DNA·유전자 검사 서비스 개인정보보호법 가이드: 유전정보 처리 PIPA

유전자(DNA) 정보는 개인정보보호법이 규정하는 민감정보 중에서도 가장 강력한 보호가 요구되는 정보입니다. 유전정보는 변경 불가능하고, 본인뿐 아니라 혈연 가족 전체의 정보를 담고 있으며, 한번 유출되면 영구적 피해가 발생합니다.

유전정보의 법적 지위

개인정보보호법 제23조에 따른 민감정보:

민감정보 열거 항목 中:
- 유전자 검사 등의 결과로 얻어진 유전정보

→ 별도 동의 없이 수집·이용 원칙적 금지
→ 수집 목적 외 이용·제3자 제공 엄격 제한

생명윤리 및 안전에 관한 법률(생명윤리법)도 함께 적용됩니다.

DTC 유전자 검사 서비스

소비자 직접(Direct-to-Consumer) 유전자 검사 서비스(조상 탐색, 건강 예측, 영양 분석 등):

수집 항목

구강 면봉 샘플 또는 타액 (생체 샘플)
분석 결과: SNP 데이터, 질환 위험도, 혈통 정보
서비스 이용 정보: 이름, 연락처, 나이

동의 요건

[유전정보 수집·이용 동의] — 민감정보 별도 동의 필수

□ [필수] 유전자 검사 서비스 제공을 위한 유전정보 처리
  수집 항목: 타액 샘플, 유전자 분석 결과 (SNP 데이터)
  목적: 건강 특성 및 혈통 분석
  보관 기간: 서비스 이용 기간 (탈퇴 시 파기)
  분석 기관: [국내/해외 분석 기관명] — 처리 위탁

□ [선택] 연구 목적 활용 동의
  목적: 익명화된 유전 데이터를 학술 연구에 활용
  제공 형태: 가명처리 또는 익명화 후 제공

□ [선택] 혈연 연결 서비스 동의
  목적: 동의한 다른 사용자와 유전적 연관성 표시
  주의: 상대방도 동의한 경우에만 연결

해외 분석 기관 위탁 — 국외이전

DNA 샘플을 해외 분석 기관에 발송하는 경우:

개인정보(유전정보)의 국외이전 해당
처리방침에 분석 기관명·국가 기재 필수
해외 기관과 개인정보 처리 위탁 계약(DPA) 체결

국외이전 기재 예시:

이전받는 자: [분석 기관명]
이전 국가: 미국 (또는 해당 국가)
이전 목적: 유전자 시퀀싱 및 분석
이전 항목: 타액 샘플 (바이오마커 포함), 분석 결과 데이터
보관 기간: 분석 완료 후 즉시 파기 (또는 [기간])

생물학적 샘플 파기

타액, 혈액 샘플은 분석 완료 후 파기해야 합니다:

파기 방법: 소각 또는 화학적 처리 (단순 폐기 불가)
파기 시점: 동의서에 명시한 보관 기간 후
파기 기록: 파기 일시, 방법, 담당 기관 기록 보관

유전정보 제3자 제공 금지 원칙

유전정보를 동의 없이 제3자에게 제공하면 안 되는 케이스:

| 요청 주체 | 허용 여부 | 근거 | |---------|---------|------| | 보험사 (보험료 산정 목적) | ❌ 금지 | 동의 없는 민감정보 제공 | | 고용주 (채용 건강 심사) | ❌ 금지 | 차별 목적 | | 수사기관 | 법원 영장 시 허용 | 통신비밀보호법 준용 | | 의료기관 (치료 목적) | 동의 시 허용 | 별도 제공 동의 | | 학술 연구 기관 | 가명처리 후 허용 | 과학적 연구 목적 |

재식별 위험

유전자 데이터는 가명처리 후에도 재식별 위험이 높습니다:

혈연 데이터베이스와 결합 시 식별 가능
공개 유전자 데이터베이스(GnomAD 등)와 결합 위험
소규모 집단(희귀 유전 질환자): 특히 주의

재식별 방지 추가 조치:

집계 수준 통계만 공개 (개인 단위 유전자 비공개)
연구 결과 발표 시 최소 집단 크기 기준 설정

생명윤리법 추가 의무

생명윤리 및 안전에 관한 법률:

DTC 유전자 검사 서비스: 보건복지부 신고 의무
검사 가능 항목 제한 (질병 예측 항목 제한)
검사 결과 전달 방식 규정 (의사 상담 동반 요건 일부)

처리방침 기재 사항

[유전자 검사 서비스 개인정보 처리방침]

민감정보 처리:
- 유전정보(SNP 데이터, 혈통 분석 결과)
- 별도 동의 항목으로 수집

수집 목적: 유전자 검사 결과 제공, 건강 특성 분석
보관 기간: 탈퇴 시 파기 (연구 동의 시: 가명처리 후 보관)
생물학적 샘플: 분석 완료 후 [기간] 내 파기
국외이전: [분석 기관명/국가] — 분석 위탁 목적

최소 준수 체크리스트

[ ] 유전정보 별도 동의서 (필수·선택 분리)
[ ] 해외 분석 기관 DPA 및 처리방침 국외이전 기재
[ ] 생물학적 샘플 파기 절차 및 기록
[ ] 보험사·고용주 제공 금지 정책 명문화
[ ] 연구 목적 활용 시 가명처리 절차

PIPAGuard로 유전자 검사 서비스 PIPA 점검하기

처리방침 민감정보 기재, 국외이전 현황, 제3자 제공 동의 설계를 자동으로 점검합니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

유전정보의 법적 지위

개인정보보호법 제23조에 따른 민감정보:

민감정보 열거 항목 中:
- 유전자 검사 등의 결과로 얻어진 유전정보

→ 별도 동의 없이 수집·이용 원칙적 금지
→ 수집 목적 외 이용·제3자 제공 엄격 제한

생명윤리 및 안전에 관한 법률(생명윤리법)도 함께 적용됩니다.

DTC 유전자 검사 서비스

소비자 직접(Direct-to-Consumer) 유전자 검사 서비스(조상 탐색, 건강 예측, 영양 분석 등):

수집 항목

구강 면봉 샘플 또는 타액 (생체 샘플)
분석 결과: SNP 데이터, 질환 위험도, 혈통 정보
서비스 이용 정보: 이름, 연락처, 나이

동의 요건

[유전정보 수집·이용 동의] — 민감정보 별도 동의 필수

□ [필수] 유전자 검사 서비스 제공을 위한 유전정보 처리
  수집 항목: 타액 샘플, 유전자 분석 결과 (SNP 데이터)
  목적: 건강 특성 및 혈통 분석
  보관 기간: 서비스 이용 기간 (탈퇴 시 파기)
  분석 기관: [국내/해외 분석 기관명] — 처리 위탁

□ [선택] 연구 목적 활용 동의
  목적: 익명화된 유전 데이터를 학술 연구에 활용
  제공 형태: 가명처리 또는 익명화 후 제공

□ [선택] 혈연 연결 서비스 동의
  목적: 동의한 다른 사용자와 유전적 연관성 표시
  주의: 상대방도 동의한 경우에만 연결

해외 분석 기관 위탁 — 국외이전

DNA 샘플을 해외 분석 기관에 발송하는 경우:

개인정보(유전정보)의 국외이전 해당
처리방침에 분석 기관명·국가 기재 필수
해외 기관과 개인정보 처리 위탁 계약(DPA) 체결

국외이전 기재 예시:

이전받는 자: [분석 기관명]
이전 국가: 미국 (또는 해당 국가)
이전 목적: 유전자 시퀀싱 및 분석
이전 항목: 타액 샘플 (바이오마커 포함), 분석 결과 데이터
보관 기간: 분석 완료 후 즉시 파기 (또는 [기간])

생물학적 샘플 파기

타액, 혈액 샘플은 분석 완료 후 파기해야 합니다:

파기 방법: 소각 또는 화학적 처리 (단순 폐기 불가)
파기 시점: 동의서에 명시한 보관 기간 후
파기 기록: 파기 일시, 방법, 담당 기관 기록 보관

유전정보 제3자 제공 금지 원칙

유전정보를 동의 없이 제3자에게 제공하면 안 되는 케이스:

재식별 위험

유전자 데이터는 가명처리 후에도 재식별 위험이 높습니다:

혈연 데이터베이스와 결합 시 식별 가능
공개 유전자 데이터베이스(GnomAD 등)와 결합 위험
소규모 집단(희귀 유전 질환자): 특히 주의

재식별 방지 추가 조치:

집계 수준 통계만 공개 (개인 단위 유전자 비공개)
연구 결과 발표 시 최소 집단 크기 기준 설정

생명윤리법 추가 의무

생명윤리 및 안전에 관한 법률:

DTC 유전자 검사 서비스: 보건복지부 신고 의무
검사 가능 항목 제한 (질병 예측 항목 제한)
검사 결과 전달 방식 규정 (의사 상담 동반 요건 일부)

처리방침 기재 사항

[유전자 검사 서비스 개인정보 처리방침]

민감정보 처리:
- 유전정보(SNP 데이터, 혈통 분석 결과)
- 별도 동의 항목으로 수집

수집 목적: 유전자 검사 결과 제공, 건강 특성 분석
보관 기간: 탈퇴 시 파기 (연구 동의 시: 가명처리 후 보관)
생물학적 샘플: 분석 완료 후 [기간] 내 파기
국외이전: [분석 기관명/국가] — 분석 위탁 목적

최소 준수 체크리스트

[ ] 유전정보 별도 동의서 (필수·선택 분리)
[ ] 해외 분석 기관 DPA 및 처리방침 국외이전 기재
[ ] 생물학적 샘플 파기 절차 및 기록
[ ] 보험사·고용주 제공 금지 정책 명문화
[ ] 연구 목적 활용 시 가명처리 절차

PIPAGuard로 유전자 검사 서비스 PIPA 점검하기

처리방침 민감정보 기재, 국외이전 현황, 제3자 제공 동의 설계를 자동으로 점검합니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

DNA·유전자 검사 서비스 개인정보보호법 가이드: 유전정보 처리 PIPA

유전정보의 법적 지위

DTC 유전자 검사 서비스

수집 항목

동의 요건

해외 분석 기관 위탁 — 국외이전

생물학적 샘플 파기

유전정보 제3자 제공 금지 원칙

재식별 위험

생명윤리법 추가 의무

처리방침 기재 사항

최소 준수 체크리스트

PIPAGuard로 유전자 검사 서비스 PIPA 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

DNA·유전자 검사 서비스 개인정보보호법 가이드: 유전정보 처리 PIPA

유전정보의 법적 지위

DTC 유전자 검사 서비스

수집 항목

동의 요건

해외 분석 기관 위탁 — 국외이전

생물학적 샘플 파기

유전정보 제3자 제공 금지 원칙

재식별 위험

생명윤리법 추가 의무

처리방침 기재 사항

최소 준수 체크리스트

PIPAGuard로 유전자 검사 서비스 PIPA 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글