earticle

영어

This research reviewed the HIPAA/HITECH, 21st Century Cures Act, Common Law, and private Guidances from the perspectives in protecting and utilitizing the medical data, while implications were followed. First, the standards for protection and utilization are relatively clearly regulated through single law on personal medical information in the United States. The HIPAA has been introduced in 1996 as fundamental act on protection of medical data. Medical data was divided into personally identifiable information, non-identifying information, and limited dataset under HIPAA. Regulations on de-identification measures for medical information, objects for deletion of limited data sets, and agreement on prohibition of data re-identification were stipulated. Moreover, in the 21st Century Cures Act regulated mutual compatibility for data sharing, prohibition of data blocking, and strengthening of accessibility of data subjects. Common Law introduced comprehensive consent system and clearly stipulates procedures. Second, the regulatory system is relatively simplified and clearly stipulated in the United States. To be specific, the expert consensus and the safe harbor system were introduced as an anonymity measure for identifiable medical information, which clearly defines the process while increasing trust. Third, the protection of the rights of the data subject is specified, the duty of explanation is specified in detail, while the information right of the consumer (opt-out procedure) for identification information is specified. For instance, the HHS rule and FDA regulations recognize the comprehensive consent system for human research, but the consent procedure, method, and requirements are stipulated through the common rule. Fourth, in the case of the United States, a trust-based system is being used throughout the health and medical data legislation. To be specific, Limited Data Sets are allowed to use in condition to the researcher's agreement to prohibit re-identification, and de-identification or consent process is simplified under the system.

한국어

본 연구에서는 미국의 보건의료데이터 관련 주요 법령으로 HIPAA/HITECH, 21세기 치료법, 공통규칙, 주법 등을 검토, 데이터의 보호 및 활용 관점에서 관련 법령의 발전과정, 구체적 쟁점에 관한 입법방침을 검토하였으며, 다음과 같은 시사점을 도출하였다. 첫째, 미국의 경우 개인의료정보에 관한 단일법제를 통하여 보호와 활용 기준을 비교적 명확하게 규율하고 있다. 미국의 경우 1996년 의료정보보호에 관한 기본법으로 HIPAA를 도입, 의료정보를 개인식별정보, 비식별정보, 한정데이터세트로 구분하여 PHI의 경우 목적에 따른 활용범위를 규정하였으며, 의료정보의 비식별조치 방식 규정, 한정데이터세트의 삭제정보 대상, 데이터 재식별 금지합의서 등에 관하여 규정하였다. 한편, 연구목적 의약품 및 의료기기 혁신 촉진을 위하여 제정된 21세기 치료법에서는 정보의 공유와 정보접근성 강화를 위하여 데이터 공유를 위한 상호호환성, 데이터 차단 금지, 정보주체의 접근성 강화를 규정하였으며, 공통규칙에서는 포괄적 동의제도를 도입, 절차를 명확하게 규정하고 있다. 우리나라의 경우 개인정보보호법을 기초로 하되, 보건의료데이터를 규율하는 일관된 법제를 제정한다면 규제체계와 내용을 보다 명확히 하여 정보소유자와 이용자에게 정보이용에 대한 신뢰를 높일 수 있을 것으로 생각된다. 둘째, 미국의 경우 의료정보의 활용 측면에서 규제체계를 비교적 간소화하고 명확하게 규정하고 있다는 점에서 의미가 있는 것으로 생각된다. 구체적으로 식별가능 의료정보의 익명조치 방안으로 전문가 합의 방식과 세이프 하버 방식을 규정하고, 구체적인 방법을 규정하고 있다. 특히 세이프하버 방식의 경우 18가지 식별자를 제거하면 비식별조치가 된 것으로 판단하고 있어 비식별조치 방식과 절차를 명확하게 규정하고 있다는 점, 전문가 합의 방식도 전문가 판단기준, 절차 등을 규정하고 있어 판단절차에 대한 신뢰를 높이고 있다는 점에서 의미가 있다. 보건의료데이터의 경우 치료목적, 연구목적 등으로 활용될 경우 그 가치가 증가될 것으로 생각되므로 보다 간소하고 명확한 기준을 제안함으로써 정보보호와 활용의 목적을 달성할 수 있을 것으로 생각된다. 셋째, 미국의 경우 정보주체의 권리보호 방안을 구체화하되, 설명의무를 상세히 규정하되 식별정보에 대한 소비자의 정보권한(옵트아웃 절차)를 명시하고 있다. 구체적으로 HHS 규칙과 FDA 규정에서 인간대상 연구에 대하여는 포괄적 동의제도를 인정하되 공통규칙을 통하여 동의절차, 방법, 요건을 규정하고 있다. 특히 정보주체에 대한 고지의무, 옵트아웃 제도, 삭제요구권 등에 관하여 규정하고 있으며, 동의절차에서 동의 대상자가 쉽고 명확하게(8th grade reading level 기준) 이해할 수 있도록 하며, 최신성ㆍ편의성을 유지하도록 하고 있다. 특히 최근 미국 주법(뉴욕, 캘리포니아 주 등)은 데이터 보호 및 활용에 관한 법령을 제정하면서 정보접근권, 삭제요구권, 옵트아웃 제도, 정보처리 동의의 투명성 강화조치 마련 등을 규정하여 데이터 활용에 있어서 정보주체의 권리를 보장하고 있다. 정보주체의 권리 보호는 정보의 가치보존과 활용 측면에서 가장 중요한 전제요건이 될 것이므로 우리나라의 입법에서도 참조할 수 있을 것으로 생각된다. 넷째, 미국의 경우 보건의료데이터 법제 전반에서 신뢰기반 제도를 활용하고 있다는 점은 중요한 의미가 있을 것으로 생각된다. 예컨대 HIPAA에서는 Limited Data Set의 경우 연구자의 재식별금지 합의서를 전제로 정보를 활용할 수 있도록 규정하고 있으며, 익명조치를 전문가 합의, 세이프하버 방식 등으로 간소화하여 연구목적 정보이용을 활성화하는 방안, 동의제도를 간소화하는 방안도 정보주체와 정보이용자간 신뢰에 기반한 것으로 볼 수 있다. 의료정보는 정보주체, 생성ㆍ보관ㆍ활용자가 모두 신뢰에 기반하여 협력할 때 그 가치가 나타날 수 있을 것으로 생각되므로 정보주체의 권리보장을 전제로 하되, 정보이용자가 당해 정보를 보다 가치 있게 이용(meaningful use)하도록 하는 신뢰에 기반한 법제도 마련이 필요할 것으로 생각된다.