「개인정보보호법」 시행과 함께 개인정보의 중요성에 대한 인식이 날로 확대되고, 사회 모든 분야에서 개인정보보호를 위한 시스템 정비와 개편이 이루어지면서 다양한 변화가 나타나고 있다. 이러한 움직임은 개인정보를 적극적으로 활용하여 결과를 도출하는데 그 목적이 있는 인간을 대상으로 하는 연구에서도 연구참여자의 개인정보를 보호하기 위한 변화를 보이고 있다. 이 변화에 맞춰 인간대상연구에서 나타날 수 있는 문제점을 살펴보고, 개인정보보호를 위한 제언을 하고자 하였다.
먼저 연구참여자의 개인정보보호를 구체적으로 명문화한 국내·외 규정을 살펴보았다. 국제 규정은 「헬싱키 선언(The Declaration of Helsinki)」과 「국제임상시험통일화방안(International Conference on Harmonization–Good Clinical Practice, ICH-GCP)」, 「세계의학기구협의회: 사람을 대상으로 하는 생명의학 연구에 대한 국제윤리 가이드라인(The Council for International Oraganization of Medical Sciences: International Ethical Guidelines for Biomedical Research Involving Human Subjects, COIMS Guideline)」에서 인간의 존엄성을 바탕으로 연구참여자의 프라이버시와 더불어 개인정보의 중요성과 보호의 필요성을 제시하고 있다. 국내에서는 「생명윤리 및 안전에 관한 법률」과 「약사법」의 「임상시험 관리기준」에서 연구참여자의 개인정보보호를 규정하고 있다.
민감한 개인정보에 해당하는 의료정보를 이용하는 연구가 증가하면서 개인의료정보의 보호에 대한 관심도 커지고 있다. 미국의 「의료정보보호법(Health Insurance Portability and Accountability Act, HIPAA)」은 의료정보의 보호에 관한 구체적인 규정을 두고 있다. 반면 우리나라는 「개인의료정보보호법」이 제정되지 않았고, 일반법으로서 「개인정보보호법」을 제정·시행하고 있다. 두 법 모두 정보를 활용하기 위해서는 정보주체의 동의를 구하여야 한다. 「HIPAA」에서는 연구에서 18가지 개인식별자를 제거한 정보와 제한된 데이터 세트(limited data set)의 활용을 인정하고, 예외적으로 프라이버시위원회(Privacy Board)나 기관윤리심의위원회(Institutional Review Board)에서 동의면제(waiver) 승인을 받은 경우와 연구의 예비조사를 위해 관련된 정보를 이용하거나, 죽은 사람의 의료정보를 활용하는 경우는 승인이나 동의 없이 사용할 수 있다. 우리나라는 예외적으로 다른 법률에 특별한 규정이 있거나, 사전 동의를 받을 수 없는 경우로 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우, 그리고 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우에 특정 개인을 알아볼 수 없는 형태로 개인정보의 활용이나 제3자 제공이 가능하다.
미국의 인권보호국(Office for Civil Rights, OCR)과 우리나라의 개인정보침해신고센터와 개인정보분쟁조정위원회의 민원을 분석한 결과에서 개인정보의 활용에 대한 동의 과정을 누락하거나 허락한 범위를 벗어난 사용이 가장 문제가 되었다. 이를 통해 개인정보의 활용에 있어서 충분한 설명과 그에 따른 정보주체의 허락과 동의가 중요함을 파악할 수 있었다. 즉, 연구 참여자의 개인정보보호를 위해 동의과정에서 개인정보의 이용 범위와 목적, 제3자 제공 여부, 제공한 정보의 폐기여부를 설명하고, 정보주체가 동의한 범위 안에서 필요 최소한의 정보 활용이 이루어지도록 해야 한다는 점이다. 이 과정에서 기관윤리심의위원회는 참여자의 개인정보가 연구의 목적 범위안에서 활용되고 있는지 감독하고, 연구에서 개인정보 누출 사례 등에 대한 지속적인 조사로 추후 인간대상연구에서 연구참여자의 개인정보보호를 위한 규정을 보완할 수 있도록 해야 할 것이다. 또한 향후 연구에서 18가지 개인식별자를 제거한 정보와 제한된 데이터 세트의 활용을 허용하고 있는 미국 「HIPAA」의 프라이버시 규칙과 같이 우리나라에서도 자유롭게 이용할 수 있는 개인정보의 범위에 대해 보다 명확하고 구체적인 기준과 익명화의 범위에 대한 추가적인 논의와 규정의 설정이 필요할 것으로 판단된다.