데이터3법과 개인정보보호

2020년에 처리된 데이터 3법(개인정보 보호법, 정보통신망법, 신용정보법)으로 인해 기업들이 개인정보를 활용할 수 있는 기반이 마련되었습니다.

 

의료데이터만 보더라도 AI를 활용하여 의료데이터를 학습 시킨 후 다양한 서비스를 제공하는 기업들이 많아지고 있습니다.

그런데 아마 저와 같은 일반 엔지니어들은 법에 대한 이해가 높지 않으므로 이러한 데이터를 어떻게 활용할 수 있는지 그리고 민감한 정보는 어떻게 처리해야 하는지에 대하여 많은 혼란을 겪을 수 밖에 없을것 같습니다.

 

그래서 경험에 의하여 알고 있는 부분들에 대해서만 적어 보겠습니다.

 

외국 기업들은 어떻게 하나요?

외국에도 개인정보 보호에 관련된 법들이 있습니다. HIPAA(미국), GDPR(유럽)등이 그것입니다.

외국계에 근무 경험으로 보면...

기업은 고객의 개인 정보 뿐 아니라 기업내의 정보 보호에도 대단히 많은 투자를 하고 있으며 별도의 조직을 운영하고 있습니다. 그 조직은 기업에 관련된 모든 정보 보호 활동에 책임을 가지고 process를 만들고 지속적으로 개선해 나아갑니다.

기업이 Product를 생산하는 경우라면 그 조직은 product에 대한 평가 방법을 준비하고 그 기준에 맞추어 평가를 하며 결과가 기준을 충족하지 못하는 경우는 개선할 것을 지시합니다.  이러한 활동들은 매우 전문적이고 상세합니다.

 

이 블로그에서 주로 다루는 의료 영상 데이터와 의료 기기 위주로 예를 들어 보면...

기업이 생산한 의료 기기가 환자의 개인 데이터를 포함하여 이미지를 만들고 또 다른 서버로 전송해야 하는 기능이 있다면 

1. 데이터의 생성, 수정 삭제, 이동에 대한 모든 활동이 기록으로 남아야 합니다.

2. 데이터를 USB storage등으로 뽑아내어 사용하려 한다면 data에 대한 de-identification 기능을 제공해야 합니다.

3. 의료 기기에 저장되어 있는 환자 정보를 잘 보호하고 있다는 것에 근거를 제시할 수 있어야 합니다.

  - Login 기능을 제공

  - Storage가 도난 당하는 상황에 대한 대책 : Bitlocker 혹은 데이터 암호화

4. 사용자의 Login/out 기록

5. 의도치 않게 외부로 Open 된 network port 가 존재하는지 확인하고 있으면 제거

6. Network으로 전송되는 data의 암호화, SSL 이나 TLS 지원

7. Log out Timer 기능 제공

8. 그 외 많은 기능 및 활동

 

위의 예 외에도 많은 일들을 하고 있는데 이런 것들을 왜 하는 것일까요?

 

의료 데이터의 측면에서 보면 환자의 개인 의료 데이터를 생성, 관리하는 곳은 병원이 되고 병원은 개인정보 보호법의 위반 여부에 대해 Audit을 받을 가능성이 있고 이를 통과하기 위해서는 환자의 개인 정보가 어떻게 관리 및 보호가 되고 있는지를 설명할 수 있어야 합니다. 그러므로 병원에서 사용되는 장비들은 데이터 보안에 대한 기본적인 기능을 제공할 수 있어야 하는 것입니다.

 

데이터의 완벽한 보안은 존재할 수 없다고 유명한 보안 전문가가 그러더군요.

데이터에 대한 보안법은 데이터가 유출 되었다고 해서 무조건 처벌하는 법이 아니기 때문에 기업의 입장에서는 만일의 불미스러운 경우에 대하여 스스로 최선을 다하고 있다는 것을 소명하여 면책을 할 수 있어야 하기 때문에 이를 위한 대비책 이라고 하겠습니다.

 

만약 아무런 데이터 보호 기능이 없는 장비를 사용한다면 병원에서는 폐쇄된 방에 장비를 넣고 사람의 출입을 관리하는 process를 만든다면 데이터 보호에 대한 최소한의 설명이 가능할 것이지만 그렇게 사용하지는 않겠죠.

 

데이터 3법

데이터 3법은 기업들이 개인 정보를 사용하지 못하게 하는 법이 아니라 활용할 수 있게 하기위한 법입니다.

그렇다면 개인정보를 보호하면서 데이터를 어떻게 활용하라는 것일까요?

 

크게 2가지 방법이 있는 것 같습니다.(제 사견이니 잘못된 점이 있으면 comment 부탁드립니다.)

 

1. 데이터를 비 식별화하여 사용

https://dicomis.tistory.com/9?category=944172 

De-identification

2. 개인으로부터 사용 허가를 득하여 사용 후 폐기

 

 

의료 영상 데이터를 기준으로 위 2가지 경우를 생각해 보면...

만약 의사가 학생들을 가르칠 목적으로 DICOM 영상을 사용하고 학생들에게 공유 한다면 이 DICOM data는 1번 즉, De-identification이 되어야 합니다. 의사가 불특정 다수에게 개인정보를 전달하는 경우이기 때문입니다. 개인정보를 유출할 수 있는 환경인 것이지요.

 

그런데 만약 개인정보의 활용에 대하여 환자의 동의를 얻을 수 있고 특수한 목적만을 위해서 의료 영상을 사용하고, 비관계자는 접근할 수 없으며 접근 가능한 사람은 정보를 유출할 수 없고 사용이 끝나면 폐기하도록 하는 process를 가지고 있다면 어떨까요? 비식별화 되지 않은 많은 데이터를 사용할 수 있으면 더 많이 활용할 수 도 있지 않을까요?

 

병원에서 환자의 정보를 등록, 관리하고 검사에 의해 얻어진 환자의 데이터를 사용할 수 있는 이유가 바로 환자의 동의를 구했기 때문입니다.

 

의료 정보 이외에 우리가 쉽게 접할 수 있는 네이버의 스마트 스토어의 위탁 판매의 경우를 보면...

네이버는 구매자의 동의를 얻어 개인 정보를 가지고 있으며 판매자에게 공유하는 것에 대하여 구매자의 동의를 구하도록 되어 있고 판매자가 만약 위탁  배송 업체에 상품의 배송을 맡기기 위하여 구매자의 정보를 넘겨야 한다면 이것 역시 구매자의 동의를 구하게 되어 있습니다. 그리고 개인정보 활용에 대한 자세한 내용을 공지하게 되어 있지요.

 

앱은 어떨까요?

회원 가입 기능이 있는 App 은 개인정보 보호와 활용에 대하여 사용자의 동의를 구하는 기능을 추가해야 하고 개인 정보 사용 관리에 대한 자세한 내용을 공지해야 하며 다른 목적으로는 사용하지 않아야 합니다.

 

이 내용을 언급하는 이유는 간혹 의료 데이터의 활용에 있어서 개인정보 보호는 무조건 1번, 즉 데이터 비식별화를 해야 한다고 판단하는 경우가 있기 때문입니다. 만약 그렇다면 과연 데이터를 잘 활용할 수 있을까요?

 

만약 의료 데이터를 특정인에게 전달하고 활용함에 있어서 특정한 정보들이 매우 중요한 경우라면...

예를 들어, 의미있는 결과를 얻기 위해서는 환자의 키, 몸무게, 나이 등의 데이터가 매우 필요한 경우라면 무조건 모든 데이터를 비 식별화 하는 것은 방법이 아닐 것입니다.

 

그런데 만약 데이터에 접근 가능한 관계자를 관리할 수 있고 데이터가 유출될 가능성이 있는 부분에 보호 장치를 두고 데이터를 사용한 후에는 삭제하도록 하고 마지막으로 개인 데이터 사용에 대하여 환자 개인의 동의를 구할 수 있는 방법이 process화 되어 있다면 어떨까요? 이렇게 개인 정보를 보호하고 있다는 것을 소명할 수 있으면 가능하지 않을까요?