약사공론

예스킨부산

2018.11.16 (금)

예스킨

'정보이동권·자동화정보권' 부상...유럽 GDPR 시사점

[기획] 디지털 시대 약국 개인정보 관리<상>

[기획] 디지털 시대 약국 개인정보 관리
세계는 디지털 시대가 되면서 정보보호가 더 어려워지고 있어 이를 보완할 법과 제도의 개선이 제기되고 있다. 특히 민감한 정보를 다루고 있는 약국이나 관련 정보를 처리하는 약학정보원 같은 기구에서는 유념해야할 일이다. 유럽에서는 이를 개선하기 위해 최근 새로운 규칙을 제정해 시행하고 있다. 역외 지역 국가들과 국제기구에서도 인증을 받으면 적용될 수 있다. 새로운 개인정보 추세를 살펴보고 약계에서 주안점을 둬야 할 사항을 점검해본다. <편집자주>

-----------------<글 싣는 순서>----------------
<상>약계 대규모 정보처리기관 대비책 있어야
<하>개인정보, 활용 앞서 보호·권리 강화해야
---------------------------------------------




약국은 매년 개인정보보호 자율점검을 실시하고 있다. 이처럼 개인정보보호에 민감한 직능이지만 새로운 경향에 대해서는 관심이 적다. 약계의 대규모 정보를 처리하는 약학정보원의 경우 개인정보에 대한 대비가 필요하다.

약계 한 관계자는 “약국은 빅데이터라고 할 것이 없지만 약학정보원의 경우 대비가 필요하다. 빅데이터 기술이 발전하면서 특정인을 유추할 수 있는 단계까지 오고 있다. 가령 해남의 몇 년 이상 생존한 여성 암환자 등을 특정할 수 있다. 관련 기관은 이를 막을 수 있는 기술이나 방침을 마련해야 한다”고 말했다.

대한약사회 강의석 정보통신위원장은 "개인정보보호법이 2012년부터 시행되고 있지만 구체적인 가이드라인이 없다. 약정원 사건 이후 하나씩 만들어지고 있다. 2016년 6월 관계기관이 모여 '개인정보 비식별화 가이드라인'을 발표했지만 실제로 활용하기는 어렵다"고 밝혔다.

이어 "유비케어 수준의 활용방안을 질의했지만 원론적인 답변만 받았다. 시민단체는 헬스케어 빅데이터에 대해 거부감이 강하다. 복지부는 헬스케어 빅데이터에 대한 가이드라인을 마련하겠다는 입장이다"라고 설명했다.

또 "약국 개인정보보호 자율점검은 정해진 항목을 점검하면 된다. 하지만 자울점검이 쉽지 않아 홈페이지를 중단하거나 회원가입이 없는 홍보용으로만 사용하는 경우도 있다"고 말했다.

약학정보원 양덕숙 원장은 "사건 이후 개인정보에 대해서는 다루지 않고 의약품 정보만 다루고 있다. 하지만 약사회 회원들이 개인정보를 다루고 있어 새로운 내용을 알아보겠다"고 밝혔다.

개인정보, 활용 앞서 주체 보호 우선

국회 입법조사처 김태엽 입법조사관은 ‘NARS 현안분석’ 최근호에 ‘해외 개인정보 보호 동향과 시사점: EU GDPR을 중심으로’를 게재했다.

김 조사관에 따르면 2018년 5월부터 적용되기 시작한 유럽연합의 '일반 개인정보 보호 규칙'(GDPR)은 개인정보와 관련된 다양한 문제에 대해 수 년 간의 깊은 논의를 거쳐 제정돼 우리나라 '개인정보 보호법'의 개정 논의에 시사하는 바가 크다.

특히 개인정보를 활용해 경제적 부가가치를 창출할 수 있다는 견해가 부각되는 현 시점에서 ‘개인정보 활용의 전제는 개인정보 보호의 강화’라는 GDPR의 관점에 주목할 필요가 있다.

GDPR의 주요 내용은 정보주체의 권리, 비식별 조치, 안전 조치 의무, 설계에 의한 개인정보 보호 원칙과 개인정보의 역외 제공 규율 등의 측면에서 살펴볼 수 있다.

이와 관련해 우리나라의 개인정보 보호에 관한 일반법인 '개인정보 보호법'에 대한 시사점을 정리하면 ①기술 발전을 고려한 정보주체의 개인정보 자기결정권 강화 ②비식별 조치의 정의, 방법, 재식별 방지를 위한 기술・관리 조치 사항의 구체 기준 설정 ③안전 조치 의무 관련 개인정보처리자 책임성과 자율성 강화 ④사전 예방 강조하는 ‘설계에 의한 개인정보 보호 원칙’ 반영 ⑤개인정보 국외 이전 관련 규율의 보완 등이 있다.

GDPR은 EU 역내에서 활동하는 모든 사업체를 수범자로 한다는 점에서 우리나라의 많은 기업들도 GDPR의 내용을 숙지하고 이를 준수해야 할 의무를 부담하게 됐다.

개인정보 이동성 확대로 주체 통제권 약해져

EU GDPR은 기존의 ‘EU 개인정보보호지침(Directive 95/46/EC)’과 마찬가지로 정보주체의 기본권과 자유를 보호하고 EU 회원국 전체에 개인정보 보호에 관해 동일한 기준을 적용하기 위한 목적에서 제정됐다.

다만 GDPR은 ‘EU 개인정보보호지침’과는 달리 개별 EU 회원국이 별도의 입법 조치를 취하지 않더라도 각국의 국내법에 우선해 적용돠며 1995년 제정된 ‘EU 개인정보보호지침’이 반영하지 못하는 변화를 고려해 21세기 디지털 환경에 적합한 개인정보 보호 규정을 정하고 있다.

최근의 급격한 기술 발전으로 개인정보의 이동성이 높아져 정보주체의 개인정보 통제권이 약화되는 측면이 있다. GDPR 제5조는 개인정보 처리에 있어 반드시 고려해야 할 6대 원칙과 이를 준수하고 입증해야 할 개인정보처리자의 책임을 정하고 있다.

그 내용을 보면 △적법성·공정성·투명성: 개인정보는 적법·공정·투명하게 처리 △목적 제한: 개인정보는 특정하고 명확하며 정당한 목적을 위해 수집 △최소 수집: 개인정보는 처리 목적에 필요한 것으로 제한돼 수집 △정확성: 개인정보는 정확해야 하고, 필요한 경우 최신성 유지 △보관 제한: 개인정보는 처리 목적에 필요한 기간에 한해 보관 △무결성과 비밀성: 개인정보는 기술·관리 조치 등 적절한 보안 하에 처리 등이다.

GDPR은 개인정보의 보호 강화를 위해 정보주체의 권리에 대해 포괄적으로 명시하고 있다. 그 내용은 △정보주체의 접근권 △정보주체의 정정권 △정보주체의 ‘잊혀질 권리’ △정보주체의 처리제한권 △정보주체의 개인정보 이동권 △정보주체의 반대권 △정보주체의 자동화된 개별 의사결정에 관한 권리 등이다.

특히 GDPR은 우리나라의 개인정보 보호 관련 법제에서 직접 정하고 있지 않은 ‘개인정보 이동권’과 ‘자동화된 개별 의사결정에 관한 권리’를 정하고 있다.

GDPR 제20조에서 정하는 정보주체의 개인정보 이동권은 정보주체가 자신의 개인정보를 기계적으로 판독 가능한 형식으로 제공받을 권리와 정보주체가 지정하는 제3의 개인정보처리자에게 자신의 개인정보를 기계적으로 판독 가능한 형식으로 제공해줄 것을 요청할 권리를 포함하는 개념이다.

가명처리·익명처리 개념 명확히

비식별 조치란 정보주체와 개인정보 간 연결성을 제거하는 과정으로, 개인정보의 식별성을 낮추거나 없애는 것을 의미한다. 비식별 조치를 위해 총계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹 등 여러 가지 방법이 사용되고, 가명처리도 비식별 조치의 하나다.

GDPR 제4조제5호에서는 개인정보에 대한 비식별 조치의 방법으로 가명처리를 정하고 있다. 특히 가명처리된 정보는 다른 정보와 결합하거나 기술적 조치를 취해 정보주체를 재식별하는 것이 가능한 만큼 GDPR의 적용 대상에 포함됨을 명시한다.

가명처리된 개인정보는 추가적인 정보를 통해 정보주체를 특정할 수 있는 재식별이 가능한 반면 익명처리란 정보주체를 더 이상 식별할 수 없도록 하는 비가역적인 조치를 의미한다.

재식별의 가능성이 있는 가명처리 된 개인정보는 GDPR의 적용 대상이지만 비가역적인 익명 처리를 통해 재식별 가능성이 사라진 정보는 대상이 아니다. 아직 우리나라에서는 가명처리와 익명처리의 두 개념이 명확하게 구분되고 있지 않다는 지적이 제기되고 있다.

정보보호 조치, 자율적 관리 책임 부여

GDPR 제24조에서는 정보주체의 권리와 이익을 보호하기 위해 개인정보처리자가 취해야 할 기술적・관리적 안전 조치 의무를 규정한다. DPR은 개인정보처리자가 취해야 할 안전 조치의 내용을 구체적으로 정하지 않는 대신 개인정보처리자가 그 의무를 준수했음을 스스로 입증해야 할 책임을 부과한다.

다만 모든 개인정보처리자가 자율적으로 안전 조치 사항 일체를 정하고 이를 입증하는 것은 어려울 수 있어 GDPR은 제40조와 제42조에서 각각 ‘행동규약’과 ‘인증’에 관한 사항을 구체적으로 정하고 있다.

우선 GDPR 제40조에서는 EU 회원국과 감독당국, 유럽개인정보보호이사회 및 유럽위원회가 개인정보처리자로 해금 산업의 특성과 규모를 고려해 개인정보의 처리에 관한 사항을 다루는 자율 규범인 행동규약 입안을 장려하게 하고 있다.

더불어 GDPR 제42조에서는 개인정보처리자가 GDPR을 준수한다는 것을 EU 회원국과 감독 당국, 유럽개인정보보호이사회 및 유럽위원회 등이 인증하는 제도를 규정하고 있다.

이상의 두 제도는 GDPR 제24조에 따라 자율적 관리와 입증의 책인다을 부여받은 개별 개인정보처리자의 규제 준수 비용을 낮추는 데에 기여할 것으로 기대된다.

‘설계에 의한 개인정보 보호’ 원칙 제시

GDPR 제25조에서는 ‘설계에 의한 개인정보 보호’를 규정해 기업(개인정보처리자)으로 해금 재화나 서비스를 개발하는 초기 단계서부터 정보주체의 개인정보보호를 반드시 사전적・선제적으로 고려하도록 하고 있다.

이 원칙은 제품을 개발할 때에 기획부터 폐기에 이르는 전체 생애주기에서 정보주체의 개인정보 보호를 고려하는 적합한 기술과 정책을 반영해야 한다는 것을 의미한다.

이 원칙은 1995년 캐나다 온타리오 주(州)의 개인정보 보호 감독관과 네덜란드 데이터 보호국의 공동 연구를 기반으로 작성된 ‘프라이버시-강화 기술’이라는 보고서에 처음 소개된 개념이다.

이 원칙이 강조되는 경우에는 재화 또는 서비스가 완성된 때에 개인정보보호와 관련한 사항을 사후적·추가적으로 고려하는 것이 아니라 연구·개발·설계·생산·공급·보증·폐기 등 전 과정에 걸쳐 개인정보 보호와 관련된 사항을 사전적·선제적으로 고려한다.

국제기구 적정성 평가받아야

GDPR 제5장(제44조~제50조)에서는 개인정보를 제3국이나 국제기구에 제공하는 경우 개인정보처리자가 준수해야 할 사항을 정하고 있다. 이와 관련해 유럽위원회의 적정성 결정 제도(GDPR 제45조26)와 적절한 안전장치를 갖추어야 할 의무(GDPR 제46조27) 등을 도입했다.

우선 GDPR 제45조에서는 개인정보처리자가 정보주체의 명시적인 동의를 받거나 정보주체의 권익을 보호하기 위한 별도의 안전 조치를 취하지 않은 경우라 하더라도, 유럽위원회가 적정성을 평가한 제3국이나 국제기구에는 개인정보를 제공할 수 있는 ‘유럽위원회의 적정성 결정 제도’를 정하고 있다.

GDPR 제46조에 따른 ‘적절한 안전장치에 따른 이전’이란 유럽위원회의 적정성 결정이 이뤄지지 않은 제3국이나 국제기구에 개인정보를 이전하기 위해서는 정보주체의 권리를 보장하고 이를 위한 실효적인 사법적 구제 수단이 마련돼 있는지 등을 종합적으로 고려해 EU 역외에서도 EU 회원국 국민의 개인정보가 충분히 보호될 수 있도록 하는 규정이다

·  (NARS+현안분석_23호-20181019)해외+개인정보+보호+동향과+시사점.pdf  
덧글작성
이름 비밀번호 스팸방지  <- 2839 입력

[알립니다 ]12월 13일 제39대 대한약사회장 및 시도지부장 선거가 있습니다.
약사공론 게시판 등을 통해 흑색선전이나 허위사실을 유포할 경우 민형사상 책임을 질 수 있습니다.
약사사회 건전한 선거문화 정착을 위해 적극 협조해 주시기 바랍니다.

※ 저작권 등 다른 사람의 권리를 침해하거나 명예를 훼손하는 댓글은 관련 법률에 의해 제제를 받을 수 있습니다.
※ 타인에게 불쾌감을 주는 욕설 등 비하하는 단어들은 표시가 제한됨을 알려드립니다.


  • 태극제약

서울 서초구 효령로 194 대한약사회관 3층   Tel : (02)581-1301   Fax : (02)583-7035    kpanews1@naver.com
Copyright (c) 2004 kpanews.com All rights reserved.

대한약사회 약학정보원 의약품정책연구소