약사공론

예스킨부산

2018.11.21 (수)

예스킨

개인정보, 활용 측면보다 보호·권리강화가 우선

[기획] 디지털 시대 약국 개인정보 관리<하>

[기획] 디지털 시대 약국 개인정보 관리
세계는 디지털 시대가 되면서 정보보호가 더 어려워지고 있어 이를 보완할 법과 제도의 개선이 제기되고 있다. 특히 민감한 정보를 다루고 있는 약국이나 관련 정보를 처리하는 약학정보원 같은 기구에서는 유념해야할 일이다. 유럽에서는 이를 개선하기 위해 최근 새로운 규칙을 제정해 시행하고 있다. 역외 지역 국가들과 국제기구에서도 인증을 받으면 적용될 수 있다. 새로운 개인정보 추세를 살펴보고 약계에서 주안점을 둬야 할 사항을 점검해본다. <편집자주>

-----------------<글 싣는 순서>----------------
<상>약계 대규모 정보처리기관 대비책 있어야
<하>개인정보, 활용 앞서 보호·권리 강화해야
---------------------------------------------



최근 ICT의 발달과 인공지능(AI)의 확산에 힘입어 각종 데이터를 분석해 가치 있는 정보를 생성하고 이를 토대로 재화나 서비스를 생산·공급해 경제적 부가가치를 창출하려는 시도가 많아지고 있다.

다만 각종 데이터에는 특정 개인을 식별할 수 있는 개인정보가 포함될 가능성이 높아 ‘개인정보의 활용’에 앞선 ‘개인정보의 보호’를 고려해야 할 필요가 있다.

특히 정보주체의 개인정보 자기결정권은 '대한민국 헌법' 제10조 제1문에서 도출되는 일반적 인격권과 같은 법 제17조의 사생활의 비밀과 자유에 의해 보장되는 기본권인 만큼 헌법 정신의 구체적 실현을 위해 ‘개인정보 활용의 전제는 개인정보 보호의 강화’라는 원칙을 정립할 수 있다.


정보주체의 권리 강화

현행 '개인정보 보호법' 제35조부터 제37조에서는 정보주체의 권리에 관한 사항을 정하고 있으나 EU GDPR 제20조 및 제22조에 각각 정해진 정보주체의 ‘개인정보 이동권’과 ‘프로파일링을 포함한 자동화된 개별 의사결정에 관한 권리’에 관한 사항은 '개인정보 보호법'에서 정하고 있지 있다.

이는 최근의 정보통신기술 발달로 인해 개인정보의 이동성이 높아진 현실을 적절히 반영하지 못하는 한계로 나타나며 정보주체의 자기결정권을 충분히 보장하는 데 어려움이 있다

이에 법률로 정보주체의 권리를 보다 두텁게 보장하기 위해 EU GDPR을 참고해 ‘개인정보 이동권’과 ‘자동화된 개별 의사결정에 관한 권리’를 신설하는 방안을 고려할 수 있다

개인정보 이동권이 보장된다면 정보주체는 특정한 개인정보처리자가 제공하는 재화나 서비스에 종속되지 않을 수 있어 정보주체의 자기결정권이 강화될 수 있다.

이와 더불어 동일하거나 유사한 재화 또는 서비스를 생산하는 복수의 개인정보처리자간 경쟁이 유발돼 산업 발전을 촉진할 수 있을 것으로 기대된다.

또 '개인정보 보호법'에서 ‘프로파일링’을 명확하게 정의하고 이를 포함한 자동화된 개별 의사결정에 관한 정보주체의 권리를 신설해 법제와 현실 간 괴리의 폭을 줄이면 시의적적한 규율이 가능하게 될 것으로 전망된다.

특히 빅데이터 산업의 개인정보처리자가 고려해야 할 사항을 분명하게 정하면 법률의 테두리 안에서 개인정보의 보호와 활용 간 균형을 도모할 수 있을 것으로 예상된다.


비식별 조치, 법률로 명확하게 규정

현재 우리나라는 법률이 아닌 관계 정부 부처 합동으로 정한 지침(가이드라인) 수준에서만 비식별 조치에 관해 정하고 있다.

비록 '개인정보 보호법' 제3조제7항에서 ‘개인정보의 익명처리 원칙’을 정하고 같은 법 제18조제2항제4호는 “특정 개인을 알아볼 수 없는 형태”라는 표현을 사용하고 있으나, ‘가명처리’와 ‘익명처리’가 서로 다른 개념인데도 이를 명확하게 정의하지 않고 규정해 입법 취지가 분명하지 않다.

비식별 조치에 관한 사항을 법률로 명확하게 규정하면 규제의 회색지대를 축소해 개인정보처리자의 개인정보 활용에 있어 규제를 해석하고 자신의 의사결정이 규제에 위반되는지를 일일이 검토하는 데 소요되는 비용을 절약하고 업무 수행의 능률성을 높일 수 있다

또 정보주체의 관점에서는 개인정보처리자가 어떤 방법으로 자신에 관한 개인정보를 비식별 조치해 활용하는지에 대해 정확한 정보를 얻을 수 있어 정보주체의 개인정보 통제권이 강화될 수 있고 필요한 경우 자신의 개인정보에 대한 비식별 조치와 그 활용을 중지해줄 것을 필요할 때에 요구하는 것이 쉬워질 수 있다.

GDPR뿐 아니라 미국과 일본도 비식별 조치에 관한 사항을 구체적으로 정해 개인정보가 활용되는 상황에 적합한 개인정보 보호 방향을 제시하고 있다.

이에 우리나라도 GDPR을 비롯한 해외 주요국의 입법례를 토대로 비식별 조치와 관련해 △ ‘가명처리’와 ‘익명처리’ 등 비식별 조치의 구체적 의미 △법률에 의해 허용될 수 있는 비식별 조치의 방법과 관련 기술 △비식별 조치가 취해진 개인정보를 다른 정보와 결합해 정보주체를 재식별하는 것을 방지하기 위한 기술・관리 조치 사항의 기준 등을 법률로 직접 명확하게 정해 개인정보 활용에 앞서 비식별 조치를 통한 개인정보 보호의 실효성을 높일 필요가 있다.


정부 세부지침, 기술발전 부합 못해

우리나라는 개인정보처리자의 안전 조치 책임과 관련해 '개인정보 보호법' 제29조와 같은 법 시행령 제30조제3항에 근거를 둔 행정안전부고시 '개인정보의 안전성 확보조치 기준'에서 개인정보처리자가 준수해야 할 사항을 상세하게 정하고 있다.

정부가 안전한 개인정보 처리를 위한 세부 사항을 직접 정하는 경우 개인정보처리자가 개인정보 보호에 적합한 방향으로 의사를 결정해 행동하도록 유도할 수 있다.

하지만 정부의 세부 지침은 관련 기술의 발전 속도에 부합하지 못할 가능성이 크고, 개인정보를 처리하는 산업의 분야별 특성을 반영하기 어려운 측면이 있다.

뿐만 아니라 개인정보 유출 사고가 발생하더라도 개인정보처리자가 정부의 안전성 확보 조치기준을 모두 준수했다면 제재 대상이 되지 않아 개인정보처리자가 개인정보 보호를 위해 정부가 정한 기준 이상의 노력을 할 것이라 기대하기 어려운 측면이 있다.

따라서 GDPR을 참고해 개인정보처리자가 안전 조치에 관한 사항을 자율적으로 정해 운영할 수 있게 하는 방향으로 '개인정보 보호법' 제29조의 개정을 검토할 수 있다.

정부 지침은 반드시 준수돼야 할 최소한의 기본 항목으로 구성하고 각 개인정보처리자가 자신이 처리하는 개인정보의 유형과 내용 등을 고려해 안전 조치 사항을 정하도록 할 수 있다.


‘설계에 의한 개인정보 보호’로 예방 원칙 확립

EU가 GDPR 제25조에서 채택한 ‘설계에 의한 개인정보 보호’ 원칙을 '개인정보 보호법'에 도입해 제품이나 서비스가 기획・생산되는 단계에서부터 개인정보 보호에 친화적인 특성을 가질 수 있도록 하는 방안을 고려할 필요가 있다.

‘설계에 의한 개인정보 보호’ 원칙은 개인정보 보호를 사후적・추가적으로 고려할 외생변수가 아니라 사전적·선제적으로 다루어야 할 내생변수로 보는 관점의 전환이라는 점에서 의미가 있다.

EU 회원국은 물론 미국, 캐나다, 일본, 싱가포르 등 해외 주요국은 법률이나 정부의 가이드라인 등을 통해 ‘설계에 의한 개인정보 보호’ 원칙을 정하고 있다.

특히 개인정보가 분실·도난·유출·훼손되는 등의 사고는 비가역적이고 회복이 불가능해 ‘설계에 의한 개인정보 보호’로 각종 사고를 예방하는 경우 정보주체의 권리와 이익을 보다 실효적으로 보호할 수 있고 사후 비용이 절감될 수 있다.

또 개인정보 처리를 위한 기술과 시스템 설계의 초기 단계부터 개인정보 보호의 문제를 고려한다면 정보주체의 권익도 보호하면서 데이터의 이용 가치를 유지할 수 있을 것으로 기대된다.

일반적으로 정보주체의 권익을 보호하기 위해 개인정보의 식별성을 낮추는 경우 그 개인정보의 경제성도 함께 낮아지게 된다.

하지만 ‘설계에 의한 개인정보 보호’ 원칙 하에서는 개인정보를 수집·처리하는 모든 단계에서 이미 개인정보 보호의 문제를 고려하게 되므로 ‘정보주체의 권익’과 ‘데이터 이용 가치’ 간의 반비례 관계를 완화할 수 있다.


다국적 기업 등 개인정보 국제이동성 높아

EU GDPR은 개인정보의 국제적 이동성이 높아지는 현실을 반영해 제5장(제44조~제50조)에서 개인정보의 국외 이전과 관련한 사항을 구체적으로 정하고 있어 이를 참고해 개인정보의 국외 이전 관련 규율을 강화하는 방안을 고려할 필요가 있다.

현행 '개인정보 보호법'은 제14조제2항과 제17조제3항에서 각각 국가의 개인정보 국외 이전 관련 시책 마련 의무와 개인정보를 국외로 이전할 때 정보주체의 동의를 받아야 할 개인정보처리자의 의무를 간략하게 정하고 있다.

최근 다국적 기업의 활동 영역이 넓어지고 개인정보의 국제 이동성이 매우 높아진 만큼 이를 고려한 '개인정보 보호법'의 개정으로 개인정보의 국외 이전 관련 규율을 보다 엄격하게 정하는 방안을 검토할 필요가 있다.

한편 실제에서 정보주체의 동의가 형식적으로 이루어지고 있다는 점을 고려해 정보주체가 동의를 철회할 수 있는 권리를 용이하게 행사할 수 있도록 보장하는 제도적 장치가 함께 마련될 필요가 있다.

·  (NARS+현안분석_23호.pdf  
덧글작성

이름 비밀번호 스팸방지  <- 3945 입력


[알립니다 ]
12월 13일 제39대 대한약사회장 및 시도지부장 선거가 있습니다.
게시판 등을 통해 흑색선전이나 허위사실을 유포할 경우 민형사상 책임을 질 수 있습니다.
약사공론은 약사사회 건전한 선거문화 정착을 위해 선거 기간 동안 댓글 실명제를 실시합니다.
댓글 작성을 하고자 한 경우 로그인 후 의견을 달아 주시기 바랍니다.


  • 광동제약

서울 서초구 효령로 194 대한약사회관 3층   Tel : (02)581-1301   Fax : (02)583-7035    kpanews1@naver.com
Copyright (c) 2004 kpanews.com All rights reserved.

대한약사회 약학정보원 의약품정책연구소