임상시험·연구기관 개인정보보호법 가이드

의약품·의료기기 임상시험, 바이오마커 연구, 역학 조사, 의료 AI 학습 데이터 구축 등 연구 분야는 가장 민감한 건강·유전 정보를 대규모로 처리합니다. 동시에 공익적 연구 목적을 위한 PIPA 예외 조항이 있어 적용 방법이 복잡합니다.

연구 분야의 PIPA 특수 조항

[연구 목적 PIPA 예외 (제18조, 제28조의2)]

연구 목적 예외 적용 요건:
1. 학술 연구 또는 통계 목적
2. 특정 개인을 알아볼 수 없는 형태로 처리
   (익명화 또는 가명화)
3. 공공 이익을 위한 목적

가명처리 데이터 활용 (PIPA 제28조의2):
- 통계 작성, 과학적 연구, 공익적 기록 보존 목적
- 추가 정보 없이는 개인 식별 불가 수준으로 처리
- 안전성 확보 조치 필수 (분리 저장, 접근 제한)

주의:
- 예외 조항은 연구 목적에 한정 (상업적 활용 금지)
- 가명처리 데이터라도 재식별 시도 절대 금지
- 가명처리 방법과 안전 조치를 문서화해야 함

---

1. 임상시험 피험자 동의(Informed Consent)

임상시험 동의와 PIPA 동의의 관계

[임상시험 IRB 동의와 PIPA 동의]

IRB(기관생명윤리위원회) 동의:
- 임상시험법, 생명윤리법에 따른 피험자 보호
- 시험 참여 목적, 위험성, 철회 권리 고지

PIPA 동의 (추가로 필요):
- IRB 동의가 PIPA 동의를 대체하지 않음
- 개인정보 수집·이용 동의를 별도로 받아야 함
- 특히 민감정보(건강 기록, 유전 정보) → 별도 동의 필수

통합 동의서 설계:
- IRB 동의서에 PIPA 관련 섹션 포함 가능
- 단, PIPA 민감정보 동의는 명확히 구분 표시
- 피험자가 각 동의 항목을 이해하고 선택할 수 있어야 함

피험자 개인정보 처리 원칙

[임상시험 피험자 정보 보관]

보관 기간:
- 임상시험 기록: 시험 완료 후 15년 (식약처 규정)
- 피험자 식별 정보 (이름, 연락처): 가능한 한 가명화
- 원본 식별 정보와 코드 매핑 테이블: 분리 보관

접근 권한:
- 임상시험 담당 연구자: 필요 최소 범위
- 규제 기관(식약처): 감사 목적 접근 허용
- 스폰서(제약사): 연구자 통해 접근 (직접 식별 정보 접근 금지 권장)

철회권:
- 피험자는 언제든지 참여 철회 가능
- 철회 후: 이미 수집된 데이터 처리 방침 사전 고지 필요
  (일부 연구는 이미 분석된 데이터는 철회 불가)

---

2. 유전자 정보 처리

유전자 정보의 특별 보호

[유전자 정보 PIPA 처리]

법적 지위:
- PIPA 제23조 민감정보 (유전자 검사 결과)
- 생명윤리법상 추가 규제 적용

유전자 검사 동의 요건:
□ 생명윤리법상 유전자 검사 동의서 (검사 목적·결과 통보 방법)
□ PIPA 민감정보 별도 동의 (수집·이용·보관)
□ 가족에게 영향을 미치는 정보임을 고지

유전자 데이터 보관:
- 연구 목적 완료 후 파기 (원칙)
- 장기 코호트 연구: 연구 기간 동안 보관 (동의서에 기간 명시)
- 유전자 데이터베이스 등록: 별도 동의 + 등록 기관 고지

상업적 활용 금지:
- 연구 목적으로 수집한 유전자 정보를 보험사·고용주에 제공 금지
- 제약사 임상 데이터를 마케팅 데이터베이스에 활용 금지

---

3. 의료 AI 학습 데이터 구축

병원 의료 데이터의 연구 활용

[의료 데이터 AI 학습 활용 요건]

병원 내 연구 (원내 분석):
- 원내 IRB 승인 + 가명처리 → 연구 목적 예외 적용 가능
- 외부 반출 없이 병원 내 서버에서만 분석

외부 AI 기업 협업:
- 환자 데이터를 외부에 제공하는 경우
→ 제3자 제공 → 환자 동의 또는 가명처리 + 심의위원회 승인
→ 데이터 결합 전문기관을 통한 결합 허용 (PIPA 제28조의3)

가명처리 수준 판단:
- 이름, 주민등록번호, 연락처 → 제거
- 희귀 질환, 특정 지역 조합 → 재식별 위험 검토
- 유전자 정보 → 가명처리로도 식별 가능성 高 → 별도 검토

AI 기업이 주의해야 할 사항:
- "병원에서 제공받은 데이터" → 제공 적법성 확인 의무
- 학습 완료 후 원천 데이터 파기 여부 계약에 명시
- AI 모델에 개인정보가 기억되는지 점검

---

4. 국제 공동 연구와 데이터 이전

해외 연구기관과의 데이터 공유

[국제 연구 협력 데이터 이전]

이전 유형:
- 임상시험 스폰서(해외 제약사)에게 데이터 제공
- 다국가 공동 연구에서 데이터 통합
- 해외 바이오뱅크에 샘플·데이터 기탁

PIPA 국외 이전 요건:
□ 이전받는 국가·기관 명시
□ 이전 목적, 항목, 보관 기간 고지
□ 보호 수준 확보 방법 (계약, GDPR 적절성 등)

식약처 규정 추가:
- 임상 데이터의 해외 이전은 식약처 임상시험 규정도 준수
- 피험자 동의서에 해외 이전 가능성 명시 필수

---

5. 연구 결과 발표와 개인정보

논문·학회 발표 시 피험자 보호

[연구 결과 공개 시 개인정보 처리]

케이스 리포트 (증례 보고):
- 개인 식별 가능한 사례 발표 → 피험자 서면 동의 필수
- 사진, X-ray 등 이미지: 얼굴·식별 정보 마스킹
- 특이한 사례: 지역, 연령, 직업 등 조합으로 식별 위험 검토

데이터 공개(오픈 데이터):
- 연구 데이터 공개 저장소 등록 → 완전 익명화 필수
- K-익명성, L-다양성 등 프라이버시 모델 적용 권장
- 공개 전 재식별 위험 평가 수행

연구 참여자에게 결과 통보:
- 피험자 요청 시 개인 결과 통보 여부를 동의서에 명시
- 임상적으로 유의미한 결과 발견 시 통보 의무 여부 확인

---

PipaGuard로 연구기관 PIPA 준수하기

임상시험과 의료 연구는 민감한 건강·유전 정보를 대규모로 처리하면서 IRB, 식약처, PIPA를 동시에 준수해야 합니다. 가명처리 적합성, 해외 이전 동의, AI 학습 데이터 적법성을 PipaGuard가 자동으로 검토합니다.

→ pipaguard.vercel.app에서 무료로 시작해보세요.