의학논문 출판윤리 가이드라인

1. 동의 기반 전향적 데이터 연구

1) 연구 수행을 위한 필수 절차: 기관생명윤리위원회(IRB) 승인과 대상자 자발적 동의

연구대상자의 직 ∙ 간접적 식별정보를 활용하는 연구는 「생명윤리 및 안전에 관한 법률」 (이하, ‘생명윤리법’)에 의거하여 ‘인간대상연구’로 분류된다. 연구자는 연구 개시 전 연구 계획서와 연구대상자 설명문 및 동의서를 작성하여 기관생명윤리위원회(기관위원회, Institutional Review Board; 이하 IRB)의 승인을 득해야 한다[1].

연구대상자 설명문은 법정 필수항목(표 1)을 포함하여 대상자가 이해할 수 있도록 명확하고 평이한 언어로 기술해야 한다. 또한 개인정보(민감정보)를 IRB로부터 승인된 연구계획 이외의 목적으로 사용하거나 승인된 연구진 외의 제3자에게 제공할 경우에는 제3자 제공에 대한 동의를 받아야 한다[2]. 연구자는 IRB 승인을 받은 설명문 및 동의서를 통해 잠재적 연구대상자에게 충분한 설명을 제공하고, 대상자의 이해 여부를 확인한 후 자발적 서면동의를 획득해야 한다 [1].

표 1. 법령에 따른 동의 필수 항목

아동(「아동복지법」상 18세 미만) 등 동의 능력이 없거나 불완전한 사람이 연구대상자로 참여하는 경우에는 이들의 대리인으로부터 연구 참여에 대한 서면동의를 받아야 한다. 대리인은 연구대상자의 최선의 이익(best interests)를 고려하여 연구 참여 여부를 결정하며, 대리인의 동의는 연구대상자의 의사에 어긋나서는 안 된다[1]. 대리 동의는 법정대리인을 우선으로 하며, 법정대리인 부재 시 배우자, 직계존속, 직계비속 순으로 한다. 직계존속 또는 직계비속이 복수인 경우 협의를 통해 정하되, 협의가 이루어지지 않을 경우 연장자가 대리인이 된다[1].

2) 개인정보의 제3자 제공 요건: 대상자 제3자 제공 동의와 제3자 제공에 대한 IRB 승인

연구자가 인간대상연구를 하기 전 연구대상자로부터 개인정보의 ‘제3자 제공’에 대해 서면동의를 받은 경우에는 IRB의 심의를 거쳐 개인정보를 제3자에게 제공할 수 있다[1]. 연구자가 개인정보를 국외의 제3자에게 제공할 경우에는 특히 「개인정보 보호법」(이하, 보호법)에 따라 국외 이전에 관한 별도의 동의를 받아야 하며, 이를 준수하지 않은 국외 이전 계약은 금지된다[2].

개인정보의 제3자 제공 시에는 익명화를 원칙으로 하되, 연구대상자가 개인식별정보 포함하여 제3자 제공에 동의한 경우에는 이를 포함하여 제공할 수 있다[1]. 여기서 ‘개인정보’란, 개인식별정보, 유전정보, 또는 건강에 관한 정보 등 개인에 관한 정보를 의미한다. ‘익명화’란 개인식별정보를 영구적으로 삭제하거나 기관의 고유 식별기호로 대체하는 것을 의미하며, ‘개인식별정보’는 성명 ∙ 주민등록번호 등 개인을 식별할 수 있는 정보를 말한다[1].

2. 동의 면제 요건을 충족하는 후향적 데이터 연구

의료인, 의료기관의 장 및 의료기관 종사자는 「의료법」에 따라 예외사항을 제외하고 환자의 의무기록을 제3자에게 열람, 제공하거나 내용을 확인하게 하는 행위가 금지된다[3]. 따라서 의무기록을 연구에 활용하고자 하는 경우에는 IRB로부터 승인된 버전으로 정보주체인 환자의 동의를 받는 것이 원칙이다.

다만, 보호법상 가명정보 처리 특례에 따라, ‘통계 작성)’, ‘과학적 연구’, ‘공익적 기록 보존)’ 등의 목적으로는 정보주체의 동의 없이 가명정보를 처리할 수 있다[2]. ‘가명정보’는 개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용 ∙ 결합 없이는 특정 개인을 알아볼 수 없는 정보를 말하며, 가명정보 역시 개인정보이므로 보호법에 따른 준수 의무를 가진다. ‘과학적 연구’는 자연과학적 연구, 과학적 방법을 적용하는 역사적 연구, 공중보건 연구는 물론 새로운 기술, 제품, 서비스 등의 연구 ∙ 개발 등 산업적 목적의 연구를 포함한다[4].

정보주체의 동의 없이 과학적 연구 목적으로 가명정보를 처리할 경우, <보건의료데이터 활용 가이드라인>은 가명처리의 적정성 검토를 위해 기관 내 ‘기관보건의료데이터심의위원회(Institutional Healthcare Data Review Board, DRB))’의 승인을 받도록 권고한다[4]. 또한 이러한 연구는 생명윤리법 상 인간대상연구에 해당하므로, 연구자는 연구 개시 전 IRB로부터 연구 계획 승인 또는 심의 면제 ∙ 동의 면제 확인을 받아야 한다[1].

3. 전향적 ∙ 후향적 데이터 연구 공통 준수 사항

1) 데이터 연구 종료 후 기록 보관 ∙ 파기 ∙ 보관 기관 연장

생명윤리법에 따라 연구자는 연구 계획서 및 IRB 심의 결과, 연구대상자 서면동의서 및 동의면제 승인서, 개인정보 수집 ∙ 이용 및 제공 현황, 연구 종료 보고서 및 IRB 조사 ∙ 감독 결과를 연구 종료 시점으로부터 3년간 보관해야 한다[5].

보관기간이 경과한 후에는 보호법에 따라 개인정보가 포함된 전자적 파일은 복원이 불가능한 방법으로 영구 삭제하되, 기술적 제약이 있는 경우 더 이상 개인을 알아볼 수 없도록 처리하여 복원이 불가능하도록 해야 하며, 그 외의 기록물은 파쇄 또는 소각해야 한다[5]. 다만, 후속 연구, 기록 축적 등을 위해 개인정보의 보관이 필요한 경우에는 연구자는 IRB 심의를 거쳐 보관 기관을 연장할 수 있다[5].

2) 개인정보 안전성 확보 의무

연구대상자의 사생활 보호와 개인정보의 비밀 유지에 대한 책임은 연구대상자나 대리인의 동의 여부와 관계없이 전적으로 연구자에게 있다[6]. 따라서 연구자는 연구 및 연구환경이 연구대상자에게 미치는 영향을 평가하여 데이터 생명주기 전반에 걸친 안전대책을 마련해야 하며, 연구가 개인 및 사회에 중대한 해악을 초래할 가능성이 있는 경우 따라 즉시 소속기관의 장에게 보고하고 적절한 조치를 취해야 한다[1].

특히 ‘고유식별정보’ 및 ‘생체인식정보’는 전자적 처리 과정에서 유출 또는 오 ∙ 남용 시 개인정보 침해 위험이 크므로, 보호법에 따라 암호화 등 안전성 확보에 필요한 조치를 취해야 한다(표 2) [2,7,8].

표 2. 암호화 등 안전성 확보가 필요한 정보

3) 데이터 연구의 책임성 ∙ 투명성 확보와 연구대상자 알 권리 존중

데이터 연구는 책임성(accountability)과 투명성(transparency)이 요구된다. 연구자는 공정하고 투명한 처리를 보장하기 위해 개인정보 처리의 상황과 맥락을 고려한 적절한 수학적 ∙ 통계적 프로파일링 절차를 사용해야 한다[9]. 또한 개인정보의 부정확성을 바로잡고 오류 위험을 최소화하기 위한 기술적 ∙ 관리적 조치를 이해하며, 연구대상자의 이익과 권리를 위한 잠재적 위험을 고려해야 한다. 특히 연구대상자의 인종, 민족, 정치적 견해, 종교, 노동조합 가입, 유전적 ∙ 건강 상태, 성적 취향 등에 근거한 차별을 방지하는 방식으로 개인정보를 보호해야 한다[9].

연구대상자에게는 연구에 대한 설명요구권(right to explanation)과 열람권(right to access)이 보장된다. 생명윤리법에 따라 연구대상자는 본인 정보의 공개를 청구할 수 있으며, 연구자는 특별한 사유가 없는 한 이를 공개해야 한다. 이때 연구자는 연구대상자와 직접 대면할 수 없으며, 해당 연구를 심의한 IRB를 통해 정보를 공개해야 한다. 또한 정보 공개 과정에서 다른 연구대상자의 개인정보가 유출되지 않도록 필요한 조치를 취해야 한다[1].

• ) 통계 작성: 특정 집단이나 대상 등에 관하여 작성한 수량적인정보를 의미하여 시장조사와 같은 상업적 목적의 통계 처리도 포함. 직접(1:1) 마케팅 등을 하기 위해 특정 개인을 식별할 수 있는 형태의 통계는 해당하지 않음
• ) 공익적 기록 보존: 공공의 이익을 위하여 지속적인 열람 가치가 있는 정보를 기록 보존하는 것. 처리 주제가 공공기관인 경우에만 공익적 목적이 인정되는 것은 아니며, 민간기업, 단체 등이 일반적인 공익을 위하여 기록을 보존하는 경우도 공익적 기록 보존 목적 인정 가능.
• ) 기관보건의료데이터심의위원회(Institutional Healthcare Data Review Board, DRB): 개인정보 처리자가 보호법 제28조의 2에 따라 가명정보 처리 시, 가명처리 적정성 검토 등을 위해 기관 내부 관리계획에 따라 구성 ∙ 운영하는 검토위원회.

참고문헌

• 생명윤리 및 안전에 관한 법률[시행 2024. 8. 21.] [법률 제20327호, 2024. 2. 20., 일부개정].
• 개인정보 보호법[시행 2024. 3. 15.] [법률 제19234호, 2023. 3. 14., 일부개정].
• 의료법[시행 2025. 6. 21.] [법률 제20593호, 2024. 12. 20., 일부개정].
• 보건복지부, 개인정보보호위원회. 보건의료데이터활용 가이드라인(개정안). 보건복지부; 2024.
• 생명윤리 및 안전에 관한 법률 시행규칙[시행 2024. 8. 21.] [보건복지부령 제1048호, 2024. 8. 16., 일부개정].
• World Medical Association. World Medical Association Declaration of Helsinki: ethical principles for medical re-search involving human subjects. JAMA 2013;310:2191-4.
• 개인정보 보호법 시행령[시행 2025. 3. 13.] [대통령령 제35343호, 2025. 2. 25., 일부개정].
• 개인정보보호위원회. 생체정보 보호 가이드라인 개정. 보건복지부; 2021. 9월.
• European Parliament and Council of the European Union. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance). Off J Eur Union. 2016;L119:1-88. Corrected by: Off J Eur Union. 2018;L127:2.
• 국가생명윤리정책원, 보건복지부. 바이오헬스 데이터 이용 연구에 대한 기관위원회 운영 가이드라인. 보건복지부; 2024. 3월.