1. 개인정보보호위원회 2024년도 개인정보 보호법 해석 사례집 (“2024 사례집”) 발간

개인정보보호위원회(이하 ‘개인정보위’)는 2024년 6월 30일(일) 개인정보 보호법 해석 사례집을 홈페이지에 공개했습니다. 이번 사례집은 기존 사례집 중에서 시의성 높은 52건의 사례를 선별해 지난 9월 개정된 개인정보 보호법을 반영하여 발간한 것입니다.

* 개인정보위 발간 2024 사례집 원문을 보시려면 [여기]를 클릭하시기 바랍니다.

2. 보건∙의료 분야 관련 주요 사례 소개

2024 사례집에 수록된 52건 사례 중 보건∙의료 분야와 관련하여 알아두시면 좋을 만한 사례를 선별하여 다음과 같이 소개해 드립니다.
 

S&K 코멘트: 보건∙의료 분야 특성상 MRI, CT, 엑스레이 등의 영상/사진 자료는 그 자체만 있기 보다는 그 옆에 환자의 이름, 나이, 성별 등이 함께 기재되어 있는 경우가 많고, 그렇지 않다 하더라도 진료기록 등의 설명 데이터와 쉽게 결합되어 정보주체를 알아볼 수 있는 경우가 많습니다. 이 때문에 현행 개인정보 보호법상 개인정보에 해당된다고 해석되는 경우가 많으므로 특히 주의할 필요가 있습니다.
 

S&K 코멘트: 사망자에 관한 정보라고 하더라도 이를 통해 유족과의 관계를 알아볼 수 있는 경우에는 유족의 개인정보에 해당하므로 유족으로부터 개인정보 처리에 관한 동의를 받아야 합니다.
 

S&K 코멘트: 최근 미용 시술 시 홍보 목적으로 시술을 하고 얼굴 사진을 촬영하는 경우가 증가하고 있습니다. 얼굴 사진도 개인정보에 해당하므로 얼굴 사진 촬영 및 이용에 앞서 개인정보 처리에 관한 동의를 받아야 합니다. 다만 얼굴 사진은 원칙적으로 민감정보에는 해당하지 않으므로 별도로 민감정보 처리에 관한 동의는 받지 않아도 됩니다.
 

S&K 코멘트: 원칙적으로 개인정보를 처리하기 위해서는 정보주체로부터 동의를 받아야 합니다. 그러나 임상시험과 같은 과학적 연구 목적인 경우에는 정보주체의 동의 없이도 “가명정보”를 처리할 수 있고, 이 경우 그 가명정보를 유상으로 판매할 수 있습니다. 다만 이 때 주의하셔야 할 점은 다음과 같습니다.
① 가명정보를 제3자에게 제공할 때 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 안 됩니다.
② 과학적 연구(임상시험) 등의 목적 범위를 벗어나 판매할 목적으로 가명정보를 처리하는 것은 허용되지 않습니다.
 

S&K 코멘트: 가명처리가 된 것인지 여부 즉, 일정한 정보가 가명정보에 해당하는지 여부는 구체적·개별적 사안에 따라 달리 판단될 수 있습니다. 위 개인정보위 사례에서도 언급되어 있듯이 가명처리가 되었는지 여부는 처리된 정보 전체를 ‘종합적으로’ 살펴보아야 합니다. 따라서 단순히 데이터의 특정 부분을 삭제하였다고 하여 일률적으로 가명처리 되었다고 판단하기는 어렵습니다.

특히 보건∙의료 분야 연구 목적으로 가명처리를 하는 경우, 연구 대상인 질병의 특성에 따라서도 특정 항목의 식별 가능성이 달라지는 경우도 있습니다. 예컨대 A라는 질병이 10대에게는 거의 발병하지 않는 경우, 10대에게 발생한 2건의 정보는 특이정보로서 개인을 식별할 수 있는 정보가 될 수 있습니다.

그 외에도 보건∙의료 분야는 타 분야와는 달리 비정형 데이터가 많아 일률적으로 가명처리 정도에 대한 판단을 내리기는 어렵습니다.

따라서 가명처리의 수준과 방법 등에 대하여는 각 사안별로 면밀한 검토가 진행될 필요가 있다고 할 것입니다.

한편, 가명처리와 관련하여는 개인정보위의 2024년 가명정보 처리 가이드라인과 개인정보위 및 보건복지부의 보건의료데이터 활용 가이드라인이 가명처리와 관련하여 일정한 절차를 준수할 것을 요구하고 있다는 점을 유의할 필요가 있습니다.

업무에 참고하실 수 있도록 개인정보위의 2024년 가명정보 처리 가이드라인과 개인정보위 및 보건복지부의 보건의료데이터 활용 가이드라인을 링크 안내 드립니다.
 

S&K 코멘트: 앞에서 살펴본 바와 같이 임상시험과 같이 과학적 연구 목적으로 가명정보를 처리하는 경우에는 정보주체의 동의가 필요 없으며 과학적 연구 등 목적으로 가명정보를 제3자에게 제공하고 그 대가를 받는 것도 가능합니다. 그런데 제3자에게 가명정보를 제공한 후 제3자가 안전조치의무를 이행하지 않아서 정보주체에게 피해를 입힌 경우에는 가명정보를 제공한 자가 아닌 가명정보를 제공받은 제3자가 책임의 주체가 됩니다.

* 구분
제3자에게 제공하기 전 가명처리를 하는 단계에서 안전조치의무 또는 가명정보가 재식별되지 않도록 할 의무 등을 준수하지 아니하여 정보주체가 피해를 입은 경우에는 가명정보 처리자가 책임의 주체가 됩니다.
 

S&K 코멘트: 놓치기 쉬운 부분일 수 있으나, 항목별로 감염병 예방과 관계가 있는지 여부를 잘판단하셔서 공개 여부를 결정하는 것이 매우 중요하며, 특히 ‘성별, 나이, 성명, 읍·면·동 단위 이하의 거주지 주소’ 등은 공개되지 않도록 각별한 주의가 필요합니다.
 

S&K 코멘트: 개인정보 보호법상 개인정보 유출이 발생한 경우, 지체없이 정보주체에게 이를 알리고 특히 (ⅰ) 1천명 이상의 정보주체에 관한 개인정보가 유출 등이 된 경우, (ⅱ) 민감정보 또는 고유식별정보가 유출 등이 된 경우, 또는 (ⅲ) 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출 등이 된 경우에는 개인정보 유출 등을 알게 된 때로부터 72시간 이내에 개인정보위 또는 한국인터넷진흥원에 신고해야 합니다.

보건∙의료 분야는 그 특성상 대부분 민감정보를 처리하고 있어 유출이 발생하는 경우 대부분 위 (ⅱ) 민감정보 또는 고유식별정보가 유출 등이 된 경우에 해당되므로 이를 알게 된 때로부터 72시간 이내에 개인정보위 또는 한국인터넷진흥원에 신고해야 할 것입니다.
 

S&K 코멘트 : 보건∙의료 분야 특성상 환자들이 직접 수기로 기재하기 어려운 특성이 있어 특정 처방 약제 프로그램의 경우 ARS로 가입이 진행되는 경우가 있습니다. 현행 개인정보 보호법상 ARS를 통해 법정 고지사항을 명확하게 고지하고 개인정보 처리에 관한 동의를 받는 것은 가능합니다. 다만 음성을 통해 동의를 받았다는 점은 개인정보 처리자(사업자)가 입증을 해야 하므로, ① “예, 동의합니다”와 같은 대답을 녹음해 두시고, ② 동의서상의 보유기간동안 이러한 녹음 파일을 보관하셔야 합니다.
 

S&K 코멘트 : 약물이상반응 상담센터 운영, 콜센터, 학술 세미나 이벤트 개최 등을 위한 용역계약 체결시 해당 용역업체와 일반적인 용역계약 외에도 개인정보 처리 업무를 위한 위∙수탁 계약서를 문서로서 체결하셔야 합니다. 이 문서에는 개인정보 보호법령에서 정한 필수적 사항이 포함되어야 하며, 위탁 내용 및 재수탁자 포함한 수탁자를 개인정보 처리방침에 공개해야 하고, 수탁자에 대한 관리감독을 할 의무가 있습니다.

* * *

법무법인(유) 세종의 개인정보·데이터팀은 개인정보보호법, 정보통신망법, 신용정보법, 위치정보법 등 개인정보와 관련된 다양한 법령에 대한 깊은 이해와 풍부한 실무 경험을 토대로 개인정보, 데이터 분야에 전문화되고 특화된 법률적, 정책적 서비스를 제공합니다.

법무법인(유) 세종의 헬스케어팀은 보건복지부, 식약처, 심평원, 제약사 등 보건∙의료 산업 전반에걸친 다양한 경험을 가진 구성원들을 바탕으로 전문적인 자문을 제공하고 있습니다.

개인정보보호위원회의 2024년도 개인정보 보호법 해석 사례집과 관련하여 보다 전문적인 내용이나 궁금하신 사항이 있으시면 언제든지 저희 세종에 연락주시기 바랍니다.

[English version] Legal Insights from the 2024 Casebook for the Personal Information Protection Act by the Personal Information Protection Commission - Focusing on key cases related to healthcare and medicine