안녕하세요. 저는 법무법인 디라이트의 안희철 변호사라고 합니다. 저는 개인정보 분쟁사례 완전 정복이라는 주제로 발표를 하려고 합니다.
개인정보란 성명 주민등록번호 영상등을 통하여 개인을 알아볼 수 있는 정보입니다. 나, 다목에서 좀 더 자세하게 설명하고 있습니다.
그런데, 이렇게 법조항에서 정하고 있음에도 실무에서는 뭐가 개인정보고 뭐가 개인정보가 아닌지가 헷갈립니다. 일단 기본적으로 간단히 말씀드리고 뒤에서 판례를 보도록 하겠습니다.
신분 관계는 물론 내면의 비밀, 심신상태, 사회경력, 경제관계, 생체인식정보나 위치정보까지 보통 개인정보로 보고 있습니다. 무엇이 개인정보인지도 중요하지만, 무엇이 개인정보가 아닌지도 중요하겠죠. 보통 죽은 사람이나 단체, 기업 등에 대한 정보는 개인정보로 보지 않는 게 일반적입니다.
개인정보 처리 과정 및 절차를 설명 드리겠습니다. 각 처리 과정에서 어떤 법적 분쟁이 벌어질 수 있는지 말씀드리기 위함인데요.
우선, 개인정보를 수집할 때 문제가 발생할 수 있습니다. 동의를 받는 등의 조치를 취해야 합니다. 또 저장, 이용, 관리하는 과정에서 관리를 제대로 못하거나, 교육을 제대로 못하거나, 안전하게 저장하지 않거나, 암호화 등을 제대로 하지 않아 위법성 문제가 생길 수 있습니다.
그 다음으로는 제공의 문제입니다. 개인정보를 제3자에 제공하거나 위탁할 때, 동의를 받아야 하느냐 말아야 하느냐 하는 문제가 있었죠. 제3자 제공이냐 위탁이냐에 따라서 위법성 문제가 또 별도로 발생할 수 있습니다.
파기 문제도 있습니다. 개인정보는 목적을 달성하면 당연히 파기를 해야 합니다. 안전하고 적절하게 파기를 해야 하는데, 만약 이걸 파기하지 않았거나 개인정보가 유출된 경우에는 위법성 문제가 당연히 발생합니다.
민사 뿐 아니라 형사 문제도 발생합니다. 개인정보보호법 문제가 어려운 게, 만일 유출이 일어났을 때 민사적인 손해배상만 하면 된다면, 어떻게 보면 돈으로써 해결할 수 있는 부분이거든요. 하지만 형사 문제가 같이 발생하기 때문에 더 무서운 겁니다.
판례를 설명 드리기 앞서 사건번호에 대해 살펴보겠습니다. 민사와 형사 모두 각각 사건번호가 있습니다. 우선 2020은 연도입니다. 소송이 심에 올라간 연도를 말하는 것이고요. 민사는 1심은 가, 2심은 나, 3심은 다로 시작합니다. 그리고 형사는 1심은 고, 2심은 노, 3심은 도로 시작합니다.
개인정보 해당성부터 말씀드리겠습니다.
이메일 주소가 개인정보가 맞냐 아니냐를 두고 다툰 2006년도 사건인데요. 2007년도에 판결이 선고되었습니다. 법원에서는 이메일 주소만으로는 특정 개인을 알아볼 수 없지만, 다른 정보와 결합하면 특정인에 대한 추정이 가능하다는 이유로 이를 개인정보로 판단했습니다.
아이디와 비번, 비밀번호의 경우에도 비슷합니다. 제가 제 아이디와 비밀번호를 알려드린다고 해서 저라는 사람에 대해서 알 수는 없습니다. 다만 이 역시 다른 정보들과 결합되면 개인임을 식별할 수 있기 때문에, 개인정보에 해당한다는 전제 아래서 손해배상 관한 판단을 한 바 있습니다.
이건 애매한 문제였는데요. 스마트폰 단말기에는 고유 식별자인 IMEI(International Mobile Equipment Identity) 라는 넘버가 있습니다. 일종의 기계 번호인데, 기계번호가 무슨 개인정보인가, 유심번호가 무슨 개인정보인가 하는 문제가 있었죠.
하지만 사실 기계적인 정보라 해도 특정 개인이 단말기를 소유하고 있다면 이건 저에게 부여되었음이 객관적으로 명백하고요. 이런 정보를 통해서 개인 식별 가능성이 크다면 이건 개인정보로 봐야 하는 겁니다. 단순히 특정 기기에 부여된 고유번호가 아니라, 특정 개인이 소유한 기기에 부여된 번호라는 취지에서 개인정보로 해석하고 있습니다.
휴대전화 뒷번호의 경우도 있습니다. 여러분이 제 휴대전화 뒷번호를 아신다고 저를 알 수 있는 건 아니죠. 다만 법원에서는 이것 역시도 개인정보라고 판단하고 있습니다. 네 개의 숫자에는 생일이나 기념일 등 일정한 의미나 패턴을 담는 일이 많고, 가족원들이 뒤의 네 자리를 똑같이 쓰는 경우도 많죠. 그래서 이것도 개인정보로 판단하고 있습니다. 예컨대 휴대전화 뒷번호를 마음대로 넘기더라도 개인정보로써 문제가 될 수 있다는 겁니다. 주의해야 합니다.
이번엔 수집에 대해 살펴보겠습니다.
2014 브라질 월드컵 승리 기원 경품 응모권과 관련한 판례가 있습니다. 대형마트에서 응모권에 개인정보 수집 동의를 1mm 정도의 아주 작은 빨간색 글씨로 적어 놓은 경우인데요. 저걸 과연 개인정보 수집을 적법하게 받은 것이냐 하는 문제가 있었습니다. 또 마트에서 이 정보를 보험회사로 넘겼는데, 이게 제3자에게 넘긴 것이냐, 아니면 개인정보를 위탁한 것이냐 하는 문제도 있었습니다.
1심과 2심에서는 1mm 글자라도 이미 응모하는 사람들이 개인정보가 수집될 것임을 다 알고 있다는 이유로 문제없다고 판단했습니다. 그리고 보험회사에 정보를 넘기는 것에 대해서는, 보험회사가 자기의 업무를 하는게 아니라 마트의 업무를 위탁해서 하는 것이기 때문에, 제3자의 개인정보 제공에 대해서도 동의를 받지 않아도 된다는 판결이 나왔습니다. 무죄가 나왔어요.
사실 이게 대법원가서 유죄로 뒤집힐 가능성은 정말 거의 없습니다. 변호사들도 평생 한 번을 뒤집기 어려운 건데, 이 사건의 경우에는 뒤집혔어요.
1mm 글자로 개인정보 수집 동의가 적혀 있었지만, 보험회사에 개인정보를 제공하는 주된 목적을 숨기고 경품행사를 하는 것처럼 오인하게 했고, 경품과 무관한 개인정보를 수집했다는 거였죠. 이런 목적과 종합적 사정을 고려할 때, 동의를 안 받고 개인정보를 취득한 것으로 판단했어요. 그래서 위법으로 판단했고요.
보험회사에 정보를 넘긴 것에 대해서도, 대법원에서는 보험회사 본인의 업무를 위해서 마트로부터 개인정보를 제공받았다고 판단했습니다. 그럼 당연히 제3자에게 제공하는 것에 대한 동의를 별도로 받아야 하는데 그에 대한 문구가 없었으므로, 따라서 이건 개인정보 보호법 위반이라고 판단했죠. 유죄로 바뀌었어요. 굉장히 유명한 판례인데, 이런 부분을 알아야 업무 진행에 도움이 되실 것 같습니다.
이건 개인정보파일에 접근할 권한이 있다는 사실만으로는 개인정보 보호법이 규정한 개인정보 처리자로 볼 수 없다는 이야기인데요. 개인정보보호법에서 개인정보를 처리할 때 동의를 받지 않거나, 제3자한테 동의없이 넘길 경우엔 개인정보 처리자가 처벌을 받게 되어 있습니다. 개인정보 처리자가 아니라면, 개인정보에 대해서 접근권한이 있는 사람이라고 해서 무조건 처벌을 받는게 아니라는 것이죠.
이 사례는 이렇습니다. 라디오 작가가 상품 응모를 받으며 상품 수령자로 결정된 청취자의 정보를 적어둔 거예요. 상품을 보내야 하니까요. 그런데 청취자가 그 이후 방송국에 비난하는 내용 증명을 보내는 등 라디오 작가를 계속 괴롭힙니다. 그래서 라디오 작가가 화가 나서, 그때 상품을 보내기 위해서 얻어 뒀던 정보를 이용해 상품 수령자에게 문제를 제기합니다. 개인정보를 활용한 거죠.
개인정보 처리란 개인정보를 수집, 생성, 연계하는 걸 말해요. 이때 과연 라디오 작가가 개인정보 처리자였냐가 쟁점이었는데요. 만일 그랬다면, 동의 없이 목적 외로 이용한 것이기 때문에 처벌받을 여지가 컸어요.
그런데 그렇게 보려면 개인정보 집합물을 쉽게 검색할 수 있는 시스템을 스스로 구축하고, 프로그램이나 시스템 방식을 운용하고 있는지에 대한 증거가 있어야해요. 만일 정말 그렇게 운용을 하고 있었다고 하면 이 사람은 전문적으로 개인정보를 처리하는 사람이라고 할 수 있겠죠. 하지만 라디오작가는 그냥 업무의 일환으로 건네받은 개인정보를 갖고 있던 것뿐이기 때문에, 이 사람은 개인정보 처리자에 속하지 않기 때문에 개인정보처리자가 아니므로 개인정보보호법 위반으로 처벌받지도 않는다고 판단했습니다. 이 판례도 의미가 있는 판례입니다.
그 다음으로, 이건 개인정보 암호화에 대한 내용인데요. 특히 기업들이 관심이 많을 부분이죠.
A 법인은 약국 관리 프로그램을 만드는 회사였어요. A 법인은 회원으로 가입된 약국이 프로그램에 환자의 처방정보나 의료용 정보를 입력하면, 이 정보를 다 수집할 수 있었어요. 그래서 A 법인은 약국과 계약을 통해 이 정보를 통계회사인 B에다 16억을 받고 팔았어요. 무려 43억에 이르는 환자의 처방정보와 의료진의 정보였죠. 그리고 통계회사인 B사는, 또 이걸 국내 제약회사들에게 70억원을 받고 팔았어요.
그런데 약국에서 프로그램을 이용해서 정보를 입력할 때 암호화가 안 됐어요. A법인이 암호화를 시켜서 B사한테 판 거죠. 그때 1기 암호화를 했는데, 안전행정부에서 이 암호화는 식별가능성, 복구가능성이 있으니 암호화를 추가로 더 하라는 명령, 권고를 합니다. 그 이후에 2기 3기 암호화가 이뤄진 거죠.
그런데 여기서 문제가, A 법인이 개인정보를 프로그램을 통해서 수집한 것이 위법이냐 아니냐 하는 것이었습니다. 이 처방전의 정보 주체는 약국일까요, 처방을 받은 환자들일까요? 이 정보는 환자의 건강에 대한 것이기 때문에, 정보 주체가 환자였던 거예요. 그러니 환자들에게 동의를 받아야 했는데, 약국과만 프로그램 이용 계약을 체결했던 거죠. 환자에겐 동의를 받지 않은 거예요. 그래서 A 법인의 개인정보 수집한 행위 자체가 위법하다, 개인정보보호법 위반이라는 판단이 이뤄졌습니다.
다만 이건 굉장히 쉬운 쟁점이었죠. 그런데 개인정보를 암호화한 다음 B사, 미국 통계회사인 B사에 제공한 행위에 대한 2심 법원과 1심 법원의 판단이 달랐습니다. 2심 법원은 1기의 암호화뿐 아니라 2기, 3기 암호화에도 모두 문제가 있으며, 비식별조치가 충분하게 이뤄지지 않았다고 판단했어요. 그래서 이건 사실상 개인정보에 해당하며, 심지어 고유식별정보와 민감정보도 포함되어 있다고 판단했죠. 따라서 정보주체의 동의 없이 제3자에게 제공한 것은 개인정보보호법 위반이라고 판단했어요.
반면 1심은 어땠냐면, 1기 암호화 조치가 충분하지 않았을 뿐 2, 3기 암호화 조치는 식별화 가능성이 크지 않다고 판단했어요. 2, 3기 암호화 방식이 이뤄진 상태의 정보는 개인정보에 해당하지 않기 때문에, 이것은 제3자에게 제공해도 문제되지 않는다고 판단했죠. 다만 1기 암호화 방식 때 제공된 정보는 개인정보보호법 위반이라고 판단을 했고요. 이처럼 암호화의 정도에 따라서 판단이 달라질 수 있다는 거죠.
이 사건은 대법원에 가서 아직도 상고심 계류 중에 있어요. 아직 정확히, 모든 판단이 이뤄지지 않았는데요. 이 사건에서 이견이 있었던 건, 분명히 개인정보보호법 위반으로 판단이 됐음에도 피고들에 대해 손해배상이 인정되지 않았어요. 법을 위반 했지만 손해가 특별히 발생하지 않았다는거예요. 재식별 가능성은 있지만 제3자가 식별하기 어렵고, 2차 피해가 없었고, 이미 데이터가 삭제된 걸로 보이며, 통계목적으로만 이용했다고 해서, 정보주체들에게 특별히 피해가 있었다고 보기 어렵다고 본 거죠. 이 부분이 대법원에서 앞으로 어떻게 판단될지는 좀 지켜봐야 할 것 같습니다.
이건 개인정보보호를 이유로 한 업무용 앱 설치를 거부해도 징계사유로 삼을 수 없다는 것입니다. 많은 회사가 내부 소통을 위해 앱을 사용하고 있는데요. 회사에서 여러 차례에 걸쳐 어떤 앱을 이용하도록 명령하고, 회사가 그 앱에 접근할 권한을 가질 것이라고 공지를 했습니다. 그러자 어떤 직원이 난 이 앱을 설치도 안 하고 이용도 안 할 거라고 한 거죠. 사실 그 직원이 그 앱을 이용하지 않으면 업무에 지장이 생기는 건 맞겠죠. 그런데 이걸로 징계를 하면 안 된다고, 징계처분에 효력이 없다고 판단이 되었습니다. 이걸 듣고 있는 대표님들에겐 좀 난처한 판례가 될 수도 있겠죠.
이건 공개된 개인정보는 정보주체의 동의가 없어도 제3자에게 유료로 제공할 수 있다는 판례입니다. 이 판례의 취지가 개정법안에 많이 반영이 됐어요. 이미 공개된 곳에 올린 개인정보는 정보주체가 결국 그 정도 범위, 즉 남들이 볼 수 있고 제3자한테 제공하는 등의 범위에 대해서는 일정부분 동의한 걸로 본다는 판례예요. 만일 이메일 개인정보를 공개했다면, 그걸 제3자에게 다시 넘겨줄 때 굳이 별도의 동의절차를 받을 필요가 없다는 거죠.
개인정보 및 서비스 제공 및 유출에 관련된 판례도 있습니다. 이건 구글과 관련된 케이스였는데요. 구글은 구글 서비스와 관련해 회원들의 개인정보나 서비스 이용내역에 대해서 제3자들에 많은 것을 제공하고 있었어요. 근데 이런 제3자 제공 내역을 정보주체한테 공개하지 않고 있었죠. 법원이 이걸 개인정보로 보고, 제3자 제공 현황을 다 제공해야 한다고 판단한 사건입니다.
그 다음은 개인신용정보 제공에 대한 것으로, 변호사와 관련된 판례입니다. 변호사가 소송을 하다 보면, 신용정보업체를 통해 상대방의 개인신용정보를 합법적인 방법으로 받아서 사용할 때가 있습니다. 다만 소송 등으로 목적이 제한되죠. 일단 이건 합법적인 부분에서 사용되기 때문에 문제가 없는데요. 의뢰인이 그런 거예요. 우리 소송할 당시 상대방에 대한 정보를 많이 알아냈지 않느냐, 이걸 나한테도 알려달라, 내가 이걸 뭔가 다른 용도로 사용하고 싶다고요. 그래서 그걸 상대방 동의 없이 의뢰인에게 넘겨주었고, 의뢰인은 그걸 다른 범위의 목적에 사용했습니다. 변호사도 알고 있었으면서 넘겨준 거였죠. 이런 경우엔 신용정보법에 위반된다고 판단했습니다.
고객개인정보 유출사고가 많이 있죠. 두번째 판례는 롯데카드 이용자들의 개인정보가 유출된 사건인데요. 카드사가 한 명당 10만원씩을 배상해야 된다고 판단했습니다. 그런데 그 위에 KT 고객 개인정보 유출사고의 경우에는 손해배상책임을 인정하지 않았습니다. 왜냐하면, 손해배상책임이 인정되려면 고의 또는 과실이 있어야 합니다. 만일 유출 방지를 위한 기술적, 관리적 보호조치를 이행했음에도 뚫렸다는 걸 다 입증했다면, 이때는 손해배상 책임이 없다는 취지입니다.
다음으로 회원 정보의 무단 제공 문제가 있는데요. A라는 결혼중개업체에 제가 등록을 해서 제 정보를 줬어요. 그런데 A라는 중개업체가 내 정보를 갑자기 B라는 중개업체한테 준 거예요. 이게 나중에 문제가 되니까, A 업체에서 이렇게 얘기한 거죠. 넌 결혼을 하고 싶었던 것 아니냐, 우리 혼자 너를 중개하는 것보다, 다른 여러 중개업체가 같이 하는게 좋은 거 아니냐고요. 하지만 이런 경우라도, 나는 A라는 중개업체에게만 내 정보를 제공한 것이기 때문에, 제3자에게 제공한 것은 위법하다는 겁니다.
다음은 개인정보 보호 미조치에 대한 것입니다. 사실 회사가, 특히 스타트업일수록 개인정보 보호조치를 하기가 쉽지 않아요. 기술적으로도 그렇고, 비용이 들 수도 있고요. 그렇게 보호조치가 미흡하더라도, 이용자의 개인정보가 분실되거나 유출되지 않았다면 처벌할 수 없다는 취지입니다.
두 번째는 상담내역 공개 문제인데요. 심리상담센터에서 상담을 한 내용으로 책을 냈는데, 이때 상담한 사람들에게 동의를 받지 않은 경우입니다. 이런 경우에도 개인정보보호법 위반에 해당합니다.
그 다음으로는 사내 전산망에 공개된 개인정보의 제공입니다. 공개된 노동조합원의 개인정보를 사전동의 없이 노조 임원선거 출마자에게 제공한 경우인데, 개인정보 보호법 위반이 아니라고 판단했습니다. 이미 사내 전산망에 나의 개인정보가 공개가 됐고, 조합원들이 다 볼 수 있는 상태였기 때문에 별도의 동의 절차를 생략해도 문제가 없다는 취지입니다.
그리고 개인정보를 열람, 조회만 한 경우인데요. 사실 ‘누출이란 무엇인가’ 하는 문제가 있습니다. 어떤 불특정 다수한테 공개되어 열람될 수 있는 상태, 제3자들에게 많이 퍼진 경우를 누출이라고 하는 건데요. 이 경우는 그게 아니었습니다. 정모 씨 등 세 사람이 산와머니의 인터넷 사이트에 침입해 개인정보를 볼 수 있게 해킹을 한 거예요. 그런데 그 정보를 빼서 남들에게 보낸 게 아니라, 자기들만 열람, 조회를 한 다음 다시 덮었어요. 그래서 법원은 개인정보가 불특정 다수에게 공개되거나 넘겨진 게 아니라 본인들만 열람, 조회하는데에서 그쳤기 때문에, 개인정보법 위반이라고 보기는 쉽지 않다고 판단을 했습니다.
맨 처음에 말씀드린 것처럼, 개인정보가 무엇인지부터 시작해서 수집, 관리, 처리, 그 다음엔 제3자 제공, 유출까지 그 모든 과정에서 각각의 판례가 있어요. 그래서 이 판례들을 보면 개인정보를 다루는 전과정에서 어떤 것들이 문제가 되었는지 이해하실 수 있죠.
뭐든지 형사적인 게 문젠데, 형사에서는 형식적인 것보다 실질적인 것을 더 중요시합니다. 아까 본 ‘1mm 글씨’ 같은 게 있잖아요? 이런 것도 형식적으로는 동의를 받은 것으로 볼 수 있지만, 실질적으로 개인정보 주체의 동의를 받은 거라고 할 수 있느냐는 것이죠. 다른 사항도 마찬가지입니다. 실질적으로 유출된 거냐, 실질적으로 관리를 소홀히 했느냐, 이런 것들을 다 따지게 됩니다. 따라서 형식적인 보완을 하는 것도 중요하지만, 실질적인 부분에 있어서도 개인정보 보호법 등 관련법령을 잘 지키는 것이 중요합니다.
질의응답
데이터 3법 시행령/가이드라인
Q. 신용정보법상 기업신용정보의 일종인 개인사업자의 성명 및 개인식별번호에 대하여, 개인정보보호법이 보충적으로 해석할 수 있는지 질문 드립니다.
A: 일단 개인사업자의 성명 같은 경우 어떻게 보면 기업의 대표이사의 성명과 같다고 볼 수 있는데요. 기존 2016년에 발간된 개인정보보호법 해설서에서는, 기업 경영에 대한 사항을 이야기할 때 기업 대표자의 이름이 나오는 건 개인정보에 해당하지 않는다고 보고 있습니다. 사안에 따라 보충적으로 보는 경우와 아닌 경우가 나누어 질 것으로 보입니다.
개인식별번호 같은 경우 여러가지가 있는데요. 대표적으로 CI를 얘기해 보죠. CI 같은 경우 결국 누가 만들든 동일한 내용으로 특정인에 대해서 하나의 일련번호만이 부여가 되기 때문에, 아무래도 개인정보보호법상 개인정보에 해당할 가능성이 높아 보입니다. 그렇다면 보충적으로 개인정보보호법이 적용될 수 있는 것으로 보입니다.
사회자: 마침 황변호사님께서 지금 개인정보보호법 해설서를 말씀하셨는데, 개인정보보호위원회에서 해설서 초안을 내일 공개한다고 합니다. 좀 이례적인 일인데요, 원래 10월 말 배포가 예상되었는데 초안을 먼저 배포해서 의견을 수렴하는 것 같습니다. 혹시 궁금하신 분은 개인정보보호위원회 홈페이지에서 해설서 초안을 받으실 수 있을 것 같습니다.
Q: 시행령/가이드라인 해설에서 가이드라인이라고 설명하신 부분이 있는데, 가이드라인은 어디에서 찾아볼 수 있나요?
A: 가명처리 가이드라인은 개인정보보호위원회 사이트의 지침/가이드라인 게시판에서 다운로드하실 수 있습니다.
우리나라 정부가 사실은 개인정보와 관련해 일을 굉장히 열심히 합니다. 개인정보보호위원회 자료실에 가시면 정말 많은 자료들이 올라와 있습니다. 때로는 변호사들의 조언이 필요 없을 만큼 자세한 내용이 올라와 있으니까요, 한 번 확인해 보시는 것도 좋을 것 같습니다.
Q: 정보통신망법 내 개인정보 조항은 개인정보보호법으로 이관되었는데, 망법 하위 고시인 개인정보의 기술적 관리적 보호조치 기준은 아직 유효한 것으로 알고 있습니다. 정보통신서비스 제공자는 여전히 개인정보의 기술적 관리적 보호조치 기준을 지켜야 하나요?
A: 네. 이 고시 같은 경우 법과 시행령에 위임을 받아서 제정된 고시인데요. 그 위임 조항들이 이번에 데이터 3법 개정을 통해서 삭제되었기 때문에, 유효하지 않다고 보는 것이 더 정확할 것 같습니다.
Q: AI를 이용해서 자사가 아닌 제3자의 서비스를 사용하고 있습니다. 사이트내 이용자의 이용내역이나 구매 및 결제 내역을 이용해서 이용자에게 개별화된 상품, 서비스 구매를 권유할 경우, 이 역시 개인정보에 해당하여 개인정보처리방침에 명시해야 하나요?
A: 실무적으로 볼 때 사이트의 이용기록은 넓게 이용자의 개인정보로 보고, 개인정보처리방침에 어떻게, 어떤 목적으로 이용한다는 점을 규정하고 있습니다.
Q: 기술적, 관리적 보호조치에서 어느 것이 더 우선인가요? 보통 홈페이지나 사이트 규정에 기반하여 공지하는 것이 초점이 되고, 실제 개발과정, 운영상에서의 DB암호화나 로그상에서의 마스킹 처리는 미흡한 것이 일반적인데요.
A: 사실 기술적, 관리적 보호조치에서 무엇이 중요하고 무엇이 중요하지 않다. 이건 좀 말씀드리기 어려운 부분이에요. 경중을 나누고 있지는 않습니다. 다만 실무적으로 볼 때는, 규제기관들도 아무래도 겉으로 드러나는 것부터 이상하다면 먼저 인지하기 마련이겠죠. 따라서 앞의 것들을 챙겨가면서 뒤의 것들도 같이 지켜 나가는 방식을 많이 취하는 것으로 알고 있습니다.
바이오 데이터
Q: 병원에서 가명정보(수면패턴분석데이터)를 받아서 AI를 활용한 수면패턴분석, 예측장치를 개발하려고 합니다. 저희가 병원에서 정보를 제공받는 제3자 입장인데, 중간에 전문업체를 꼭 끼고 진행해야 하나요?
A: 이 경우에는 필요 없을 것 같습니다. 단일 가명정보를 활용하는 경우에는 병원에 직접 신청하셔서 병원 데이터 심의위원회의 승인을 받으시면 됩니다. 제공받으신 수면패턴분석데이터에 다른 가명정보를 결합하려는 경우에는 외부 결합 전문 기관을 거쳐야 합니다.
Q: 병원이 IT 기업과 JV(Joint Venture)를 세우고 여기서 관련 사업을 준비한다는 기사들이 보이는데요. 발표 중에 데이터 재제공은 문제가 있다고 하셨는데, 어떻게 접근해야 될까요? 멀티센터 임상은 프로세스가 어떻게 바뀔까요?
A: 우선 첫번째 질문에 대한 답변은, 산업적 목적, 즉 제품 개발 목적으로는 가능하고, 유통 목적으로는 불가능하다는 것으로 축약될 수 있을 거 같습니다. 예컨대 병원이 IT 기업과 JV를 세우고 보건의료데이터 관리 기술 소프트웨어 표준화, 품질 재고, 사이버보안 개선 등을 위해 기술소프트웨어를 개발한다면 이건 가능합니다. 명시되어 있는 내용이고요. 이 JV는 기술소프트웨어 개발 목적으로 가맹정보를 제공받고, 기술소프트웨어 개발을 통해 그 목적을 달성하는 거죠. 만일 그 이후 목적 외로 사용하려면 병원 데이터 심의회의 승인이 별도로 필요합니다. 그렇기 때문에, JV가 가명정보를 사전적/포괄적으로 취득하고 JV가 필요로 하는 산업계획에 제공하는 방식, 즉 라이센싱 업무를 전담하고 병원이 수익을 공유하는 방식은 현재로서는 불가능할 것 같습니다.
두번째로, 멀티센터 임상시험은 기존의 GCP 절차를 따를 것 같습니다. 임상시험 진행중에는 기존의 GCP절차를 당연히 따를 것이구요. 종료후에는 다른 데이터와 같이 취급될 것 같습니다. 다만 가능하면 멀티센터 데이터를 취합하는 임상시험 기반에서 갖고 있는 데이터를 제공받는 것이 더 편리할 것 같습니다.
Q: 안녕하세요. 인공지능 기반 의료영상분석 소프트웨어를 개발하고 있는 의료기기 업체입니다. 제품 사용시 환자의 의료정보를 실시간으로 분석해야 함에 따라 환자의 의료영상을 사용해야 하는데, 병원 내 진료 동의서를 통해서 환자 의료정보 활용동의가 가능한가요?
A: 상당히 어려운 질문인데요. 가명정보는 원칙적으로 개인정보 주체의 동의 없이 활용할 수 있습니다. 다만 동의를 받아서 활용하는 경우, 개인정보 주체로부터 그 수집주체가 누군지, 제3자 제공이 이뤄지는지, 또 목적은 어떠하고 공유기간은 어떠한지 등을 충분히 설명하고, 소위 인폼드 콘센트(Informed Consent)라고 하죠. 임상시험에서 사용되는 그런 동의까지 구한다면 취득할 수 있을 것 같습니다. 하지만 이 부분은 가이드라인을 좀 더 구체적으로 살펴볼 필요가 있을 것 같습니다.
Q: 바이오데이터를 활용하는 데 있어서 많은 부분들이 개선된 것 같은데, 그럼에도 불구하고 바이오 데이터를 직접적으로 활용할 때 걸림돌이 되는 규정이 있을까요?
A: 규정 단위로 말씀드리기보다는 전반적인 틀을 말씀드리는 게 좋을 것 같습니다. 개인정보보호법은 원칙적으로 건강정보를 민감정보로서 다루었고요. 이번에 나온 보건복지부의 가이드라인에서도 가명정보를 활용을 할 때 기술적으로 안전성이 보장이 되면 활용을 하고, 보장이 되지 않으면 동의를 얻으라고 되어있습니다. 사실 투 트랙이라고 할 수 있는데요. 어떤 식으로 개인정보식으로 개인정보 주체의 동의를 얻을지를 염두에 두시는 게 중요할 것 같습니다.
Q: 운영 중인 질환관리 서비스 홈페이지에, 저희 유저가 앱스토어에 작성한 리뷰를 보여주고자 합니다. 해당 리뷰 작성자의 ID나 닉네임을 함께 공개하려면 작성자의 동의를 받아야 하나요?
A: 어려운 질문입니다. 작성자가 아마 리뷰로 ‘내가 이걸 쓰는데 이런 질환이 개선되었다’ 같은 내용을 쓸 것 같은데요. 의료행위를 받은 사람이 후기를 올리는 방식의 광고는 아예 금지됩니다. 그리고 아이디나 닉네임 만으로 이 사람이 누구인지 추정할 수 없다 하더라도, 커뮤니티 같은 곳에 이 사람이 같은 아이디나 닉네임을 사용해서 글을 많이 썼다면 그걸 통해 개인을 식별할 수 있잖아요. 그렇다면 ID나 닉네임도 개인정보에 해당할 수 있기 때문에 사용하려면 동의를 얻어야 하겠죠. 그 외에, 리뷰도 일종의 저장물이라고 할 수 있을 텐데요. 이를 활용하는 것도 동의를 받는 것이 원칙일 것 같습니다.
가명/익명정보 활용
Q: 광고 ID, ADID 또는 IDFA도 개인정보로 봐야 할까요? 당사 서비스 유저의 광고 ID와 타사 서비스 유저의 광고 ID를 융합하여 당사 서비스 고도화를 위하여 사용하고자 할 때 법적 절차가 있나요?
A: 그 광고 아이디가 다른 정보들과 결합하여 개인을 특정할 수 있다고 보면, 개인정보로 볼 가능성이 높은 것 같습니다. 각각의 광고 아이디를 갖고 있는 주체가 어떤 활동을 하는 건지 결합해서 사용하겠다는 취지라면, 결합전문기관을 통하여 가명정보를 결합하는 절차를 거쳐야 할 것 같습니다.