the European Union, Korea’s Personal Information Protection Act adopted “pseudonymization” in its latest major revision. The role of pseudonymization under the Korean law is slightly different from that under the GDPR. Under Korean law, pseudonymization is a prerequisite for the “scientific research exemptions”, which include exemptions from the data subject’s explicit consent requirement, data subject’s right to access data, data subject’s right to correction, and data subject’s right to erasure. This is a welcome change, as the previous iteration of the scientific research exemption required more rigorous deidentification. How will the new scientific research exemptions based on pseudonymization apply to genomic research? One can argue that intact, unadulterated genomic data negate pseudonymization, because they may be vulnerable to re-identification by feeding the data to genealogy databases such as GEDmatch or commercial direct-to-consumer genetic testing services. However, the author believes that the law allows for the interpretation that genomic data may be kept intact during pseudonymization for scientific research if all direct identifiers are pseudonymized. As an added safeguard measure, the author recommends that institutional review boards take a more proactive role in overseeing secondary use of pseudonymized genomic data. Transfer of pseudonymized genomic data to a third-party must also be accompanied by a binding agreement to protect the data in a manner similar to the standard contractual clauses under the GDPR. A prior notice to the data subjects about possible future research use of their pseudonymized genomic data is advisable to the extent possible.
more초록/요약
개정된 개인정보 보호법이 2020년 8월부터 시행됨에 따라 도입되는 변화 가운데과학적 연구를 목적으로 가명처리된 개인정보를 이용하는 경우에 인정되는 특칙은연구자들에게 상당히 중요한 의미를 갖는다. 개정 이전에도 연구 목적의 특칙이 있기는 했으나, 그 경우 정보주체를 식별할 수 없도록 강한 비식별조치를 할 것이 요구되었던 반면, 개정법 하에서는 가명처리만으로도 정보주체의 동의 없이 활용이 가능해졌기 떄문이다. 이러한 가명처리에 따른 특례가 DNA 정보 또는 유전체 정보에 대하여도 적용이될 것인가? 비록 민감정보에 대하여는 개인정보 보호법 제18조에 따른 정보주체의동의 예외 조항이 적용될 수 없다는 이론을 연장하면 여전히 논란이 있을 수 있지만, 연구 목적 등으로 허용되는 요건을 제한한 가명처리 특례는 유전체 정보 등 민감정보에 대하여도 적용이 있다고 보는 것이 개인정보 보호법의 합목적적인 해석이다. 그런데 개인정보 보호법은 신용정보나 위치정보처럼 별도의 특별법이 마련된 소수의 개인정보를 제외한 모든 종류의 개인정보에 적용이 가능한 범용성을 염두에 두고 제정되다 보니 법조문만 놓고 보면 유전체 정보의 특수성을 고려한 가명처리 방법을 어떻게 설계해야 하는지 알기 어려우므로, 관련 전문가들이 유전체 정보 보호와 유전체연구 활성화의 균형을 도모할 수 있는 제도적 장치를 가이드라인화 할 필요가 있다. 그 내용으로 유전체 정보의 가명처리는 유전체 정보와 함께 이용하려는 정보에서 직접 식별자를 제거하거나 다른 가명으로 대체하고 간접식별자의 식별력을 낮추도록 하며, 법적으로 동의의 효력은 인정받지 못하겠지만 본인 뿐만 아니라 가족들에게도영향을 미칠 수 있다는 점에서 미리 정보주체 본인에게 유전체 정보가 과학적 연구에이용될 수 있음을 알려 주고, 끝으로 기관위원회의 역할을 증대시킬 것을 제안한다.
more