[Vol.12] 정보주체의 개인정보 보호를 위한 거버넌스의 필요성
정보주체의 개인정보 보호를 위한 거버넌스의 필요성,
칼디콧 가디언(Caldicott Guardians)과 사이로(SIRO, Senior Information Risk Owner)
김동현 (kdonghyun@kisa.or.kr)
한국인터넷진흥원 책임연구원
데임 피오나 칼디콧(Dame Fiona Caldicott)
1997년 환자–식별가능정보(patient-identifiable information)에 대한 보고서를 발표했을 때, 내 이름을 딴 직함에 수천 명의 사람을 임명하게 되리라고는 상상도 하지 못했습니다. 그 보고서에서 “각 보건 기관에서 환자 정보의 기밀성 유지를 담당하는 가디언(관리자) 역할의 선임자(가능한 한 보건 전문가)를 지명해야 한다“고 권고했습니다. 이 권고가 받아들여졌고 1998년 이래 모든 NHS(국민 보건 서비스) 기관은 위 자격이 되는 개인을 해당 직에 임명해야 했습니다. 그들을 “칼디콧 가디언“이라고 명명한 것은 절대 저의 의도가 아니었지만, 관행처럼 되었습니다. 솔직히 말하면, 그토록 많은 유능한 사람이 내 이름으로 현명한 결정을 내리고 있다는 사실에 자랑스러워해야 할지 당황스러워해야 할지 몰랐습니다.
이제 그것을 바꾸기에는 너무 늦었습니다. 2002년부터 기밀 정보가 사회적 돌봄 서비스 내에서 잘 보호되고 현명하게 공유될 수 있도록 지방 당국은 칼디콧 가디언을 임명하도록 되어 있습니다. 이후 그 역할은 보건 의료 및 사회적 돌봄 분야 및 교도소와 국방부를 포함한 관련 분야에서 여러 조직으로 확산되었습니다. 이것이 다른 곳에도 널리 퍼졌고 다른 대륙에서도 칼디콧 원칙이 지켜지고 있다고 들었습니다.
최근 몇 년간 가디언의 필요성은 더욱 중요해졌습니다. 보건 의료 및 사회적 돌봄 서비스를 경험한 사람들에 대한 데이터는 서비스 개선 및 더욱 효과적인 치료법과 돌봄 제공 방법 개발에 대한 무한한 잠재성을 지닙니다. 이러한 혜택은 대중의 신뢰 없이는 실현되지 않을 것입니다. 칼디콧 가디언은 기관의 신뢰성 있는 운영 방식을 보장하는 가장 확실하고 강력한 조직입니다.
- UK Caldicott Guardian Council, “A Manual for Caldicott Guardians” 2017. 서문 중 발췌
들어가며
지난 2020년 8월 5일 개정 개인정보보호법의 시행에 따라 통계작성, 과학적 연구, 공익적 기록보존 등을 목적으로 가명처리를 통해 개인정보를 정보 주체의 동의 없이 활용할 수 있는 법적 기반이 마련된 바 있다. 그러나 가명처리와 같은 비식별 처리는 여전히 가명처리된 개인정보로서 안전성 확보가 필수적인 선행 조건이다.
본 고에서는 영국 NHS(National Health Service)에서 시작된 정보 거버넌스 프레임워크를 통해 칼디콧 가디언(Caldicott Guardians)과 사이로(SIRO, Senior Information Risk Owner)의 역할과 책임에 대해 고찰해 봄으로써 이번 기회에 조직을 통한 개인정보보호의 중요성을 다시 한 번 되짚어보는 계기를 마련해보고자 한다.
칼디콧 가디언(Caldicott Guardians)
칼디콧 가디언은 제창자 데임 피오나 칼디콧(Dame Fiona Caldicott)이 1997년 12월에 보고한 환자- 식별 가능 정보(Patient-Identifiable Information) 정부 검토 보고서(1)에서 영감을 받아 이름을 따온 것이다. 이 보고서는 “각 보건 기관에서 환자 정보의 기밀성 유지를 담당하는 가디언(관리자) 역할의 선임자 (가능한 한 보건 전문가)를 지명해야 한다”고 권고하고 있다. 또한 이 보고서는 언제 기밀 정보가 사용될 수 있는지 또는 사용할 수 없는지에 관한 6가지 원칙을 제시하였다. 이 6가지 칼디콧 원칙은 그 후 칼디콧 가디언이 그들 기관에 대해 균형 잡힌 판단을 내리는 데 도움을 주었다. 그 후 2013년 데임 피오나는 칼디콧 2 보고서로 알려진 정보 거버넌스 검토(Information Governance Review)를 완성(2)했다. 이 보고서는 기존 6대 원칙을 계속 고수했고, 여기에 “정보 공유 의무는 환자 기밀성 보호 의무만큼 중요할 수 있다”는 7번째 원칙을 추가했다. 그 후 2014년 데임 피오나는 잉글랜드의 보건 의료 및 사회적 돌봄을 위한 국가 데이터 가디언에 임명되었다. NHS 기관은 1998년부터 칼디콧 가디언을 임명하게 되어 있으며, 2002년 잉글랜드에서는 지방 자치 고시(LAC(2002)2)에 의해 의무화되어 사회적 돌봄 서비스에 도입되었다.
칼디콧 가디언은 보건 의료 또는 사회적 돌봄 기관 내의 선임자로서, 이러한 서비스를 이용하는 사람의 개인 정보가 법적, 윤리적으로 적절하게 사용되고 기밀성이 유지되도록 관리하는 책임을 진다. 칼디콧 가디언은 기밀성 및 정보 공유와 관련된 복잡한 문제에 대한 리더십과 정보에 입각한 지침을 제공할 수 있어야 한다. 또한 칼디콧 가디언은 자신의 조직이 개인-식별 가능 정보를 처리함에 있어 최고 수준의 실용적인 표준을 준수하도록 하는 데 중요한 역할을 해야 한다. 칼디콧 가디언의 주된 관심사는 환자, 서비스 이용자 및 관리와 관련된 정보지만 기밀 유지 필요성은 친인척, 직원 등을 포함한 다른 개인에게까지 확대된다. 기관은 일반적으로 직원과 관련된 개인 정보를 저장, 관리 및 공유하며, 환자 정보의 기밀성에 대해서도 동일한 표준을 적용해야 한다. 아울러 칼디콧 가디언은 상식과 법률에 대한 이해를 통해 7대 원칙을 현명하게 적용해야 한다. 칼디콧 가디언은 동정심을 가져야 하며, 자신의 결정이 만나 본 적도 없는 사람들에게 영향을 미칠 것이라는 사실을 잘 알고 있어야 한다.
칼디콧 7대 원칙 |
1. 목적의 당위성이 있어야 한다.
기관 내 또는 기관으로부터의 모든 개인 기밀 데이터의 사용 또는 이전은 해당 가디언이 명확하게 정의, 조사 및 문서화해야 하며, 지속적인 사용을 정기적으로 검토해야 한다.
2. 절대적으로 필요한 경우가 아니면 개인 기밀 데이터를 사용하지 않는다. 해당 흐름에서 특정 목적에 필요한 경우가 아니면 개인 기밀 데이터 항목을 포함하지 않아야 한다. 목적을 충족하는 각 단계에서 환자가 식별될 필요성이 있는지를 고려해야 한다.
3. 최소의 필수 개인 기밀 데이터만을 사용한다. 개인 기밀 데이터의 사용이 반드시 필요하다고 간주되는 경우, 주어진 기능을 수행하는데 필요한 최소한의 개인 기밀 데이터가 이전되거나 개인 기밀 데이터에 접근 가능하도록 포함되는 개별 데이터 항목을 고려하고 당위성을 밝혀야 한다.
4. 개인 기밀 데이터에 대한 접근은 엄격하게 ‘알 필요가 있는 정보’에만 해당된다. 개인 기밀 데이터에 접근할 필요가 있는 개인의 경우에만 해당 데이터에 접근할 수 있어야 하며 필요한 데이터 항목에만 접근할 수 있어야 한다. 이는 하나의 데이터 흐름이 여러 목적으로 사용되는 경우 접근 제어를 도입하거나 데이터 흐름을 분할하는 것을 의미할 수 있다.
5. 개인 기밀 정보에 접근하는 사람은 모두 자신의 책임을 잘 알고 있어야 한다. 개인 기밀 데이터를 취급하는 자나 임상 직원 및 비임상 직원 모두는 환자 기밀을 존중해야 한다는 책임과 의무를 잘 알고 있어야 하며, 이를 위한 조치를 취해야 한다.
6. 법을 준수한다. 개인 기밀 데이터의 모든 사용은 적법해야 한다. 개인 기밀 데이터를 취급하는 각 기관의 누군가는 기관의 법적 요건 준수 여부를 확인할 책임을 져야 한다.
7. 정보를 공유할 의무는 환자의 기밀성을 보호하는 의무만큼 중요할 수 있다. 보건 의료 및 사회적 돌봄 전문가는 이러한 원칙에서 정한 체계 내에서 환자의 최선의 이익을 위해 정보를 공유한다는 확신을 가져야 한다. 이들 전문가는 고용주, 감독 기관 및 전문 기관의 정책에 의해 뒷받침되어야 한다. |
칼디콧 가디언은 이사회나 고위 경영진 수준에서 기밀성 문제를 대변하고, 기관의 정보 거버넌스 이사회 또는 위원회에 참석할 뿐만 아니라, 기관의 ‘양심’ 역할을 하며 적절한 정보 공유를 가능하게 하는 실행자 역할을 해야 한다. 또한 칼디콧 가디언은 기밀 유지 문제가 기관의 전략, 정책 및 직원 업무 절차에 적절히 반영되도록 조치해야 한다. 아울러 사회적 돌봄과 보호에 대한 책임을 지고 기밀 개인 정보를 외부 기관 및 다른 기관과 공유할 수 있는 모든 준비, 프로토콜 및 절차를 감독해야 한다. 여기에는 파트너 기관과의 정보 흐름, IT 시스템을 통한 공유, 연구를 위한 공개, 경찰에 대한 공개 등이 포함된다. 이러한 책임의 대부분 또는 전부를 칼디콧 가디언이 긴밀하게 협력해야 하는 정보위험관리책임자(SIRO: 아래 참조)와 공유할 수 있다.
칼디콧 가디언의 역할에 대한 법적 근거는 없다. 칼디콧 가디언의 역할은 원래 자문 역할로 간주되었고 현재까지도 그러하다. 그러나 가디언은 주어진 자문에 대한 책임이 있다. 실제로 많은 정보 공유 및 공개 시나리오는 칼디콧 가디언에 의해 결정되며, 이들을 문서화하는 것이 중요하다. 칼디콧 가디언이 조직 내의 중역인 경우, 해당 가디언은 이미 최고 경영자 역할을 하고 있을 수 있다. 이러한 경우가 아니거나 개인이 이사회 또는 고위 경영진의 일원이 아닌 경우라도 최고 경영자의 역할은 여전히 가장 적절한 옵션일 수 있다. 그러나 일부 기관의 경우 고위 관리직의 역할이 적절할 수도 있다. 사이로(SIRO)가 칼디콧 가디언의 의견을 좌우할 수도 있다는 근거에 입각하여 사이로(SIRO) 역할은 권장되지 않는다. 이들은 상호 존중의 관계를 유지해야 하며 이상적으로는 동등한 연공서열의 위치에 있어야 한다. 그러나 누가 무엇을 하는지에 대한 세부사항보다 더 중요한 것은 좋은 관계다.
사이로(SIRO, Senior Information Risk Owner, 정보위험관리책임자)
정보는 귀중한 자원이다. 정보의 손실은 서비스와 평판을 해칠 수 있으며 정보의 오용은 개인과 기관에 해를 끼칠 수 있다. 정보 위험 관리는 기관에서 해야 할 일이며 잘 처리해야 한다. NHS 정보 거버넌스 프레임워크는 일반적으로 각 기관 내에서 이사회 또는 운영위 수준에서 두 명의 고위직을 임명하도록 요구한다. 이들이 바로 칼디콧 가디언과 사이로(SIRO)이다. 각자의 역할은 다르면서도 보완적이다. 칼디콧 가디언은 주로 개인 정보의 기밀성을 유지하는 일을 담당하며, 사이로(SIRO)는 기관의 전략적 비즈니스 목표가 정보 위험에 의해 어떻게 영향을 받을 수 있는지 이해하고, 이를 완화하기 위한 조치를 취하는 일을 담당한다. 칼디콧 가디언의 활동은 특히 7가지 칼디콧 원칙과 비밀유지의무 관습법에 관한 것이며, 사이로(SIRO)는 주로 데이터 보호법 및 기타 관련 법률의 준수를 보장하는 데 관여한다. 그러나 이러한 역할이 절대적으로 구분되는 것은 아니다. 두 역할 사이에 중복되는 부분도 많고 둘 사이의 협력은 필수적이다. 사이로(SIRO)의 책임은 다음과 같이 요약 (3)할 수 있다.
- 조직의 성공과 고객의 이익을 위해 정보를 소중히 여기고 보호하며 사용하는 문화를 선도하고 육성
- 조직의 전반적인 정보 위험 정책 및 위험 평가 프로세스를 보유하고 IAO(Information Asset Owner)
가 일관되게 구현하도록 함
- 내부 통제에 대한 정보위험 측면에 대해 최고 경영자(Chief Executive) 또는 회계 책임자에게 자문
- 조직의 정보에 대한 사고(incident) 관리 프레임워크 보유
정보 거버넌스 프레임워크
지난 2019년 7월 영국 NHS 정보 거버넌스 운영그룹(Information Governance Operational Group)에서 작성한 거버넌스에 대한 프레임워크는 아래와 같다.
영국 NHS의 정보 거버넌스 프레임워크(4)
한편 영국 아일랜드 노섬블랜드 카운티 위원회에서 지난 2018년 5월에 작성한 정보 거버넌스 정책 프레임워크는 아래 그림과 같다.
영국 아일랜드 노섬블랜드 카운티의 정보 거버넌스 정책 프레임워크(5)
상기 두 그림을 통해 칼디콧 가디언과 사이로(SIRO)가 데이터 보호 책임자인 DPO(Data Protection Offer)와 함께 최고 경영자인 Chief Officer 바로 아래 위치해 있는 것을 알 수 있다.
영국 NHS의 헬스와 소셜 케어 데이터를 공개하기 위한 익명화 표준 스펙(6)
지난 2019년 영국 NHS 정보표준위원회는 건강관련 데이터에 대하여 이를 공개하기 위한 익명화 표준에 관한 스펙(아래 그림 참조)을 발표한 바 있다. 아래 그림은 조직의 건강관련 데이터를 공개할 경우 익명화를 위한 표준 절차를 도식화 한 것이다.
영국 NHS의 헬스와 소셜 케어 데이터를 공개하기위한 익명화 표준 절차
위 그림에서 보면 건강관련 데이터의 익명화시 데이터에 대한 위험평가 및 익명화 수준을 지정하는 절차가 있는데, 이때 조직 내 칼디콧 가디언이나 혹은 사이로(SIRO)가 이를 최종 검토하고 결정하는 역할을 하도록 규정되어 있다. 만일 검토 결과 수락되지 않을 경우 데이터를 공개할 수 없는 즉, 데이터의 최종 공개 여부를 칼디콧 가디언이나 혹은 사이로(SIRO)가 결정하는 최종 책임자가 되는 셈이다.
마치며
우리는 지금까지 영국의 국민 의료 서비스기관인 NHS를 중심으로 정보 주체인 환자의 개인정보를 보호하기 위한 칼디콧 가디언과 사이로(SIRO)에 대해 살펴보았다. 앞서 서두에서도 밝힌 바와 같이 최근 개정된 개인정보보호법에 따라 특히 가명처리된 가명정보의 활용 시 그 어느 때보다도 안전성에 대한 대국민 신뢰가 요구되는 시점이다. 우리는 본고를 통해 이러한 시점에서 영국의 사례를 기반으로 가명정보의 활용 시 회사나 각 기관에서 어떻게 거버넌스를 구성하고 활용할 것인지에 대하여 시사점을 제공하고자 하였다. 끝으로 이를 통해 각 기관이나 회사가 개인정보인 가명정보를 조직 차원에서 보다 안전하게 관리할 수 있는 계기가 되기를 희망한다.
본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/report_List.jsp)에서도 확인하실 수 있습니다.
KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.
KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원,KISA Report]라고 출처를 밝혀주시기 바랍니다.
1. | ⇡ | http://ukcgc.uk/docs/caldicott1.pdf |
2. | ⇡ | http://ukcgc.uk/docs/caldicott2.pdf |
3. | ⇡ | Senior Information Risk Owner (SIRO) Handbook, Keele University, https://www.keele.ac.uk/media/keeleuniversity/sas/governancedocs/Handbook-SIRO_draft1.pdf |
4. | ⇡ | Information Governance Framework, NHS, Clinical Commissioning Group, 2019, https://www.buryccg.nhs.uk/download/document_library/Bury-CCG-Information-Governance- Framework-2018-Approved-V6.0.pdf |
5. | ⇡ | Information Governance Policy Framework, 영국 아일랜드 Northumberland County Council, 2018, https://www.northumberland.gov.uk/NorthumberlandCountyCouncil/media/About-the-Council/information%20governance/NCC-IG00-Information-Governance-Policy-Framework-docx.pdf |
6. | ⇡ | Anonymisation Standard for Publishing Health and Social Care Data Specification, NHA, Information Standards Board, 2019. https://digital.nhs.uk/binaries/content/assets/legacy/pdf/b/o/1523202010spec.pdf |