A study on the several issues about the review of Institutional Review Board(IRB) regarding the protection and provision of personal information of clinical trial subjects and so on

Park, Tae-Shin

doi:10.17248/knulaw..91.202510.115

Law J. 2025; 91:115-148

pISSN: 1738-5903

DOI: https://doi.org/10.17248/knulaw..91.202510.115

행정법

임상시험 대상자의 개인정보 보호 및 제공에 관한 기관위원회 심사를 위한 검토

박태신 ^*

A study on the several issues about the review of Institutional Review Board(IRB) regarding the protection and provision of personal information of clinical trial subjects and so on

Tae-Shin Park ^*

Author Information & Copyright ▼

^*전북대학교 법학전문대학원 교수

^*Professor, Law School, Jeonbuk National University

© Copyright 2025, The Law Research Institute, Kyungpook National University. This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License (http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Received: Oct 10, 2025; Revised: Oct 27, 2025; Accepted: Oct 27, 2025

Published Online: Oct 31, 2025

국문초록

임상시험 시험책임자는 임상시험을 실시하기 전에 대상자로부터 ‘개인정보 보호에 관한 사항’ 및 ‘개인정보 제공에 관한 사항’이 포함된 서면동의서를 받아야 하는데, 위 동의서 서식이나 시험대상자설명서를 포함하여 대상자에게 제공되는 서면정보 등은 기관생명윤리위원회의 심사를 받아야 한다. 이에 개인정보보호 및 처리에 관한 심사와 관련하여 각 기관위원회 심사위원의 공통된 문제의식 공유를 위해 몇 가지 사항에 대해 검토한다.

먼저 대상자로부터 개인정보처리 동의 획득이 면제되는 경우로는 ‘익명정보나 가명정보를 처리하는 경우’, ‘당초 수집목적과 합리적으로 관련된 범위 내에서 추가적으로 처리하는 경우’, ‘기관위원회의 심의면제 또는 대상자의 연구참여에 대한 서면동의가 면제되는 경우’, ‘연구자 등이 자료보관의무를 이행하는 경우’를 들 수 있다.

다음으로 대상자의 임상시험 참여와 개인정보처리 동의 획득과 관련한 구체적 심사사항은 다음과 같다. 첫째, 의뢰자 주도 임상시험(Sponsor Initiated Trial, SIT)에서 시험책임자는 개인정보처리자의 지위에 있다는 전제에서 검토해야 할 것이다. 둘째, 민감정보나 고유식별정보에 대한 동의는 다른 개인정보처리에 대한 동의와 별도로 동의를 받아야 한다. 셋째, 개인정보의 보유 및 이용기간은 대상자가 그 범위를 예상할 수 있는 형태로 최소한의 기간을 제시해야 한다. 넷째, 대상자의 개인정보가 국외로 이전되는 경우에는 이전대상국의 개인정보보호 수준이 한국의 개인정보보호 수준과 실질적으로 동등해야 한다. 다섯째, 대상자의 이상사례 발생 및 생존 여부 추적을 개인정보를 처리할 필요가 있는 경우에는 이에 필요한 동의를 받아야 한다. 여섯째, 대상자나 파트너가 임신한 경우에 임신부나 태아의 개인정보처리를 위해서는 정보주체인 임신부로부터 이에 필요한 동의를 받아야 한다.

Abstract

Before conducting a clinical trial, the principal investigator must obtain written informed consent, which is including "personal information protection" and "provision of personal information", from the subject. And prior to that the Institutional Review Board(IRB) must review the informed consent form, the subject information sheet, and any other written information provided to the subject.

So, in order to share common concerns among the members of each Institutional Review Board(IRB) several matters will be reviewed, which are regarding the review of personal information protection and processing in this paper.

First of all, Instances which is exempt obtaining informed consent from the subject for personal information processing include: "processing anonymous or pseudonymized information," "additional processing within a scope reasonably related to the original purpose of collection," "exemption of review of the Institutional Review Board(IRB) or exemption of obtaining written informed consent for the subject's research participation," and "fulfilling data retention obligations by researchers."

Next, specific considerations regarding obtaining written informed consent from the clinical trial subject(or information subject) for clinical trial participation and personal information processing are as follows:

Firstly, the review should be conducted under the assumption that the principal investigator of a sponsor-initiated clinical trial (SIT) is the personal information processor.

Secondly, informed consent for sensitive or uniquely identifiable information must be obtained separately from other personal information.

Thirdly, the retention and use period for personal information must be presented for a minimum period that allows the subject to anticipate the scope of the period.

Fourthly, when personal information is transferred overseas, the destination country's level of personal information protection must be substantially equivalent to that of Korea.

Fifthly, It should not be overlooked that informed consent must be obtained from the information subject to process personal information for purposes such as tracking the occurrence of adverse events and survival status.

Sixthly, if the clinical trial subjects or their partner get to be pregnant during the clinical trial, informed consent must be obtained from the pregants to process personal information of the pregants or the fetus.

Keywords: 임상시험; 개인정보보호; 기관윤리위원회; 동의면제; 개인정보 국외이전

Keywords: Clinical Trials; Personal Information Protection; Institutional Review Board; Exemption of Consent; International Transfer of Personal Information

Ⅰ. 서설

생명윤리 및 안전에 관한 법률(이하 “생명윤리법”이라 한다)에 따라 인간대상연구자, 인체유래물연구자가 소속된 교육·연구 기관 또는 병원 등이 생명윤리 및 안전의 확보를 위해 설치해야 하는 기관생명윤리위원회(이하 “기관위원회"라 한다)의 업무에는 “연구대상자등으로부터 적법한 절차에 따라 동의를 받았는지 여부, 연구대상자등의 안전에 관한 사항, 연구대상자등의 개인정보 보호 대책” 등에 관한 심의가 포함되고, 인간대상연구자 등이 연구 전에 대상자로부터 받아야 하는 서면동의서에는 “개인정보 보호 및 제공 등 처리에 관한 사항”이 포함되어야 한다. 그리고 개인정보제공에 관하여 대상자의 동의를 받은 인간대상연구자는 기관위원회의 심의를 거쳐 제3자에게 개인정보를 제공할 수 있다.¹⁾ 또한 약사법에 따라 대상자의 권리·안전·복지를 위해 임상시험실시기관이 설치·운영할 의무가 있는 임상시험심사위원회(이하 “심사위원회"라 한다)는 시험책임자가 제출한 임상시험 관련 문서를 심사하여 그 결과를 통보해야 하는데, 그 문서에는 “대상자 서면동의서 서식, 대상자에게 제공되는 서면 정보(시험대상자설명서를 포함한다)”등이 포함된다.²⁾

이와 같이 기관위원회 또는 심사위원회³⁾는 대상자의 개인정보보호 및 처리에 관한 사항을 심의하게 되는데, 기관위원회 별로 이에 관한 심사가 균질적이지 못한 문제가 있다. 그로 인해 연구자는 동의서 서식 등을 준비할 때 어려움을 겪게 될 뿐만 아니라 기관위원회에 대한 신뢰가 저하되는 문제가 있다. 기관위원회별 또는 동일한 기관위원회 내 각 패널별 심사의 비균질성은 비단 개인정보보호 및 처리에 관한 심사에만 국한되는 것은 아니나 개인정보보호 및 심사에 관한 사항이 관련 법령의 내용이나 논의의 다층성이라는 측면에서 더욱 도드라지는 것으로 보인다. 따라서 인간대상 또는 임상시험연구자 동의서 서식을 마련하거나 각 기관위원회가 표준 동의서 서식을 마련할 때 또는 기관위원회의 심사위원이 개인정보보호 및 처리에 관하여 심사할 때 참고하거나 주의해야 할 사항 등에 관한 공통된 문제의식 공유를 위한 논의를 전개할 필요가 있다. 이에 본 논문에서는 기관위원회의 심사 과정에서 논의될 수 있는 사항들에 대해 관련법령을 기준으로 검토한다.

Ⅱ. 선행연구 및 연구범위

인간대상연구에서 개인정보보호 및 처리와 관련해서는 생명윤리법에 따른 연구참여동의와 개인정보 보호법에 따른 개인정보처리동의를 비교·대조하여 인간대상연구에서의 개인정보처리 동의 및 동의 철회의 문제를 검토하거나,⁴⁾ 개인정보와 관련하여 개인정보 보호법과 생명윤리법을 일반법과 특별법의 관계로 보고 인간대상연구에서의 개인정보보호에 관한 생명윤리법 규정의 문제점 및 개선방안을 검토한 연구,⁵⁾ 미국의 Common Rule, HIPPA(Health Insurance Portability and Accountability Act) 및 EU의 GDPR(General Data Protection Regulation)과 비교하여 생명윤리법 상 익명화의 개선방안에 관해 검토하거나,⁶⁾ 미국 HIPPA, HITECH(Health Information Technology for Economic and Clinical Health Act) 등 미국의 보건의료데이터의 규제를 살펴보고 시사점을 도출한 연구,⁷⁾ 연구목적의 의료정보 활용 논의 필요성과 국내 법제 현황을 검토하거나,⁸⁾ 보건의료데이터의 활용 및 법체계 정합성 보완을 중심으로 법제 개선방안을 검토한 연구,⁹⁾ GDPR과 비교하여 정보주체의 동의 없는 가명처리 및 개인정보의 2차적 사용에 관하여 검토한 연구¹⁰⁾ 등을 비롯한 여러 선행연구가 있다. 그러나 위 각 선행연구들은 주로 비교법적 또는 국내 법령 상호간 정합성 개선방안 등을 검토한 연구로서 기관위원회에서 임상시험과 관련한 개인정보보호와 제공에 관하여 심사하면서 논의될 수 있는 구체적 사항들에 대하여 검토한 연구는 찾아보기 어렵다.¹¹⁾

따라서 본 논문에서는 인간대상연구를 규율하는 생명윤리법령, 약사법령과 개인정보보호 및 처리를 규율하는 개인정보 보호법령을 기준으로, 연구자가 동의서를 마련할 때나 심사자가 심사할 때 구체적으로 유의하고 준수 또는 논의해야 할 사항을 구체적으로 검토한다. 그리고 인간대상연구 중 사회행동연구(Social Behavior Research)보다는 인체유래물연구, 의료기기 임상시험, 첨단재생연구, 체외진단의료기기 임상시험, 의료행위와 관련한 임상시험 등 의료와 관련한 인간대상연구인 임상시험(Clinical Research or Clinical Trial)을 대상으로 논의하되, 임상시험의 상당부분을 차지하고 있는 의약품 임상시험을 주로 염두에 두고 논의한다.¹²⁾ 이하에서는 먼저 연구대상자로부터 개인정보처리 동의획득이 면제되는 경우(III.)를 먼저 살펴본 후, 개인정보처리 동의 획득과 관련한 기관위원회의 구체적 심사사항(IV.)을 검토한다.

Ⅲ. 연구대상자로부터 개인정보처리동의 획득이 면제되는 경우

1. 익명정보나 가명정보를 처리하는 경우

개인정보란 해당 정보만으로 또는 다른 정보와 쉽게 결합하거나 추가정보¹³⁾의 사용·결합을 통해 개인을 알아볼 수 있는 정보를 의미하므로,¹⁴⁾ “시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보”인 익명정보는 개인정보가 아니어서 익명정보¹⁵⁾에는 개인정보 보호법이 적용되지 않는다.¹⁶⁾

또한 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리”(가명처리)한 가명정보는 “통계작성, 과학적 연구, 공익적 기록보존 등”을 위해서는 개인정보처리자가 정보주체의 동의 없이 처리할 수 있다.¹⁷⁾¹⁸⁾ 그리고 ‘과학적 연구’는 “기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구”를 의미하는데,¹⁹⁾ 일반적으로 여기에는 자연과학적 연구뿐만 아니라 역사적 연구나 공중보건분야에서의 공익목적 연구뿐만 아니라 산업적 목적의 연구도 포함되는 것으로 보고 있다.²⁰⁾ 따라서 임상시험 수행을 위해 익명정보나 가명정보를 처리하는 경우에는 정보주체의 동의획득이 면제된다고 할 것이다.

2. 당초 수집목적과 합리적으로 관련된 범위 내에서 추가적으로 처리하는 경우

개인정보 보호법 제15조제3항 및 제17조제4항, 같은 법 시행령 제14조의2 제1항은 개인정보처리자는 “당초 수집 목적과 관련성이 있는지 여부”, “개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부”, “정보주체의 이익을 부당하게 침해하는지 여부”, “가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부”를 고려하여 “당초 수집 목적과 합리적으로 관련된 범위에서 정보주체의 동의 없이” 개인정보를 이용하거나 제공할 수 있다고 각 규정하고 있다. 개인정보에 대해 가명처리 등 익명화 조치를 한 경우에는 정보주체의 동의 없이 임상시험 수행과정에서 개인정보를 처리할 수 있음은 당연하나 익명화 조치를 하지 않은 채 임상시험을 하게 되는 경우에는 당초 수집목적과의 합리적 관련성의 획정이 중요한 요소가 될 것이다. 이 경우 개인정보의 추가적 이용이나 제공에 대한 정보주체의 동의는 면제되더라도 대상자가 임상시험에 참여하기 위해 연구참여동의를 하는 때에 개인정보가 합리적인 범위 내에서 이용하거나 제공될 수 있다는 가능성에 대한 설명은 하는 것이 바람직할 것이다. 추가적 이용 및 제공에 대한 고려사항으로 그 예측가능성 여부를 들고 있기는 하지만, 이와 같은 가능성에 대한 설명은 대상자의 연구참여동의 여부에 영향을 줄 수는 있는 사항으로 볼 수도 있기 때문이다. 다만, 의약품 등의 안전에 관한 규칙 제30조제1항 [별표 4] 임상시험관리기준 7. 다. 3)은 “시험책임자는 대상자의 동의를 받아 해당 주치의에게 대상자의 임상시험 참여 사실을 알릴 수 있다”고 규정하고 있는데, 대상자의 “급박한 생명, 신체, 재산의 이익을 위하여” 알릴 필요가 명백한 경우라든지 그 밖의 개인정보 보호법이 정한 사유에 해당한다고 보일 경우에는 대상자의 동의 없이도 주치의에게 임상시험 참여 사실을 알릴 수 있을 것이다.

3. 기관위원회의 심의면제 또는 대상자의 연구참여에 대한 서면동의가 면제되는 경우

1) 기관위원회의 심의가 면제되는 경우

생명윤리법 제15조제2항, 같은 법 시행규칙 제13조는 취약한 환경에 있는 시험대상자를 대상으로 하지 않으면서 “연구대상자 및 공공에 미치는 위험이 미미한 경우로서 일반 대중에게 공개된 정보를 이용하는 연구 또는 개인식별정보를 수집·기록하지 않는” 일정한 연구들은 기관위원회의 심의면제가 가능하다고 규정하고 있다. 공개된 개인정보에 대해서도 개인정보자기결정권이 인정되기는 하나²¹⁾ “이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집·이용·제공 등 처리를 할 때는 정보주체의 별도의 동의는 불필요하다고 보아야” 할 것이고,²²⁾ 개인식별정보를 수집·기록하지 않는다면 해당 정보는 익명정보 또는 가명정보에 해당하여 정보주체의 동의가 없어도 처리가 가능할 것이다. 따라서 기관위원회의 심의면제의 요건을 충족하여 심의가 면제되는 것으로 인정된다면 통상적으로는 개인정보처리에 관한 동의취득도 면제된다고 볼 수 있을 것이다.²³⁾

2) 대상자의 연구참여에 대한 서면동의가 면제되는 경우²⁴⁾²⁵⁾

생명윤리법 제16조제3항은 “연구대상자의 동의를 받는 것이 연구 진행과정에서 현실적으로 불가능하거나 연구의 타당성에 심각한 영향을 미친다고 판단되는 경우”와 “연구대상자의 동의 거부를 추정할 만한 사유가 없고, 동의를 면제하여도 연구대상자에게 미치는 위험이 극히 낮은 경우”라는 요건을 모두 갖춘 경우, 기관위원회의 승인을 받으면 연구대상자의 서면동의를 면제할 수 있으나 대리인의 서면동의는 면제하지 않는다고 규정하고 있다.²⁶⁾ 이와 같은 요건을 충족한 임상시험의 대상자가 만 14세 미만 아동이라면 개인정보처리에 관하여 법정대리인의 동의를 받으면 될 것이다.²⁷⁾ 대상자가 만 18세 미만의 아동일 경우에는 연구대상자의 의사에 어긋나지 않는 범위에서 대리인의 서면동의를 받아야 하므로²⁸⁾, 대상자인 아동의 연구참여의사를 확인할 수 있는 경우라면 그 의사를 확인하면서 개인정보처리 동의를 받으면 될 것이다. 한편, 대상자가 만 18세 이상이면서 위와 같은 요건을 모두 갖춘 연구에 참여하는 경우에 연구참여에 대한 서면동의는 면제되는데, 개인정보처리에 대한 동의도 면제되는 것일까?

먼저 연구참여에 대한 서면동의면제 요건을 갖춘 임상시험의 경우에 그 임상시험을 수행하는 과정에서 개인정보를 처리하는 것이 개인정보 보호법이 정보주체의 동의가 없어도 개인정보를 처리할 수 있도록 규정한 사유인 “공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우”, “명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우”, “개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우”, “공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우” 등에 해당한다면 정보주체의 동의가 없더라도 개인정보의 처리가 가능할 것이다.²⁹⁾ 그러나 위 사유에 해당하지 않는 경우라면 어떻게 보아야 할까? 연구참여에 대한 동의와 개인정보처리에 대한 동의는 별개이므로 연구참여동의가 면제된다고 하여 개인정보처리에 동의까지 면제되는 것은 아니라고 볼 수도 있을 것이다. 그러나 위 서면동의면제 요건은 연구의 실행가능성과 타당성 측면, 연구대상자의 보호 측면을 모두 충족할 것을 요구하는 것으로서 개인정보처리의 측면에서도 연구대상자에게 미치는 위험이 극히 낮은 경우를 상정한 것으로 볼 수 있고, 연구자가 대상자로부터 연구 전에 받아야 하는 서면동의에는 “개인정보 보호에 관한 사항”과 “개인정보의 제공에 관한 사항”이 포함되어야 하는데³⁰⁾ 그와 같은 서면동의를 면제한다는 것은 개인정보처리에 관한 동의도 포함하여 면제하는 것이라고 할 수 있을 것이므로, 서면동의면제의 요건을 충족한 경우에는 개인정보처리동의 취득의 면제요건도 충족한 것이라고 볼 수도 있을 것이다.³¹⁾ 즉, 위와 같은 생명윤리법의 동의면제에 관한 조항을 개인정보 보호법 제15조제1항제2호와 제17조제1항제2호의 “법률에 특별한 규정이 있는 경우”로 보아 기관위원회의 승인을 조건으로 개인정보처리에 관한 대상자의 동의가 면제된다고 할 수 있을 것이다.³²⁾ 다만, 이 경우에도 동의능력이 없거나 불완전한 사람³³⁾을 위한 대리인의 서면동의는 면제되지 않으므로 그와 같은 대리인의 서면동의에는 개인정보 보호법이 요구하는 절차와 방식을 준수하고, 내용에는 개인정보의 보호 및 제공에 관한 사항이 포함되어 있어야 할 것이다. 그리고 서면동의면제의 요건을 갖추었다고 하여 기관위원회가 반드시 서면동의를 면제해야 하는 것은 아니므로, 만약 대상자의 개인정보의 처리에 관한 동의가 필요하다고 판단한 경우라면, 기관위원회는 연구참여에 대한 대상자의 서면동의를 요구하거나 연구참여에 대한 서면동의는 면제하되 대상자의 개인정보를 익명화할 것을 요구해야 할 것이다.

4. 연구자 등이 자료보관의무를 이행하는 경우

인간대상연구자는 연구와 관련된 사항을 기록하고 연구가가 종료된 후 3년간 보관해야 하고,³⁴⁾ 임상시험실시기관은 임상시험을 실시한 경우에는 고유식별정보를 포함하여 임상시험 대상자의 정보 및 임상시험에서 발행한 이상반응에 관한 기록을 작성·보관·보고해야 한다.³⁵⁾ 따라서 대상자가 연구참여를 중단하고 개인정보의 처리정지를 요구하더라도 일정기간 동안은 법령에 따라 개인정보를 보관해야 할 의무가 있다.

Ⅳ. 임상시험 대상자의 개인정보처리 동의 획득과 관련한 구체적 심사사항

1. 의뢰자 주도 임상시험(Sponsor Initiated Trial, SIT)에서 시험책임자의 개인정보처리자 지위

임상시험은 누가 주도하느냐에 따라 의뢰자 주도 임상시험(Sponsor Initiated Trial, SIT)과 연구자 주도 임상시험(Investigator Initiated Trial, IIT)으로 구분할 수 있는데, 의약품 임상시험은 의뢰자 주도 임상시험(Sponsor Initiated Trial, SIT)의 비율이 높은 실정이다.³⁶⁾ 그런데 의뢰자 주도 임상시험(Sponsor Initiated Trial, SIT)에서 시험책임자를 개인정보처리자와 개인정보취급자 중 어느 지위에 해당한다고 보는지에 따라 그 심사내용이 상당히 달라질 수 있다. 이를 구체적으로 살펴보면 다음과 같다. 먼저 개인정보 보호법 제2조제4호는 “개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)”을 “개인정보파일”로, 같은 조 제5호는 “업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등”을 “개인정보처리자”로 각 규정하고 있다. 그리고 제28조는 제1항에서 “임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자”를 “개인정보취급자”라고 하여 개인정보처리자와 구분하고, 제2항에서 “개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다”고 규정하여 개인정보처리자에게 개인정보취급자에 대한 정기적인 교육실시의무를 부과하고 있다. 따라서 의뢰자 주도 임상시험(SIT)에서 시험책임자가 개인정보처리자가 아니라 의뢰자나 임상시험 실시기관의 장의 개인정보취급자에 불과하다면 시험담당자, 코디네이터 등도 모두 의뢰자나 임상시험 실시기관의 장의 개인정보취급자에 해당하여 시험책임자에게는 그들에 대한 정기적인 교육의무가 없을 것이다. 또한 시험책임자가 의뢰자나 임상시험 실시기관의 장에게 대상자의 개인정보를 제공하는 것은 개인정보의 제3자 제공에 해당하지 않을 것이고³⁷⁾, 의뢰자나 임상시험 실시기관의 장이 임상시험 수행을 위해 시험책임자에게 대상자의 개인정보를 이전하는 경우에도 이는 “개인정보처리자의 업무처리와 이익을 위하여 내부적으로 개인정보를 이용”하는 것으로서 시험책임자는 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하지 않을 것이다.³⁸⁾

그렇다면 의뢰자 주도 임상시험(Sponsor Initiated Trial, SIT)에서 시험책임자는 개인정보처리자에 해당하는 것으로 보아야 하는가 아니면 개인정보취급자에 해당한다고 보아야 하는가?

의뢰자 주도의 의약품 임상시험을 살펴보면, 임상시험계약은 의뢰자와 임상시험실시기관의 장이 문서로써 체결해야 하고, 임상시험 계약서에는 “업무의 위임 및 분장에 관한 사항”, “의뢰자와 임상시험실시기관의 장의 의무사항” 등이 포함되어야 한다.³⁹⁾ 그리고 임상시험실시기관의 장은 심사위원회 설치 및 심사위원회 위원 위촉, 심사위원회의 업무 수행을 위한 표준작업지침서 작성, 임상시험의 실시에 필요한 임상시험실·설비 및 전문인력 구비, 모니터링 및 점검 등의 협조, 관리약사 지정, 기록 및 자료보관, 임상시험 조기종료 및 일시중지의 통지 및 사유서 제출 등의 의무를 부담하고, 수행된 임상시험의 품질 및 윤리성 등에 대한 모든 책임을 진다.⁴⁰⁾ 또한 의뢰자는 임상시험의 품질보증 및 임상시험자료의 품질관리에 관한 표준작업지침서 마련, 임상시험자료에 대한 품질관리 실시, 임상시험의 관리, 자료의 처리, 기록 보관, 시험책임자 선정, 임무의 배정, 대상자에 대한 보상, 임상시험 계획서에 대한 식품의약품안전처장의 승인, 심사위원회 심사사항의 확인, 임상시험용 의약품에 관한 정보 제공, 임상시험용 의약품의 제조, 포장, 표시기재 및 코드화, 임상시험용 의약품의 공급 및 취급, 임상시험 관련 자료의 열람, 임상시험용 의약품의 안전성과 관련한 사항, 약물이상반응의 보고, 모니터링, 점검, 위반사항에 대한 조치, 임상시험의 조기종료 또는 중지의 보고, 다기관임상시험 시 확인사항 등에 관한 의무를 부담한다.⁴¹⁾

위와 같이 임상시험계약 체결 주체가 의뢰자와 임상시험실시기관의 장이라는 점 및 임상시험의 내용 및 수행과정에 대한 임상시시험실시기관의 장과 의뢰자의 권리의무 내용이 임상시험 전반에 걸쳐 매우 구체적이라는 점 등을 고려하면, 얼핏 임상시험실시기관의 장이나 의뢰자가 임상시험과 관련하여 대상자의 개인정보처리자가 되고 시험책임자는 의뢰자나 임상시험실시기관의 장의 개인정보취급자에 해당하는 것으로 보이기도 한다.

그러나 개인정보취급자는 개인정보처리자의 지휘·감독을 받아 개인정보처리자의 의사에 따라 개인정보처리 업무를 수행하므로, “개인정보처리에 관한 독자적 이익을 위하여 개인정보를 이용하거나 제3자에게 이를 제공할 수 있는 지위에 있지 않”⁴²⁾다는 점을 고려하면, 개인정보처리자에 해당하는지 아니면 개인정보취급자에 불과한지 여부는 개인정보처리에 독자적 이익을 갖는지, 개인정보처리 업무의 수행이 타인의 의사에 따라 이루어지는 것으로 볼 수 있는지 등에 따라 판단해야 할 것이다.

그런데 의뢰자 주도 임상시험(Sponsor Initiated Trial, SIT)에서 시험책임자는 의뢰자와 합의한 등록기간 내에 대상자의 등록이 가능성에 대한 증명, 임상시험 실시에 필요한 인원·장비·시설 확보, 지원기관으로부터 배치받은 인력에 대한 감독 및 교육실시, 대상자 보호, 심사위원회의 심사 및 보고, 임상시험 계획서 준수, 임상시험용 의약품의 관리, 무작위배정 및 눈가림해제, 대상자의 동의, 기록 및 보고, 진행상황 보고, 임상시험의 안전성과 관련한 보고, 임상시험의 조기종료 또는 중지, 임상시험 완료보고 등에 관한 의무가 있다.⁴³⁾ 이와 같은 시험책임자의 의무를 살펴보면 시험책임자는 임상시험의 시작부터 종료까지 시험책임자가 매우 구체적이고 능동적인 역할과 지위에 있고, 임상시험의 수행이나 그 결과와 관련하여 의뢰자와 다른 측면에서 주도적인 지위에 있을 뿐만 아니라 대상자에 대해서도 직접적인 보호의무를 부담하는 주체의 지위에 있음을 알 수 있다. 따라서 의뢰자 주도 임상시험(Sponsor Initiated Trial, SIT)에서 시험책임자는 대상자의 개인정보처리에 관한 독자적 이익을 위하여 임상시험 수행 전반에 걸쳐 주도적으로 대상자의 개인정보를 처리하는 것으로 볼 수 있고, 이를 두고 의뢰자나 임상시험실시기관의 장의 의사에 따라 개인정보처리업무를 수행하는 것이라고 볼 수는 없으므로, 의뢰자 주도 임상시험(Sponsor Initiated Trial, SIT)에서 시험책임자는 개인정보취급자가 아니라 개인정보처리자에 해당한다고 보아야 할 것이다. 따라서 심사위원회도 의뢰자 주도 임상시험의 계획서 및 동의서 등의 적정성 여부를 심사하는 경우에 의뢰자나 임상시험실시기관의 장뿐만 아니라 시험책임자 역시 개인정보처리자에 해당한다는 전제에서 검토해야 할 것이다.

2. 민감정보, 고유식별정보 처리에 대한 별도 동의

개인정보 보호법 제23조제1항 및 같은 법 시행령 제18조는 “사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전자검사 등의 결과로 얻어진 유전정보, 범죄경력자료에 해당하는 정보, 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보, 인종이나 민족에 관한 정보”(이하 ‘민감정보’라고 한다)를 개인정보처리자가 처리하기 위해서는 “정보주체에게 제15조제2항⁴⁴⁾ 각 호 또는 제17조제2항⁴⁵⁾ 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우”이거나 “법령에서 민감정보의 처리를 요구하거나 허용하는 경우”일 것을 요구하고 있다. 또한 제24조제1항 및 같은 법 시행령 제19조는 “주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호”(이하 ‘고유식별정보’라고 한다)를 처리하기 위해서는 민감정보와 같이 “정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우”이거나 “법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우”이어야 한다고 규정하고 있다. 따라서 민감정보나 (구체적으로) 고유식별정보의 처리를 요구하거나 허용하는 경우로 볼 수 있는 법령 규정이 있다고 볼만한 임상시험이 아니라면 민감정보나 고유식별정보의 처리를 위해서는 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받아야 할 것이다. 이와 관련하여 개인정보 보호법 제22조제1항은 본문에서 개인정보처리에 대한 동의는 “각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야” 한다고 하면서, 단서 및 제5호, 제6호에서는 민감정보나 고유식별정보의 처리를 위한 동의를 받는 경우에는 “동의 사항을 구분하여 각각 동의를 받아야” 한다고 규정하고 있다.

한편 고유식별정보 중 주민등록번호의 경우에는 개인정보 보호법 제24조의2 제1항이 개인정보처리자는 주민등록번호를 처리할 수 없다고 하면서 주민등록번호를 처리할 수 있는 예외적인 경우로서 “법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우”, “정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우”, “제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우”만을 규정한 채 “정보주체로부터 별도의 동의를 받은 경우”를 규정하지 않고 있으나, 생명윤리법 제2조제17호 및 제18호, 제16조가 결합되어 주민등록번호 처리에 관하여 ‘정보주체의 동의를 받은 경우에는 “구체적으로 주민등록번호의 처리를 요구하거나 허용”한 법률 규정’으로 볼 수 있으므로, 주민등록번호의 경우에도 정보주체의 동의를 받아 처리할 수 있다고 할 것이다.⁴⁶⁾

따라서 민감정보나 주민등록번호를 포함하여 고유식별정보를 처리하기 위해서는 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받아야 하므로,⁴⁷⁾⁴⁸⁾ 일반 개인정보뿐만 아니라 민감정보나 고유식별정보를 처리하려는 경우에는 개인정보처리자는 일반 개인정보, 민감정보, 고유식별정보를 구분하여 제시하고,⁴⁹⁾ 동의란을 구분하는 등의 방법으로 각각 별도의 동의를 받아야 할 것이다.

3. 개인정보의 보유 및 이용기간의 문제

개인정보처리에 관한 동의를 받는 경우에는 일정한 사항을 정보주체에게 알려야 하는데, 그와 같이 알려야 하는 사항 중에 “개인정보의 보유 및 이용기간”이 있다. 정보주체 입장에서는 개인정보처리자가 자신의 개인정보를 보유하고 이용하는 기간에 따라 사생활이나 개인정보의 침해 가능성의 정도가 달라질 수 있으므로, 개인정보의 보유 및 이용기간의 제한은 매우 중요한 사항이라고 할 수 있다. 또한 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 사생활 침해를 최소화하는 방법으로 적합하게 개인정보를 처리해야 하는데,⁵⁰⁾ 필요한 최소 기간동안 개인정보를 보유하고 이용하는 것이 사생활 침해를 최소화하는 방법의 하나에 해당한다는 점에서 위 개인정보의 처리 목적에 필요한 범위에는 시간적 범위도 포함된다고 보아야 하므로, 개인정보의 보유 및 이용기간의 제한은 필수적이라고 할 수 있다. 바꾸어 말하면 임상시험 목적을 달성하기 위해 일정기간 대상자의 개인정보를 보유 및 이용할 필요성이 인정됨은 모두가 수긍할 수 있을 것이지만, 대상자의 개인정보를 계속하여 보관하면 개인정보의 유출 및 악용가능성, 이로 인한 정보주체의 개인정보침해, 사생활 침해의 가능성이 커지게 되므로, 개인정보의 보유 및 이용기간은 임상시험 목적에 부합하는 최소한의 기간이 되어야 할 것이다.⁵¹⁾ 개인정보 보호법 제21조제1항도 개인정보 보유기간이 경과한 경우 뿐만 아니라 개인정보의 처리목적이 달성되어 그 개인정보가 불필요하게 되었을 경우에는 지체없이 그 개인정보를 파기하여야 한다고 규정하고 있다. 따라서 대상자에게 개인정보처리자의 보유 및 이용기간을 ‘영구’나 ‘준영구’ 등으로 알리는 것은 대상자의 해당 개인정보에 대한 자기결정권 또는 지배관리권을 개인정보처리자에 대한 관계에서 사실상 형해화시키는 것일 뿐만 아니라 개인정보의 보유 및 이용기간의 제한을 무력화하는 것이므로 허용될 수 없다고 할 것이다.

그렇다면 개인정보의 보유 및 이용기간을 ‘목적 달성 시까지’로 알리는 것은 괜찮을까? 개인정보 처리 목적 달성 시까지로 알리는 것은 얼핏 합리적인 것으로 보일지 모르나, 이는 정보주체인 대상자가 ‘처리 목적 달성 시점’을 대략적으로라도 예상하기 어렵다는 점에서 타당하다고 보기 어렵다. 시험책임자나 의뢰자 등 개인정보처리자는 임상시험 전반을 계획하고 주도적으로 수행한다는 점에서 임상시험을 위한 개인정보 처리 목적의 달성 시점을 합리적으로 예견할 수 있는 위치에 있다고 할 수 있으므로, 그와 같이 예상되는 시점을 개인정보 보유 및 이용기간의 최대 한도로 제시하는 것이 적절할 것이다. 이는 ‘임상시험 종료 시부터 최대 ∼ 년의 범위 안에서 목적 달성 시까지’ 등으로 제시할 수 있을 것이다. 이와 같은 점에서 개인정보의 보유 및 이용기간을 ‘임상시험 종료 시부터 최소 ∼년’과 같은 방식으로 제시하여서는 안 될 것이다.

4. 개인정보 국외이전

다국가 의약품 임상시험의 경우 통상 의뢰자인 제약사의 본사나 검체분석기관 등이 해외에 소재하는 경우가 많다. 이러한 경우 대상자의 개인정보나 검체 등이 국외로 이전되는 경우가 대부분인데,⁵²⁾ 대상자의 개인정보가 이전되는 국가의 개인정보보호 관련 법령이나 보호수준은 동일하지 않다. 이와 같은 경우에 대상자의 개인정보 국외이전과 관련하여 한국의 개인정보보호수준보다 더 낮은 수준의 국가로 개인정보가 이전될 수 있다고 설명하고 그에 기반하여 개인정보처리에 관한 동의를 받는 경우가 있다. 이러한 설명은 대상자에게 개인정보 국외이전에 관한 정보를 제공하는 것이고, 대상자에게 개인정보의 국외이전에 관한 정보를 제공한 후 그에 기반하여 동의를 받는 것이므로 괜찮은 것일까?

개인정보의 국외이전과 관련하여 개인정보 보호법 제28조의8 제1항⁵³⁾은 개인정보처리자는 일정한 경우를 제외하고는 개인정보를 국외로 이전해서는 안된다고 하면서 개인정보를 국외로 이전할 수 있는 예외적인 사유의 하나로 제1호에서 “정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우”를 들고 있다. 그리고 제2항에서 위와 같은 동의를 받을 때에는 “이전되는 개인정보 항목, 개인정보가 이전되는 국가, 시기 및 방법, 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다), 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간, 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과”를 정보주체에게 미리 알려야 한다고 규정하고 있다. 그리고 이어 제5항에서 “개인정보처리자는 이 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다”고 규정하고 있다. 또한 개인정보 보호법 제59조제1호는 “거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보처리에 관한 동의를 받는 행위”를 금지하고 있다.⁵⁴⁾

따라서 개인정보처리자가 정보주체에게 일정한 사항을 미리 알리고 대상자로부터 개인정보의 국외이전에 관한 별도의 동의를 받으면 그것만으로 충분한 것이 아니라 개인정보의 국외이전에 관한 계약의 내용에 개인정보 보호법을 위반하는 사항이 있어서는 안될 것이다. 그런데 개인정보처리자가 대상자의 개인정보를 국외로 제공한 이후 국외에서 대상자의 개인정보가 처리되는 과정에서의 한국의 개인정보 보호법 준수 여부는 대상자의 개인정보를 국외로 제공한 개인정보처리자와는 무관하다고 보아 그 개인정보처리자가 개인정보를 국외로 제공하는 그 부분만 개인정보 보호법에 위반되지 않으면 괜찮은 걸까? 표면적으로 보면 그렇게 볼 여지도 있을 것이나 개인정보 보호법 제28조의8제1항에서 개인정보의 “이전”은 개인정보를 국외로 “제공(조회를 포함),·처리위탁·보관”하는 것을 포괄하는 개념이라는 점, 개인정보의 국외이전이 가능한 예외적인 사유로 인정되는 사유로 제4호에서 개인정보를 이전받는 자가 개인정보보호위원회가 정하여 고시한 인증을 받고 “개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치, 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치”를 모두 한 경우⁵⁵⁾를 들고 있다는 점, 제5호에서 “개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우”⁵⁶⁾를 들고 있다는 점 등을 고려하면 개인정보가 이전된 국외에서의 개인정보의 처리도 개인정보 보호법이 정한 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 평가받을 수 있어야 할 것이다. 따라서 개인정보를 이전받은 국가의 개인정보 보호법령이 부재하거나 보호 수준이 낮은 경우에는 개인정보처리자는 별도의 정보보호계약 등⁵⁷⁾을 통해 개인정보가 이전된 국가에서의 개인정보처리가 개인정보 보호법이 정한 개인정보 보호수준과 실질적으로 동등한 수준을 갖도록 해야 할 것이다.⁵⁸⁾

이와 관련하여 추가로 개인정보 보호법 제28조의8 제1항제3호에서 “정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁·보관이 필요한 경우”로서 제2항에서 정한 일정한 사항을 개인정보보호방침에 공개하거나 정보주체에게 알린 경우에도 예외적으로 개인정보의 국외이전이 가능하다고 정하고 있으므로, 개인정보의 국외이전과 관련하여 정보주체의 별도의 동의를 받으면 개인정보처리자가 개인정보를 국외로 이전하는 것 외에 개인정보를 이전받은 제3자가 해당 국가에서 개인정보를 처리하는 과정에서의 개인정보 보호수준까지 담보할 필요는 없는 것이 아닌가 하는 의문을 가질 수도 있다. 그러나 “개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우”임에 반해 “개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미”⁵⁹⁾하므로, 위 제3호에서 정한 예외사유는 개인정보처리자가 정보주체와의 계약의 체결 및 이행을 위해 개인정보의 처리를 위탁하거나 보관하는 경우로서 제3자에게 개인정보를 제공하는 것이라기보다는 개인정보취급자를 통해 자신의 개인정보처리를 하는 경우를 규정한 것이라고 보아야 할 것이다. 따라서 위 제3호에 해당하여 개인정보의 국외이전이 이루어지는 경우에는 개인정보취급자를 통한 개인정보처리자의 개인정보처리가 되어 해당 국가에서 개인정보를 처리하는 과정에서 한국의 개인정보 보호법령이 준수되게 될 것이다.

또 다른 한편으로는 정보주체가 법정 고지사항을 고지받고 개인정보 국외이전에 관한 별도의 동의를 했다는 점만으로, 이전대상국의 개인정보보호수준과는 관계없이 정보주체의 개인정보자기결정권이 실질적으로 보장된 것으로 볼 수 있을지도 의문이다. 정보주체가 자신의 개인정보가 이전되는 국가 등을 고지받았다는 것만으로 해당 국가의 개인정보 보호수준까지 알기는 어렵고, 특히 한국의 개인정보보호수준보다 낮은 보호수준의 국가로 개인정보가 이전될 수 있다는 추상적인 설명만으로 개인정보처리에 관한 위험을 제대로 고지받았다고 하기는 어려운 점⁶⁰⁾, 개인정보의 이전을 거부할 권리가 있기는 하나 그 권리를 행사할 경우에는 임상시험에 참여할 수 없는 불이익이 있어 임상시험 참여를 원하는 대상자의 입장에서는 그와 같은 권리를 실질적으로 행사하기 어렵다는 점에 더해 의뢰자 등의 입장에서는 별도의 개인정보 보호계약 등을 통해 개인정보의 이전대상국에서의 개인정보 보호수준을 한국의 개인정보 보호법과 같은 수준으로 유지할 수단이 존재한다는 점을 고려하면 단순히 별도동의를 통해 정보주체의 개인정보자기결정권이 보장된 것이므로 문제가 없다고 단정지을 수는 없을 것이다.⁶¹⁾⁶²⁾

5. 이상사례 발생 및 생존 여부 추적 등을 위한 개인정보처리 문제⁶³⁾

첨단재생의료 임상연구의 경우에 첨단재생의료실시기관으로 지정을 받은 자(이하 “재생의료기관”이 한다)는 첨단재생의료 임상연구를 하기 전에 연구대상자로부터 동의서에 서명을 받아야 하는데, 그 동의서에는 장기추적조사 등 사후조치에 관한 사항도 포함되어 있어야 한다.⁶⁴⁾ 그리고 첨단재생의료안전관리기관의 장은 첨단재생의료 및 첨단바이오의약품 심의위원회가 장기추적조사가 필요하다고 심의·의결한 첨단재생의료 임상연구에 대하여 장기추적조사를 실시하여야 하고, 연구대상자와 재생의료기관은 장기추적조사 실시와 관련하여 안전관리기관의 장의 지시에 따라야 한다.⁶⁵⁾ 그리고 안전관리기관의 장은 “연구대상자의 건강상태, 이상반응 발생 여부” 등이 포함된 장기추적보고서를 매년 말까지 보건복지부장관에게 제출해야 한다.⁶⁶⁾

또한 식품의약품안전처장이 장기추적조사 대상으로 지정한 첨단바이오의약품에 대하여 약사법에 따라 임상시험계획 승인을 받은 자는 장기추적조사계획을 수립하여야 하는데,⁶⁷⁾ 위 장기추적조사계획에는 ‘조사대상자에 관한 사항’이 포함되어야 하고⁶⁸⁾ 위 조사대상자에 관한 사항에는 ‘조사대상자의 동의서 서식’이 포함되어야 하며,⁶⁹⁾ 위 조사대상자의 동의서 서식에는 “장기추적조사 참여 및 투여내역 등록에 대한 동의 여부, 개인정보 수집, 이용 및 제공 동의 여부 및 비밀 보장”도 포함되어야 한다.⁷⁰⁾ 그리고 장기추적조사 대상 첨단바이오의약품을 취급하는 의사·치과의사·약사는 투여 대상자로부터 “투여 받는 첨단바이오의약품이 장기추적조사 대상이 되는 첨단바이오의약품이라는 사실, 투여 대상자의 인적사항과 투여 내역이 규제과학센터에 등록된다는 사실, 서면동의의 철회 방법 및 절차 등에 관한 사항, 개인정보의 보호에 관한 사항”이 포함된 서면동의를 받아 투여 대상자의 인적사항과 투여 내역을 첨단바이오의약품 규제과학센터에 등록하여야 한다.⁷¹⁾⁷²⁾ 이때 장기추적조사 기간은 줄기세포치료제는 5년, 유전자치료제는 15년, 동물의 조직·세포 등을 포함하는 첨단바이오의약품은 30년의 기간 이내에서 정할 수 있다.⁷³⁾ 임상시험계획 승인을 받은 자는 이와 같이 수립한 장기추적조사계획을 실시하면서 중대한 이상사례가 발생한 사실을 알게 된 경우에는 이를 조사·분석하여 식품의약품안전처장에게 보고해야 하는데,⁷⁴⁾ 위 중대한 이상사례에는 사망, 악성종양 등이 포함되고 투여환자가 사망한 경우에는 보고된 사망원인, 부검 여부 및 부검 시 입증된 사망원인 등을 보고하도록 되어 있다.⁷⁵⁾

한편, 위와 같은 첨단바이오의약품이 아닌 의약품 임상시험의 경우에도 임상시험 종료 후에 대상자에게 이상반응 발생했는지 여부 및 대상자의 사망 여부 등을 추적할 필요가 있다.⁷⁶⁾ 통상적으로 의약품 임상시험의 경우에는 스크리닝기간을 거쳐 임상시험 참여에 적합한 대상자인지를 검사하고, 선정기준을 충족하여 임상시험에 참여하게 된 대상자들에게 시험약 및 대조약 등을 투여하는 투여기간을 거친 뒤 시험약 등의 투여가 종료된 뒤 일정기간 동안 추적관찰기간을 갖는데, 추적관찰기간이 종료된 뒤에도 대상자의 이상반응 발생 및 사망 여부나 사망원인 등을 확인할 필요가 있는 것이다.

위와 같은 연구종료 후 추적관찰에 동의한 대상자가 연락이 되는 경우라면 큰 문제는 없을 것이다. 그러나 대상자가 위와 같은 연구 종료 후 추적관찰에 대한 동의를 철회하지도 않고 연락도 되지 않는 경우에는 어떻게 해야 하는가? 이런 경우를 대비해서 위와 같은 정보를 수집할 목적으로 연구 참여 시에 대상자의 가족, 지인 등로부터 그들의 개인정보처리에 관한 동의를 받아 두었다면, 그 정보를 이용하여 대상자의 가족, 지인 등에게 연락을 취하여 대상자의 건강상태나 생존여부 등을 확인할 수 있을 것이다. 그런데 그와 같이 확보해 둔 대상자나 가족, 지인 등의 연락처 등이 변경되어 연락이 되지 않는 경우도 있다. 이러한 예외적인 경우에 대상자의 생존을 확인할 필요가 있다면 시험책임자 등이 대상자의 생존 여부를 확인하기 위해 취할 수 있는 방법이 무엇이 있을까?

만약 대상자가 아직 임상시험이 시행된 의료기관에서 정기적으로 진료를 받고 있다면 대상자의 동의에 터잡아 병록번호 등을 이용하여 원내 의무기록팀을 통해 건강상태나 생존여부 등을 추적할 수 있을 것이다.⁷⁷⁾ 또한 대상자로부터 통계청을 통한 사망여부 및 사망원인 확인에 관하여 동의를 받았다면 시험책임자 등은 통계법 제31조, 같은 법 시행령 제47조, 인가된 통계자료 이용절차 등에 관한 규정 등에 따른 통계청의 마이크로데이터(MDIS) 서비스(사망원인 자료연계 서비스)를 이용할 수 있을 것이다.⁷⁸⁾ 한편 다국적 임상시험의 경우에 연구참여에 대한 동의를 받기 위한 설명을 하면서 연구종료 후에도 대상자의 생존 여부 등을 확인하기 위해 대상자에게 연락할 수 있고 대상자와의 연락이 되지 않을 때는 사설탐정을 고용하여 대상자의 건강상태나 생존 여부를 확인하기 위해 기존의 개인정보를 이용할 수 있다고 설명하는 경우가 있는데, 이와 같은 설명 및 동의는 괜찮을까? 외국에서는 사설탐정이 적법하게 활동할 수 있으므로 이와 같은 설명 및 동의가 문제되지 않을 수 있으나, 한국에서는 아직 사설탐정에 관한 법률이 제정되어 있지 않고 적법하게 활동할 수 있는 범위가 어디까지인지가 명확하지 않은 상황이어서 이와 같은 방법은 스토킹 등에 해당하여 대상자의 사생활을 침해할 소지가 있고 자칫 법위반으로 처벌받을 가능성이 있다.⁷⁹⁾ 따라서 이와 같은 방법은 한국에서는 법적, 윤리적으로 적절하지 않은 방법으로서 연구종료 후 대상자의 생존 등 추적확인을 위한 방법으로 허용되지 않는다고 보아야 할 것이다.

6. 대상자나 파트너가 임신한 경우

의약품 임상시험에서 시험약이 생식독성 또는 태아독성이 있거나 또는 그 독성 여부가 분명하지 않은 경우에는 임신가능성이 있는 여성 대상자들에게는 임상시험 참여기간 및 임상시험 종료 후 일정기간 동안 난자를 제공하거나 임신해서는 안 된다는 것과 적절한 피임방법을 안내한 후 이에 동의한 경우에 한하여 임상시험에 참여가 가능하다는 점을 설명한다. 또한 남성 대상자들에게도 위 기간 동안 정자를 제공하거나 파트너가 임신해서는 안 된다는 것과 적절한 피임방법 및 임상시험 참여를 위해서는 이와 같은 점에 대한 동의가 필요하다는 것을 설명한다. 그럼에도 대상자 또는 파트너가 위 기간 동안 임신을 하게 되는 경우가 있을 수 있는데, 이와 같은 경우에는 임신부의 임신정보나 태아의 건강상태 등을 면밀히 추적해야 할 필요가 있다. 그리고 이와 같은 정보 등은 모두 민감정보에 해당하므로 이를 처리하기 위해서는 정보주체로부터 별도의 동의를 받아야 하는데, 임신부가 임상시험에 참여하고 있는 대상자라면 임상시험에 참여하는 시점에 동시에 별도의 동의를 받는 것도 가능할 것이다. 그러나 임상시험에 참여하고 있는 남성 대상자의 파트너가 임신한 경우라면 이 경우에는 정보주체인 파트너로부터 별도의 동의를 받아야 할 것이다. 이와 같은 남성 대상자의 파트너의 임신과 관련한 개인정보처리동의서 서식에 대한 심의는 임상시험계획서와 동의서 서식 등을 심의할 때 같이 받아도 되고, 나중에 사용하게 되는 경우에 추가로 받아도 무방하나, 추후 사용하게 될 때 심의를 받지 않은 서식을 사용해서는 안 될 것이다.

한편 개인정보를 처리하기 위해서는 정보주체의 동의를 받아야 한다는 점에서 태아의 건강상태 등에 관한 정보의 정보주체를 누구로 보아야 할지 문제될 수 있다. 즉 태아의 건강상태 등에 관한 정보의 처리에 대한 동의의 경우에는 태아가 정보주체에 해당한다고 할지, 또는 임신한 상태이므로 태아에 관한 정보도 결국 임신부의 정보에 해당하여 임신부가 정보주체에 해당한다고 보아야 할지, 아니면 태아와 임신부 둘 다 정보주체에 해당한다고 할지 문제될 수 있다. 이와 관련하여 태아는 형성 중의 인간으로서 헌법상 생명권의 주체가 되기는 하나,⁸⁰⁾ 태아의 생명권은 일정한 조건이 충족되면 임신한 여성의 자기결정권의 보장을 위해 제한될 수도 있는 점,⁸¹⁾ 개인정보는 살아 있는 개인에 관한 정보인데, 민법 제3조는 사람은 생존한 동안 권리의무의 주체가 된다고 하고 있고, 민법 제762조는 “태아는 손해배상의 청구권에 관하여는 이미 출생한 것으로 본다.”고 규정하는 등 태아에게 일반적인 권리능력이 인정되지 않는 점 등을 고려하면 태아의 개인정보주체성이 인정될 수 있을지 불분명하다고 할 것이다. 또한 태아에게 개인정보자기결정권이 인정된다고 할지라도 결국 그 행사는 법정대리인을 통하여 행사될 수밖에 없어서 결국 임신부의 동의를 받아야 할 것이므로,⁸²⁾ 태아의 정보주체성 여부가 동의를 누구로부터 받아야 하는지와 관련해서는 다른 결론을 도출하기는 어려울 것이다.

또한 대상자나 대상자의 파트너가 임신한 경우에 산부인과 주치의와 소통할 필요가 있어 주치의의 성명, 연락처 등 개인정보를 필요로 하는 경우도 있을 수 있다. 이에 따라 주치의의 개인정보처리에 대한 동의가 필요한지가 문제될 수 있는데, 통상적으로 주치의 정보는 공개된 정보로서 환자의 건강상태를 면밀히 관찰하고 필요한 처치를 할 목적으로 한 주치의의 개인정보를 처리하는 것은 정보주체인 주치의의 동의가 있었다고 객관적으로 인정되는 범위 내의 처리라고 볼 수 있을 것이므로, 주치의의 별도의 동의가 필요하지 않다고 볼 여지가 많을 것이다.⁸³⁾ 그러나 주치의의 개인정보처리에 대한 동의를 임신부로부터 받아서는 안 될 것이다.

V. 결어

위에서 본 바와 같이 임상시험 수행을 위한 대상자의 개인정보보호와 제공에 관한 기관위원회의 심사와 관련하여 대상자의 개인정보처리 동의가 면제되는 경우와 동의가 면제되지 않는 경우에 기관위원회가 심사하고 논의해야 할 사항들에 대해 현행법령을 토대로 여러 관점에서 검토하였다. 그러나 실정법령이 규율하는 내용은 원칙적으로 최대한의 규율이 아니라 최소한의 규율에 해당한다는 점을 염두에 두고 뉘른베르크 강령(Nuremberg Code, 1947), 헬싱키 선언(Declaration of Helsinki, 1964), 벨몬트 보고서(Belmont Report, 1979), CIOMS (Council for International Organizations of Medical Sciences) 가이드라인, ICH-GCP (International Conference on Harmonisation - Good Clinical Practice) 등이 제시하고 있는 생명윤리원칙에 비추어 대상자의 안녕과 복지, 권리가 최대한 보장되면서 임상시험의 목적을 달성할 수 있는 방향으로 심사가 이루어져야 할 것이다. 또한 위에서 검토한 사항 및 내용은 현재 시점에서 관련 법령 등에 따른 검토라는 성격이 강하므로, 사회의 인식과 기술, 제도 및 법령의 변화에 따라 논의사항 및 내용의 변화, 발전을 위한 논의가 계속 이어짐으로써 일정 수준으로 기관위원회 심사의 균질성을 확보하고 유지하는데 보탬이 되기를 기대한다.

Notes

¹⁾ 생명윤리법 제10조, 제16조제1항제4호 및 제6호, 제18조제1항, 제37조제1항제2호, 제42조제1항제2호, 제51조제2항제1호

²⁾ 약사법 제34조의2 제3항제5호, 의약품 등의 안전에 관한 규칙 제30조제1항 [별표 4] 의약품 임상시험 관리기준 제6호가목2), 제7호라목3)

³⁾ 이하에서는 기관위원회와 심사위원회를 통칭하여 ‘기관위원회’라 한다.

⁴⁾ 박태신, “인간대상연구에서 개인정보처리에 대한 고찰”, ｢저스티스｣ 통권 제167호, 한국법학원, 2018. 8, 280-305면

⁵⁾ 고형석, “인간대상연구에서 개인정보보호에 관한 연구”, ｢법제｣ 통권 제701호, (2023년 6월), 13-45면

⁶⁾ 이서형, “생명윤리법상 익명화의 개선방안에 관한 연구”, ｢생명윤리｣ 제20권 제2호, 한국생명윤리학회, 2019. 12, 1-28면, 다만, 개인정보 보호법에 가명정보 및 가명처리에 관한 내용이 도입되기 전에 이루어진 연구이다.

⁷⁾ 김재선, “미국의 보건의료데이터 보호 및 활용을 위한 주요 법적 쟁점 - 미국 HIPAA/HITECH, 21세기 치료법, 공통규칙, 민간 가이드라인을 중심으로 -”, ｢의료법학｣ 제22권 제4호, 대한의료법학회, 2021. 12, 117-157면

⁸⁾ 김재선, “의료정보의 연구목적 활용을 위한 법제적 검토”, ｢의료법학｣, 제25권 제2호, 대한의료법학회, 2024. 6, 131-157면

⁹⁾ 김지희, “보건의료데이터 법제의 개선방안 - 가명정보의 활용, 데이터 거버넌스 및 법적 정합성 보완을 중심으로 -”, ｢고려법학｣, 제106호, 고려대학교 법학연구원, 2022. 9, 437-481면

¹⁰⁾ 최경석, “동의 없이 가명화한 개인정보의 사용은 정당한가?:IRB의 승인도 정보 주체의 동의도 없는, 개인정보의 2차적 연구 사용의 문제”, ｢생명윤리정책연구｣ 제16권 제1호, 이화여자대학교 생명의료법연구소, 2022. 11, 21-52면

¹¹⁾ 박태신, 앞의 논문(주4), 290면 이하는 인간대상연구에서 “충분한 설명에 근거한 동의, 동의를 받는 형식 및 방법, 주민등록번호의 처리, 연구참여동의 철회와 개인정보처리정지요구” 등에 관해 검토하고, 박태신, “임상시험 대상자 모집방법에 관한 법적·윤리적 검토”, ｢저스티스｣ 통권 제178호, 한국법학원, 2020. 6, 454면 이하는 소셜미디어(Social Media)나 시험대상자모집전문회사를 통한 대상자 모집과정에서 개인정보처리와 관련한 문제점 및 제언에 대해 일부 검토하고 있으나, 본 논문에서는 위와 같은 논점들과 중복되지 않는 사항들을 다룬다.

¹²⁾ 2018년부터 2024년까지 임상시험 승인현황을 의료기기 임상시험 승인이 990건, 의약품 임상시험 승인이 5,262건으로 의약품 임상시험 승인이 약 5.3배 많은 것으로 집계되었다(김권호 외 4, “의료기기 임상시험 현황 및 분석”, ｢바이오헬스산업브리프｣ 제439호, 한국보건산업진흥원, 2025. 6, 10면).

¹³⁾ 보건복지부/개인정보보호위원회, 보건의료데이터 활용 가이드라인(개정안), 2024. 12, 7면 및 개인정보보호위원회, 가명정보 처리 가이드라인, 2024. 2., 7면은 추가정보를 “개인정보의 전부 또는 일부를 대체하는 가명처리 과정에서 생성 또는 사용된 정보로서 특정 개인을 알아보기 위하여 사용·결합될 수 있는 정보(알고리즘, 매핑테이블 정보, 가명처리에 사용된 개인정보 등)”라고 설명한다.

¹⁴⁾ 개인정보 보호법 제2조제1호 및 제1의 2호

¹⁵⁾ 생명윤리 및 안전에 관한 법률 제2조제19호는 “개인식별정보를 영구적으로 삭제하거나, 개인식별정보의 전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것”을 "익명화”로 정의하고 있는데, 개인식별정보를 영구적으로 삭제한 정보는 식별가능성이 없으므로 개인정보 보호법이 예정한 익명정보에 해당한다고 할 수 있을 것이지만 개인식별정보의 전부 또는 일부를 해당 기관의 고유식별기호로 대체한 정보는 (시간·비용·기술 등의 합리성이 인정되는 범위에서) 해당 기관의 고유식별기호를 사용하여 개인을 알아볼 수 있는 경우에는 익명정보가 아니라 가명정보에 해당할 것이므로, 생명윤리법에 따른 익명화를 거친 정보는 개인정보 보호법 상 익명정보와 가명정보로 나누어진다고 할 수 있을 것이다(김지희, 앞의 논문(주9), 471-473면).

¹⁶⁾ 개인정보 보호법 제58조의2

¹⁷⁾ 개인정보 보호법 제28조의2 제1항, 헌재 2023. 10. 26. 2020헌마1476 결정은 위 조항은 과잉금지원칙을 준수하여 개인정보자기결정권을 침해하지 않는다고 하였다.

¹⁸⁾ 개인정보 보호법 제28조의2에 따라 처리된 가명정보는 개인정보처리정지요구권에 관한 제37조를 적용하지 않으므로(개인정보 보호법 제28조의7, 2023. 10. 26. 2020헌마1477, 2021헌마748(병합) 결정은 위 조항이 과잉금지원칙을 준수하여 개인정보자기결정권을 침해하지 않는다고 하였다), 정보주체가 개인정보처리자에 대해 그 처리의 정지를 요구할 수 없다. 이에 더 나아가 정보주체가 자신의 개인정보에 대한 통계작성, 과학적 연구, 공익적 기록보존의 목적을 위한 가명처리의 정지를 요구할 수 있는지에 관하여(개인정보보호위원회, 앞의 가이드라인(주13), 84면 및 보건복지부/개인정보보호위원회, 보건의료데이터 활용 가이드라인(개정안), 2024. 12, 59면은 정보주체가 가명처리의 정지를 요구하면 개인정보처리자는 이를 보장해야 한다고 안내하고 있다), 대법원 2025. 7. 18. 선고 2024다210554 판결은 i)개인정보 보호법이 가명정보의 활용범위를 정하고 “가명처리”를 개인정보의 “처리”와 별도로 규정한 점, ii) ‘가명처리’는 개인정보의 식별 위험성을 낮추는 방법으로서 개인정보 “처리”와 구별되고, 개인정보 보호법이 가명처리를 개인정보 보호조치로 보고 있는 점(제3조제7항), iii) 데이터 이용의 활성화라는 가명정보조항의 입법 취지 등을 고려하면, “가명처리”는 처리정지 요구의 대상인 개인정보 “처리”에 해당하지 않는다고 판시하면서 제2심 판결을 파기환송 하였다(제1심인 서울중앙지방법원 2023. 1. 19. 선고 2021가합509722 판결과 제2심인 서울고등법원 2023. 12. 20. 선고 2023나2009236 판결은 정보주체가 개인정보처리자를 상대로 한 가명정보의 처리를 위한 ‘가명처리의 정지청구’를 인용하였다). 따라서 과학적 연구에 해당하는 임상시험 수행을 위한 목적으로 가명정보를 처리하기 위한 전제로 개인정보처리자가 개인정보를 가명처리하는 경우에 정보주체는 그 가명처리의 정지를 요구할 수 없을 것이다. 위 대법원 판결과 같은 결론을 취한 견해로는 양소연, “개인정보 처리정지요구권의 법적 성질과 가명처리 정지요구권 인정 여부 - 서울고등법원 2023. 12. 20. 선고 2023나2009236 판결을 계기로”, ｢인권과 정의｣ 통권 522호, 대한변호사협회, 2024, 28-58면; 김현경, “｢개인정보 보호법｣상 “가명처리”와 “개인정보 처리정지권” 해석의 합리화 방안 검토 – 서울고등법원 2023나2009236 판결의 내용을 중심으로“, ｢사법｣ 통권 68호, 사법발전재단, 2024, 3-31면; 전승재, “인공지능 시대 개인정보에 관한 통계처리거부권·가명처리거부권의 인정가부 - 서울중앙지법 2022. 11. 17. 2021가합509722 판결에 관하여”, ｢은행법연구｣ 제16권 제1호, 은행법학회, 2023. 5, 193-231면

¹⁹⁾ 개인정보 보호법 제2조제8호

²⁰⁾ 보건복지부/개인정보보호위원회, 앞의 가이드라인(주13), 9면, 16면(9면에서는 “약물을 개선·개발하거나, 기존 약물의 효과를 평가하기 위한 연구”도 과학적 연구의 하나로 예시하고 있다); 개인정보보호위원회, 앞의 가이드라인(주13), 12면

²¹⁾ 헌재 2005. 5. 26. 99헌마513, 2004헌마190(병합) 결정, 대법원 2014. 7. 24. 선고 2012다49933 판결 등

²²⁾ 대법원 2016. 8. 17. 선고 2014다235080 판결

²³⁾ 기관위원회의 심의면제가 된다고 할지라도 연구참여에 대한 대상자의 연구참여에 대한 동의까지 면제하는 것은 아니므로 서면동의를 받아야 하고, 서면동의가 면제되더라도 연구설명문은 고지하고 구두동의는 받아야 한다고 볼 수도 있으나(최희/손영화, “인간대상연구에서 서면동의 면제에 관한 고찰”, ｢법과 정책연구｣ 24권 1호, 한국법정책학회 2024. 3, 297-298면; 김은애, “인간대상연구에 있어 동의 관련 규범적 문제: ｢생명윤리 및 안전에 관한 법률｣ 상의 동의 관련 규정을 중심으로”, ｢홍익법학｣ 제15권 제2호, 2014, 14면 각주 13)), 이와 같이 보더라도 통상 “연구대상자등에 대한 기존의 자료나 문서를 이용하는 연구”로서 기관위원회의 심의면제요건을 충족하는 연구는 대상자의 서면동의면제요건도 함께 충족하는 경우가 많을 것이다. 또한 기관위원회의 심의는 면제되나 대상자의 연구참여에 대한 서면동의는 면제되지 않는 경우에도, 서면동의서에 포함되어야 하는 개인정보보호 및 제공에 관한 사항에 대해서는 생명윤리법에 그 구체적인 규율내용이 없으므로 개인정보 보호법을 적용해야 할 것인데, 개인정보 보호법에 따라 위와 같은 경우에는 정보주체인 대상자의 개인정보처리에 관한 동의 없이도 처리할 수 있다고 볼 수도 있다(다만 일반법과 특별법의 관계에 있는지 여부는 개별 조항의 규율내용에 따라 판단하므로(대법원 1966. 6. 28. 선고 66다790 판결, 대법원 1980. 6. 24. 선고 80다943 판결 등), 개인정보 보호법 제24조의2에 따라 정보주체의 동의에 의해서도 처리할 수 없도록 규정하고 있는 주민등록번호의 처리에 관하여는 생명윤리법 제2조제17호 내지 제19호와 제16조가 결합하여 정보주체의 동의에 따라 주민등록번호를 처리할 수 있는 특별규정으로 작용한다고 할 것이다(박태신, 앞의 논문(주4), 294-300면). 그러나 이와 같은 해석상 논란은 기관위원회의 심의사항에는 “연구계획서의 윤리적·과학적 타당성”뿐만 아니라 “연구대상자로부터의 연구참여에 대한 동의취득, 연구대상자등의 안전에 관한 사항, 개인정보보호대책” 등이 포함되어 있음에도(생명윤리법 제10조제3항제1호) 생명윤리법이 기관위원회의 심의면제권한이나 그 권한범위를 구분하지 않고 제15조제2항과 제16조제3항에서 단순히 기관위원회의 심의면제와 서면동의면제에 대한 승인을 각각 규정함으로써 초래된 것으로 보인다.

²⁴⁾ 생명윤리법 제16조가 동의와 동의면제가 아닌 ‘서면동의’와 ‘서면동의면제’라고 표현하는 방식의 규율에 대한 문제와 개정이 필요하다는 견해로 유수정/김은애/최경석, “인간대상연구 관련 법적 기준의 문제점과 개선방안: 인간대상연구의 정의, 심의면제 기준 및 동의 획득 기준을 중심으로”, ｢생명윤리정책연구｣ 제15권 제2호, 이화여자대학교 생명의료법연구소, 2022. 3, 37-42면. 반면, 위 ‘서면동의면제’는 ‘동의면제’를 의미하는 것으로 보는 견해로 박태신, 앞의 논문(주4), 293-294면; 이원복, “인간대상연구 동의 면제 제도의 개선”, ｢생명, 윤리와 정책｣ 제8권 제1호, (재)국가생명윤리정책원, 2024. 4, 125면; 보건복지부/질병관리본부, “생명윤리법 관련 기관 운영지침 관련 기관 운영지침 - 기관생명윤리위원회, 유전자검사기관, 인체유래물은행 -”, 2013. 12, 27면, 32면, 35면, 43면과 보건복지부/재단법인 국가생명윤리정책원, “생명윤리법 관련 기관 운영지침 기관생명윤리위원회관리 안내”, 2022. 5, 49면, 52-53면, 64면을 비교하면, 보건복지부는 대상자의 동의면제와 서면동의면제를 구분하고 생명윤리법 제16조제항이 서면동의면제를 규정한 것으로 보았다가 현재는 다소 모호한 입장을 취하는 것으로 보인다.

²⁵⁾ 대상자의 연구참여에 대한 서면동의면제와 (구두동의를 포함한) 동의면제를 엄격하게 구분한다면 생명윤리법 제16조, 약사법 제34조의2 제3항제2호, 제3호는 대상자의 연구참여에 대한 서면동의와 서면동의면제만 규정하고 있는 것으로 보게 될 수도 있다. 따라서 형식적으로 보면 대상자로부터 연구참여에 대한 구두동의를 받는 경우에는 생명윤리법이나 약사법에는 대상자에게 사전에 설명해야 하는 사항에 관한 규율내용이 없다고 보아 개인정보 보호법령을 따라야 할 것이고, 개인정보 보호법령에서 정한 개인정보처리 동의가 없어도 개인정보처리가 가능한 경우라면 결과적으로 개인정보처리에 관한 사항은 연구참여를 위한 동의획득의 전제로서의 설명사항에는 포함되지 않는다고 볼 수도 있다. 그러나 생명윤리법이나 약사법이 대상자의 서면동의를 받도록 규정하고 있는 것은 대상자의 동의를 위한 설명내용이나 대상자의 동의사항에 대해 미리 기관위원회의 심사를 받게 하고 설명내용이나 동의사항을 분명히 함으로써 대상자의 동의권을 보장하려는 데 있다고 할 것이므로, 생명윤리법이 대상자의 구두동의를 받는 경우와 관련해서는 규율하지 않고 있다고 보는 것은 입법취지 및 관련규정들의 체계 등을 전혀 고려하지 않은 해석론이 될 것이다. 따라서 생명윤리법이나 약사법이 대상자의 동의를 둘러싼 다툼을 방지함으로써 대상자를 두텁게 보호하려는 목적에서 대상자의 서면동의를 규정한 것으로 보아야 할 것이라는 점, 생명윤리법 제16조제3항이 정하고 있는 동의면제사유의 내용과 규정의 취지를 종합적으로 살펴보면 동의획득방법으로서의 ‘서면동의’의 면제보다는 ‘동의’의 면제를 전제로 한 경우를 상정했다고 보이는 점과 ‘서면동의면제’로 국한하지 않고 ‘동의면제’로 이해하고 운영되는 임상시험 현장에서의 운영실태 등을 고려하여 이하에서는 ‘동의면제’ 사유로 전제하고 논의를 이어간다.

²⁶⁾ 인체유래물의 서면동의 면제에 관해서는 생명윤리법 제37조제4항이 제16조제3항을 준용하고 있다.

²⁷⁾ 개인정보 보호법 제22조의2

²⁸⁾ 생명윤리법 제16조제2항, 같은 법 시행규칙 제14조제1호, 아동복지법 제3조제1호

²⁹⁾ 개인정보 보호법 제15조제1항제3호, 제5-7호, 제17조제1항제2호. 반면 고형석, 앞의 논문(주5), 25-26면은 생명윤리법 상 연구참여 동의면제 규정은 개인정보보 보호법상 개인정보처리 동의면제 규정에 대한 특별규정이므로, 생명윤리법 상 연구참여 동의면제 규정을 충족시키지 않는 경우에는 개인정보 보호법 상 개인정보처리 동의면제 규정을 충족하더라도 정보주체인 대상자의 동의 없는 개인정보처리는 허용되지 않는다는 취지로 주장한다. 그러나 생명윤리법 상 연구참여 동의면제 요건을 충족하지 못하면 정보주체나 제3자의 급박한 이익, 정보주체의 권리보다 우선하는 개인정보처리자의 이익이나 공익 등 개인정보 보호법이 정한 ‘정보주체의 동의 없이 개인정보를 처리할 수 있는 요건’을 충족한 경우에도 개인정보를 정보주체의 동의 없이 처리할 수 없다고 하는 것은 양 법의 입법취지를 몰각시키는 점과 (생명윤리법은 개인정보의 보호와 제공에 관해 구체적인 내용을 정하고 있는 것이 아니라 위와 같은 사항에 대한 기관위원회의 심의와 위 각 사항을 포함한 연구참여동의를 받아야 한다고만 규정하고 있으므로, 각 개별조항별로 일반법과 특별법의 관계에 있는지를 판단한다는 기준에 비추어 보면) 개인정보처리 동의면제와 관련해서는 생명윤리법을 특별법으로 볼 수 없다는 점 등을 고려하면, 위와 같은 해석은 다소 형식적인 것으로 보인다.

³⁰⁾ 생명윤리법 제16조제1항제4호, 제6호

³¹⁾ 연구참여 서면동의면제 요건을 정한 생명윤리법 규정이 개인정보 보호법에서 정한 ‘법률이 특별한 규정이 있는 경우’에 해당하지 않는다고 보고 연구참여동의가 면제되더라도 개인정보 보호법이 정한 정보주체의 동의 없이 개인정보를 처리할 수 있는 다른 사유에 해당하지 않는 한 언제나 개인정보처리동의는 받아야 한다고 보게 되면, 개인정보처리동의로 인해 연구참여동의획득이 현실적으로 불가능하거나 연구의 타당성에 심각한 영향을 미친다고 할지라도 개인정보처리동의획득을 요구하는 것이 되어 생명윤리법이 정한 연구참여 동의면제에 관한 규정은 사실상 무의미하게 될 것이다.

³²⁾ 그러나 통상적으로 ‘법률에 특별한 규정이 있는 경우’라 함은 개인정보의 수집·이용에 관하여 구체적으로 명시하거나 허용하는 법률 규정이 있는 경우를 의미하므로(개인정보보호위원회, 개인정보 처리 통합 안내서, 2025. 7, 29면), 개인정보의 처리에 관하여 좀 더 구체적으로 정하는 것이 필요하다고 보인다.

³³⁾ 약사법 제34조의2제3항제3호(생명윤리법 제16조제2항, 같은 법 시행규칙 제14조제2호에 따른 보건복지부장관의 고시가 없다고 할지라도 동의능력이 없거나 불완전한 사람에 대해서는 그 동의능력을 보완해 줄 수 있는 사람의 동의가 있어야 할 것이다).

³⁴⁾ 생명윤리법 제19조, 같은 법 시행규칙 제15조

³⁵⁾ 약사법 제34조의2 제3항제6호, 의약품 등의 안전에 관한 규칙 제36조, 제30조제1항제10호, 제10호의2, 제12호, 제13호, [별표 4] 의약품 임상시험 관리기준 제7호 자목 5)-7), 제8호 러목, 제9호 등

³⁶⁾ 의약품 임상시험 승인현황을 살펴보면 의뢰자 주도 임상시험(Sponsor Initiated Trial, SIT)의 승인현황 비율은 2020년 76.5%(611건), 2021년 80.6%(679건), 2022년 83.7%(595건), 2023년 84.3%(660건), 2024년 88.9%(664건)이다(식품의약품안전처 2025. 3. 28.자 보도자료 “식약처, ’24년 의약품 임상시험 승인 현황 발표- 제약사 임상시험 664건 중 국내 개발 임상시험 305건… 증가 추세”, 붙임 2024년 의약품 임상시험 승인 세부 현황 통계 <표 1> 임상시험 승인 현황(’20∼’24년)).

³⁷⁾ 따라서 시험책임자가 개인정보취급자에 불과하다면 의뢰자가 대상자의 개인정보를 제공받은 목적 외의 용도로 이용한 경우에 의뢰자에게는 개인정보 보호법 제71조 제2호, 제19조 위반죄가 아니라 제71조 제2호, 제18조제1항 위반죄가 인정될 것이고(대법원 2025. 3. 13. 선고 2025도266 판결, 대법원 2024. 12. 12. 선고 2021도12868 판결), 시험책임자가 대상자의 개인정보를 허용범위를 초과하여 이용하거나 제공한 경우에 시험책임자에게는 제71조 제2호, 제18조제1항 위반죄가 아니라 제71조제9호 및 제10호, 제59조제2호 및 제3호 위반죄가 인정될 것이다(대법원 2025. 6. 26. 선고 2023도18539 판결, 대법원 2022. 10. 27. 선고 2022도9510 판결, 대법원 2016. 3. 10. 선고 2015도8766 판결, 헌법재판소 2020. 12. 23. 선고 2018헌바222 결정 등).

³⁸⁾ 대법원 2025. 2. 13. 선고 2020도14713 판결은 “개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보의 지배·관리권이 이전되는 것으로, 개인정보처리자가 개인정보의 지배·관리권을 그대로 유지하면서 개인정보처리자의 업무처리와 이익을 위하여 내부적으로 개인정보를 이용하는 것과 구별된다. 개인정보처리자는 다른 사람을 통하여 개인정보를 처리하는 것도 가능하므로(구 ｢개인정보 보호법｣ 제2조 제5호) 개인정보처리자의 의사에 따라 개인정보처리 업무를 직접 수행하는 개인정보취급자가 개인정보처리자로부터 정보주체의 개인정보를 이전받더라도 이와 같은 이전은 ‘제3자 제공’에 해당한다고 볼 수 없다”고 판시하였다.

³⁹⁾ 의약품 등의 안전에 관한 규칙 제30조제1항 [별표 4] 의약품 임상시험 관리기준 제5호가목(의료기기법 시행규칙 제24조제1항 [별표 3] 의료기기 임상시험 관리기준 제5호가목도 같은 내용을 정하고 있다).

⁴⁰⁾ 의약품 등의 안전에 관한 규칙 제30조제1항 [별표 4] 의약품 임상시험 관리기준 5. 나.

⁴¹⁾ 의약품 등의 안전에 관한 규칙 제30조제1항 [별표 4] 의약품 임상시험 관리기준 7.

⁴²⁾ 대법원 2025. 2. 13. 선고 2020도14713 판결

⁴³⁾ 의약품 등의 안전에 관한 규칙 제30조제1항 [별표 4] 의약품 임상시험 관리기준 6.

⁴⁴⁾ 제15조(개인정보의 수집·이용) ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

⁴⁴⁾ 1. 개인정보의 수집·이용 목적

⁴⁴⁾ 2. 수집하려는 개인정보의 항목

⁴⁴⁾ 3. 개인정보의 보유 및 이용 기간

⁴⁴⁾ 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

⁴⁵⁾ 제17조(개인정보의 제공) ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

⁴⁵⁾ 1. 개인정보를 제공받는 자

⁴⁵⁾ 2. 개인정보를 제공받는 자의 개인정보 이용 목적

⁴⁵⁾ 3. 제공하는 개인정보의 항목

⁴⁵⁾ 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

⁴⁵⁾ 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

⁴⁶⁾ 이에 관한 자세한 논의는 박태신, 앞의 논문(주4), 294-299면

⁴⁷⁾ 다만 암관리법 시행령 제24조의2 제1항은 보건복지부장관이나 보건복지부장관의 권한 또는 업무를 위임·위탁받은 자 또는 질병관리청장은 암연구사업 등에 관한 사무를 수행하기 위해 불가피한 경우에는 건강에 관한 정보나 주민등록번호 또는 외국인등록번호가 포함된 자료를 처리할 수 있다고 규정하고 있다.

⁴⁸⁾ 약사법 제34조의2 제4항이 “식품의약품안전처장 및 임상시험실시기관은 임상시험 대상자의 선정·관리 등에 관한 업무를 수행하기 위하여 당사자의 동의를 받아 ｢개인정보 보호법｣ 제23조에 따른 건강에 관한 정보와 같은 법 제24조에 따른 고유식별정보가 포함된 자료를 처리할 수 있다.”고 규정하고 있으나, 식품의약품안전처장과 임상시험실시기관의 장이 당사자의 동의를 전제로 민감정보에 해당하는 건강에 관한 정보와 고유식별정보가 포함된 자료를 처리할 수 있다고 규정하고 있을 뿐이어서 식품의약품안전처장이나 임상시험실시기관의 장도 당사자의 동의가 없이 민감정보나 고유식별정보를 처리할 수 있는 법령 규정에 해당하지 않고, 시험책임자나 의뢰자 등이 대상자의 민감정보나 고유식별정보의 처리에 대한 규정은 아니므로 개인정보처리자는 정보주체인 대상자의 별도 동의가 있어야 임상시험과 관련하여 민감정보나 고유식별정보를 처리할 수 있을 것이다.

⁴⁹⁾ 의뢰자, 시험책임자, 심사위원회 위원 등은 일반 개인정보와 민감정보, 고유식별정보 등을 구분하여 숙지하고 있어야 할 것이다. 임상시험 관련 종사자들 중 일부는 건강에 관한 정보는 민감정보에 해당한다는 점을 잘 알고 있는 것으로 보이나 인종이나 민족 등에 관한 정보 역시 민감정보에 해당한다는 점에 대해서는 간과하는 것으로 보인다. 또한 민감정보로서 제시하는 정보를 단순히 ‘건강에 관한 정보’라고만 제시하면 대상자 입장에서는 어떠한 건강에 관한 정보가 처리되는지 알기 어렵다는 점, 개인정보 보호법 제3조제1항은 “개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다”고 규정하고 있는 점, 개인정보 보호법(제23조제1항제1호, 제15조제2항제2호, 제17조제2항제3호)이 개인정보처리자가 정보주체의 동의를 받을 때 처리하려는 개인정보의 항목을 정보주체에게 알려야 한다고 규정하고 있고, 정보주체의 “개인정보의 처리에 관한 동의범위 등을 선택하고 결정할 권리”(개인정보 보호법 제4조제2호)를 실질적으로 보장하기 위해서는 처리 대상인 건강에 관한 정보를 구체적으로 제시받아야 하는 점 등을 고려하면 개인정보처리자는 대상자에게 민감정보인 건강에 관한 정보의 처리에 관한 동의를 받을 때 단순히 ‘건강에 관한 정보’라고만 제시해서는 안 되고 당해 임상시험 수행에 필요한 건강정보를 가능한 범위에서 구체적으로 제시해야 할 것이다.

⁵⁰⁾ 개인정보 보호법 제3조제2항, 제6항

⁵¹⁾ 헌법재판소 2024. 2. 28. 2021헌마40 결정 참고

⁵²⁾ 개인정보를 국외로 이전하는 것이 아니라 “국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우”에는 개인정보처리방침에 “개인정보를 처리하는 국가명”을 포함시켜야 한다(개인정보 보호법 제30조제1항제8호, 같은 법 시행령 제31조제1항제4호).

⁵³⁾ 제28조의8(개인정보의 국외 이전) ① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)·처리위탁·보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.

⁵³⁾ 1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우

⁵³⁾ 2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우

⁵³⁾ 3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁·보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우

⁵³⁾ 가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우

⁵³⁾ 나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우

⁵³⁾ 4. 개인정보를 이전받는 자가 제32조의2에 따른 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우

⁵³⁾ 가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치

⁵³⁾ 나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치

⁵³⁾ 5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우

⁵⁴⁾ 대법원 2017. 4. 7. 선고 2016도13263 판결은 “거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지를 판단할 때에는 개인정보처리자가 그에 관한 동의를 받는 행위 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다”고 판시하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지에 관한 판단방법을 제시하고 있다.

⁵⁵⁾ 개인정보 보호법 시행령 제29조의8 제1항은 위와 같은 인증을 고시하기 위해서는 개인정보 보호 인증 전문기관 및 개인정보의 국외 이전 분야 전문위원회의 평가를 모두 거쳐야 한다고 규정하고, 제3항은 그 외 사항은 보호위원회가 정하여 고시한다고 규정하고 있다. 이에 따라 개인정보 국외 이전 운영 등에 관한 규정(개인정보보호위원회고시 제2023-11호) 제11조 및 제12조, [별표 1] 개인정보 국외 이전 인증 평가 기준 (제11조∼제14조 관련)은 위 기관 및 위원회는 개인정보 보호 수준, 정보주체의 권리 보호 적절성 등을 i)합법적인 처리근거(수집·이용·제공, 목적 외 이용·제공, 가명정보의 처리), ii)최소처리(사생활 침해 최소화, 가명처리·익명처리,수집 제한,보유기간 제한,파기), iii)정보주체 권리(열람, 정정·삭제, 처리정지, 전송요구권, 자동화된 결정에 대한 대응권, 피해구제, 손해배상 청구권), iv)투명성(처리방침 공개, 출처 통지, 이용내역 확인), v)책임성(정확성·최신성·완전성, 영업양도, 영향평가, 보호책임자 지정, 위탁, 국내대리인 지정), vi)안전성(관리적 보호조치, 기술적 보호조치, 물리적 보호조치, 노출된 개인정보의 삭제·차단), vii)특별한 보호가 요구되는 개인정보처리(아동 개인정보, 민감정보, 고유식별정보(주민등록번호 포함), 영상정보(고정형, 이동형)), viii)침해대책 및 대응(침해사고 예방 및 대응체계 구축, 침해사고 대응 및 복구, 유출 등의 통지 신고), ix)국외이전(이전, 재이전)이라는 기준에 따라 평가하고 그 내용을 보호위원회에 제출하해야 한다고 규정하고 있는데, 위 각 평가기준은 개인정보 보호법령이 규정하고 있는 내용을 모두 포괄하여 제시하고 있어 인증을 받기 위해서는 개인정보 보호법령이 정한 개인정보 보호수준을 충족시킬 것을 요구하고 있다고 할 수 있다.

⁵⁶⁾ 개인정보 보호법 시행령 제29조의9는 제1항에서 보호위원회가 위와 같은 인정을 하려는 경우 종합적으로 고려해야 할 사항을 규정하고 있고, 제4항 및 제5항에서 보호위원회가 인정을 한 경우에 인정기간 동안의 이전대상국의 개인정보 보호수준 유지 점검의무 및 보호수준이 변경된 경우의 인정 취소 및 내용의 변경 가능성을 규정하고 있다.

⁵⁷⁾ 개인정보처리자가 개인정보를 국외로 이전하려는 경우에는 일정한 보호조치를 취해야 하는데(개인정보 보호법 제28조의8 제4항), 그와 같은 보호조치로는 “개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행 및 점검”, “개인정보에 대한 접근 권한을 제한하기 위한 조치”, “개인정보에 대한 접근을 통제하기 위한 조치”, “개인정보를 안전하게 저장·전송하는데 필요한 조치”, “개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치”, “개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치·운영과 주기적 갱신·점검 조치”, “개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치”, “개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치” 등이 규정되어 있다(개인정보 보호법 시행령 제29조의10 제1항, 제30조제1항). 그리고 개인정보처리자는 개인정보를 이전받는 자와 위와 같은 사항에 관하여 미리 협의하고 이를 계약내용 등에 반영해야 한다(개인정보 보호법 시행령 제29조의10 제2항).

⁵⁸⁾ 2023. 3. 14. 법률 제19234호로 일부개정되기 전의 개인정보 보호법은 개인정보의 국외이전과 관련하여 제17조제3항에서 “개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.”고 규정하고, 제39조의12에서 정보통신서비스제공자 등은 개인정보를 국외로 이전하려면 이용자의 동의를 받아야 함을 규정하면서 이용자의 동의를 받기 위해 고지해야 하는 사항(이전되는 개인정보항목, 개인정보가 이전되는 국가, 이전일시 및 이전방법 등)을 개인정보처리방침에 공개하거나 이용자에게 알린 경우에는 동의절차를 거치지 않을 수 있다고 규정하고 있었다. 그리고 2023. 3. 14. 법률 제19234호로 일부개정된 개인정보 보호법은 위와 같이 정보주체의 별도의 동의 외에도 개인정보가 국외로 이전될 수 있는 경우를 규정하였는데, 위 일부개정된 개인정보 보호법이 개인정보의 국외이전에 관한 계약이 개인정보 보호법에 위반하는 내용이어서는 안 된다는 내용에 더해 그 보호수준이 실질적으로 동등해야 한다는 점을 전제로 한 사유들을 추가한 점에 비추어 보아도 정보주체의 별도 동의를 얻어 개인정보가 국외로 이전된 경우라 할지라도 원칙적으로 이전대상 국가에서의 개인정보처리 역시 개인정보 보호법이 정한 보호수준과 실질적으로 동등해야 함을 전제하고 있다고 보아야 할 것이다(정보주체가 개인정보의 국외이전을 동의한 경우에 이전대상국의 개인정보 보호수준을 제대로 알기는 어렵다는 점을 고려하면 더욱 그렇게 보아야 할 것이다).

⁵⁹⁾ 대법원 2017. 4. 7. 선고 2016도13263 판결

⁶⁰⁾ 유럽의 General Data Protection Regulations(GDPR) 제49조(a)는 정보주체가 제45조에 따른 적정성 결정이 나 제46조에 따른 적절한 안전장치가 없기 때문에 발생할 수 있는 역외이전의 위험에 대해 설명을 들은 후 명시적으로 역외이전에 동의한 경우에는 위와 같은 적정성 결정이나 적절한 안전장치가 없는 경우에도 개인정보의 역외이전이 가능하다고 규정하고 있다(Article 49 Derogations for specific situations 1. In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions: (a) the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards;). 따라서 GDPR은 적정성 결정이나 적절한 안전장치가 없어서 발생 가능한 개인정보의 역외이전의 위험을 설명받은 정보주체의 명시적 동의를 요구하고 있으므로, 정보주체가 그 위험을 인지하고 감수하겠다는 의사로 개인정보의 역외이전에 동의한 것이므로 개인정보자기결정권이 실질적으로 보장된 것이라 볼 수 있을 것이다. 그러나 이전대상국의 개인정보보호수준이 한국보다 낮을 수 있다는 추상적인 설명만으로는 개인정보의 국외이전으로 인한 위험을 제대로 설명한 것이라고 할 수는 없을 것이다. 따라서 정보주체의 국외이전에 관한 별도동의를 이유로 한국보다 개인정보보호 수준이 낮은 국가로 개인정보의 이전을 허용하기 위해서는 별도동의를 받기 전에 정보주체에게 ‘개인정보가 이전되는 국가, 시기 및 방법’을 미리 알리는 것만으로는 충분하지 않고, 이전대상국의 개인정보보호수준이 한국보다 낮음에도 그와 같은 수준의 보호조치를 취함이 없이 개인정보가 이전됨으로써 발생할 수 있는 위험도 정보주체에게 미리 알려야 한다고 보아야 할 것이다(특히 임상시험에서의 개인정보 국외이전은 민감정보 등이 포함되는 경우가 대부분이라는 점을 고려하면 위와 같은 위험의 고지 없이 받은 정보주체의 국외이전에 관한 동의는 유효하지 않아고 보아야 할 것이다). 만약, 개인정보 보호법은 GDPR과 달리 법령에 위와 같은 위험이 개인정보의 국외이전을 위한 정보주체의 별도동의를 받기 위해 미리 고지해야 할 사항으로 규정되어 있지 않으므로 위 위험의 사전고지를 요구할 수 없다고 본다면, 정보주체의 개인정보자기결정권의 실질적 보장을 위해 개인정보의 국외이전을 위한 정보주체의 별도동의는 이전대상국의 개인정보보호수준이 한국과 동일하거나 그 이상임을 전제로 하고 있다고 보아야 할 것이다.

⁶¹⁾ 한편으로 세계 각국은 민감정보의 국외이전에 관해 강화된 규제를 하고 있다(국회도서관 의회법률정보포털, “나도 모르는 사이에 내 유전 정보가 해외로?”, World&Law 2025-10호, 2025. 9. 10.

⁶¹⁾ https://lnp.nanet.go.kr/foreignlaw/lawNewsletter/lawNewsletterDetailView.do?newsletterSeq=1301(2025. 9. 26. 최종 방문) 참고). 미국은 2024. 2. 28. 우려국가에 의한 미국인의 대량 민감정보와 미국 정부관련 데이터에 대한 접근을 제한하기 위한 행정명령(Executive Order 14117—Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)을 발령했고, 중국은 중화인민공화국 인류유전자원 관리 조례(中华人民共和国人类遗传资源管理条例) 제7조에서 외국 조직·개인·기관은 중국 내에서 인류유전자원(인체 게놈·유전자 등 유전물질을 포함한 장기·조직·세포 등 유전적 물질을 의미하는 인류유전자원 물질과 이를 이용하여 생성된 데이터 등을 의미하는 인류유전자원 정보를 포함하는 개념, 제2조)을 채집·보존하거나 중국의 인류유전자원을 해외로 제공하는 것을 금지하고(第七条外国组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源), 제27조에서 중국의 인류유전자원을 이용한 국제 협력 과학 연구 수행, 그 밖의 특별한 사정으로 인한 중국의 인류유전자원 물질의 해외로 반출을 위해서는 일정한 요건의 충족 및 국무원 보건위생 주관 부서가 발급한 인류유전자원 물질 해외 반출 증명의 취득을 요구하고 있으며(第二十七条利用我国人类遗传资源开展国际合作科学研究，或者因其他特殊情况确需将我国人类遗传资源材料运送、邮寄、携带出境的，应当符合下列条件，并取得国务院卫生健康主管部门出具的人类遗传资源材料出境证明：), 이에 위반한 경우에는 제36조 및 제41조에서 몰수 및 벌금부과를 규정하고 있다. 또한, 인도는 디지털 개인정보보호법(THE DIGITAL PERSONAL DATA PROTECTION ACT, 2023) 제16조에서 중앙정부가 개인정보의 국외이전을 제한할 수 있도록 규정하고 있다(16. (1) The Central Government may, by notification, restrict the transfer of personal data by a Data Fiduciary for processing to such country or territory outside India as may be so notified. (2) Nothing contained in this section shall restrict the applicability of any law for the time being in force in India that provides for a higher degree of protection for or restriction on transfer of personal data by a Data Fiduciary outside India in relation to any personal data or Data Fiduciary or class thereof.).

⁶²⁾ 인체유래물의 국외이전을 통한 민감정보 국외이전은 인체유래물 자체를 개인정보로 파악하기는 어렵다는 점에서 개인정보의 국외이전에 준하는 규제가 필요할 것이다. 이와 관련하여 이보형, “유전정보 국외이전에 따른 국내 헬스케어산업보안 법제의 취약성 고찰”, ｢韓國産業保安硏究｣第6卷第2號, 한국산업보안연구학회, 2016, 161-163면은 검체의 이전을 통한 유전정보의 국외이전의 규제에 대해 국가생명윤리위원회가 이전대상국의 유전정보 보호수준을 검토하여 이전대상국을 제한할 수 있도록 생명윤리법을 개선하는 방안, 개인정보의 개념에 인체유래물을 포함시키거나 이전대상국의 개인정보보호수준이 낮아서 정보주체의 권리보장이 어려운 경우에는 국외이전을 제한하는 내용으로 개인정보 보호법을 개선하는 방안을 제시하고 있다.

⁶³⁾ 개인정보는 살아 있는 개인에 관한 정보이므로(개인정보 보호법 제2조제1호), 대상자가 사망한 경우에는 그 대상자에 관한 이상 반응이나 사망 정보는 더 이상 개인정보에 해당하지 않을 것이다. 그러나 대상자의 사망 여부를 알지 못하는 상태에서는 대상자에 관한 정보는 여전히 개인정보라고 전제하고 접근해야 할 것이다. 위와 같은 정보를 획득하기 위해서는 대상자나 대상자의 생존 여부를 알고 있는 사람들에게 연락을 취할 필요가 있다.

⁶⁴⁾ 첨단재생의료 및 첨단바이오의약품 안전 및 지원에 관한 법률 제1조제1항제6호

⁶⁵⁾ 첨단재생의료 및 첨단바이오의약품 안전 및 지원에 관한 법률 제21조제1항, 제2항

⁶⁶⁾ 첨단재생의료 안전 및 지원에 관한 규칙 제18조제1항

⁶⁷⁾ 첨단재생의료 및 첨단바이오의약품 안전 및 지원에 관한 법률 제30조제1항, 제2항

⁶⁸⁾ 첨단바이오의약품 안전 및 지원에 관한 규칙 제32조제1항제1호

⁶⁹⁾ 첨단바이오의약품 장기추적조사 관리기준 제3조제1항제1호

⁷⁰⁾ 첨단바이오의약품 장기추적조사 관리기준 제3조제3항제8호, 제9호

⁷¹⁾ 첨단재생의료 및 첨단바이오의약품 안전 및 지원에 관한 법률 제30조제4항, 같은 법 시행령 제32조제1항

⁷²⁾ 첨단재생의료 및 첨단바이오의약품 안전 및 지원에 관한 법률 시행령 제33조, 첨단바이오의약품 장기추적조사 관리기준 제7조제7호는 “투여 대상자의 장기추적조사 동의 여부”도 첨단바이오의약품 규제과학센터가 첨단바이오의약품 투여 및 판매·공급 내역의 등록·관리를 위해 구축 및 운영하는 전산망에 등록해야 한다고 규정하고 있다.

⁷³⁾ 첨단바이오의약품의 품목허가·심사 규정 제9조제2항

⁷⁴⁾ 첨단재생의료 및 첨단바이오의약품 안전 및 지원에 관한 법률 제30조제3항, 같은 법 시행령 제31조

⁷⁵⁾ 첨단바이오의약품 장기추적조사 관리기준 제8조, [별지 3] 중대한 이상사례보고서[장기추적조사 대상 의약품]

⁷⁶⁾ 의약품 등의 안전에 관한 규칙 제 별표 4 임상시험관리기준 7. 시험자 다. 시험자의 대상자보호의무 2) 임상시험 중 또는 임상시험 이후에도 시험책임자는 임상시험에서 발생한 모든 이상사례(임상적으로 의미있는 실험실 실험 결과의 이상을 포함한다)에 대해 대상자가 적절한 의학적 처치를 받을 수 있도록 하여야 하고, 시험책임자가 알게 된 대상자의 병발(倂發) 질환이 의학적 처치가 필요한 경우에는 그 사실을 대상자에게 알려야 한다.

⁷⁷⁾ 시험약 등으로 인한 중대한 부작용에 관한 치료나 조치가 급히 필요한 경우 등과 같이 대상자의 급박한 생명, 신체의 이익을 위하여 필요하다고 명백히 인정되는 경우라면 대상자의 동의가 없더라도 개인정보를 처리할 수 있을 것이다(개인정보 보호법 제15조제1항제5호, 제17조제1항제2호). 그러나 통상적으로 위와 같은 필요에 의한 개인정보처리는 대상자가 최초 동의의 범위 내에 있다고 할 수 있을 것이다.

⁷⁸⁾ https://mdis.kostat.go.kr/consign/consignDthRequestList.do?curMenuNo=UI_(2025. 9. 30. 최종방문)

⁷⁹⁾ 2020. 2. 4. 법률 제16957호로 일부개정된 신용정보의 이용 및 보호에 관한 법률[2020. 8. 5. 시행]이 신용정보회사 등이 아닌 자가 “정보원, 탐정, 그 밖에 이와 비슷한 명칭을 사용하는 일”을 금지한 부분을 삭제함으로써 신용정보회회사 등이 아니면 정보원, 탐정 등의 명칭을 사용하는 것은 금지되지 않고(제40조제1항), 탐정업의 영역에 속하는 업무로서 개별법령에 의해 금지되지 않은 업무를 수행할 수는 있으나(헌재 2018. 6. 28. 2016헌마473 결정), 개별법령이 중첩적으로 적용되어 법령 저촉 여부는 명확하지 않은 실정이다(서진석, “탐정업법 입법(안) 현황 및 입법방향의 타당성에 대한 연구:독일 탐정제도의 검토를 바탕으로”, ｢한국치안행정논집｣ 제21권 제1호, 한국치안행정학회, 2024, 127-129면 참고).

⁸⁰⁾ 헌재 2008. 7. 31. 2004헌바81 결정은 “모든 인간은 헌법상 생명권의 주체가 되며, 형성 중의 생명인 태아에게도 생명에 대한 권리가 인정되어야 한다. 따라서 태아도 헌법상 생명권의 주체가 되며, 국가는 헌법 제10조에 따라 태아의 생명을 보호할 의무가 있다.”고 판시하였다.

⁸¹⁾ 헌재 2019. 4. 11. 2017헌바127 결정은 “임신·출산·육아는 여성의 삶에 근본적이고 결정적인 영향을 미칠 수 있는 중요한 문제이므로, 임신한 여성이 임신을 유지 또는 종결할 것인지 여부를 결정하는 것은 스스로 선택한 인생관·사회관을 바탕으로 자신이 처한 신체적·심리적·사회적·경제적 상황에 대한 깊은 고민을 한 결과를 반영하는 전인적(全人的) 결정이다. 현 시점에서 최선의 의료기술과 의료 인력이 뒷받침될 경우 태아는 임신 22주 내외부터 독자적인 생존이 가능하다고 한다. 한편 자기결정권이 보장되려면 임신한 여성이 임신 유지와 출산 여부에 관하여 전인적 결정을 하고 그 결정을 실행함에 있어서 충분한 시간이 확보되어야 한다. 이러한 점들을 고려하면, 태아가 모체를 떠난 상태에서 독자적으로 생존할 수 있는 시점인 임신 22주 내외에 도달하기 전이면서 동시에 임신 유지와 출산 여부에 관한 자기결정권을 행사하기에 충분한 시간이 보장되는 시기(이하 착상 시부터 이 시기까지를 ‘결정가능기간’이라 한다)까지의 낙태에 대해서는 국가가 생명보호의 수단 및 정도를 달리 정할 수 있다고 봄이 타당하다.”고 판시하였다.

⁸²⁾ 개인정보 보호법 제22조의2 제1항

⁸³⁾ 위와 같은 사유뿐만 아니라 의료인이 임신부의 건강상의 이익을 위해 주치의의 개인정보를 처리하는 것이 의료법 등 법령상 의무준수를 불가피하거나 급박하게 필요한 것이 명백한 경우에 해당하기도 할 것이다(개인정보 보호법 제15조제1항제2호, 제5호).

[참고문헌]
1. 논문

고형석, “인간대상연구에서 개인정보보호에 관한 연구”, ｢법제｣ 통권 제701호, 2023. 6.

김권호 외 4, “의료기기 임상시험 현황 및 분석”, ｢바이오헬스산업브리프｣ 제439호, 한국보건산업진흥원, 2025. 6.

김은애, “인간대상연구에 있어 동의 관련 규범적 문제: ｢생명윤리 및 안전에 관한 법률｣ 상의 동의 관련 규정을 중심으로”, ｢홍익법학｣ 제15권 제2호, 2014.

김재선, “미국의 보건의료데이터 보호 및 활용을 위한 주요 법적 쟁점 - 미국 HIPAA/HITECH, 21세기 치료법, 공통규칙, 민간 가이드라인을 중심으로 -”, ｢의료법학｣ 제22권 제4호, 대한의료법학회, 2021. 12.

김재선, “의료정보의 연구목적 활용을 위한 법제적 검토”, 의료법학｣ 제25권 제2호, 대한의료법학회, 2024. 6.

김지희, “보건의료데이터 법제의 개선방안 - 가명정보의 활용, 데이터 거버넌스 및 법적 정합성 보완을 중심으로 -”, ｢고려법학｣ 제106호, 고려대학교 법학연구원, 2022. 9.

김현경, “｢개인정보 보호법｣상 “가명처리”와“개인정보 처리정지권” 해석의 합리화 방안 검토 - 서울고등법원 2023나2009236 판결의 내용을 중심으로“, ｢사법｣ 통권 68호, 사법발전재단, 2024.

박태신, “인간대상연구에서 개인정보처리에 대한 고찰”, ｢저스티스｣ 통권 제167호, 한국법학원, 2018. 8.

박태신, “임상시험 대상자 모집방법에 관한 법적·윤리적 검토”, ｢저스티스｣ 통권 제178호, 한국법학원, 2020. 6.

10.

서진석, “탐정업법 입법(안) 현황 및 입법방향의 타당성에 대한 연구:독일 탐정제도의 검토를 바탕으로”, ｢한국치안행정논집｣ 제21권 제1호, 한국치안행정학회, 2024.

11.

양소연, “개인정보 처리정지요구권의 법적 성질과 가명처리 정지요구권 인정 여부 - 서울고등법원 2023. 12. 20. 선고 2023나2009236 판결을 계기로”, ｢인권과 정의｣ 통권 522호, 대한변호사협회, 2024.

12.

유수정/김은애/최경석, “인간대상연구 관련 법적 기준의 문제점과 개선방안: 인간대상연구의 정의, 심의면제 기준 및 동의 획득 기준을 중심으로”, ｢생명윤리정책연구｣ 제15권 제2호, 이화여자대학교 생명의료법연구소, 2022. 3.

13.

이보형, “유전정보 국외이전에 따른 국내 헬스케어산업보안 법제의 취약성 고찰”, ｢韓國産業保安硏究｣第6卷第2號, 한국산업보안연구학회, 2016.

14.

이서형, “생명윤리법상 익명화의 개선방안에 관한 연구”, ｢생명윤리｣ 제20권 제2호, 한국생명윤리학회, 2019. 12.

15.

이원복, “인간대상연구 동의 면제 제도의 개선”, ｢생명, 윤리와 정책｣ 제8권 제1호, (재)국가생명윤리정책원, 2024. 4.

16.

전승재, ”인공지능 시대 개인정보에 관한 통계처리거부권·가명처리거부권의 인정가부 - 서울중앙지법 2022. 11. 17. 2021가합509722 판결에 관하여“, ｢은행법연구｣ 제16권 제1호, 은행법학회, 2023. 5.

17.

최경석, “동의 없이 가명화한 개인정보의 사용은 정당한가?:IRB의 승인도 정보 주체의 동의도 없는, 개인정보의 2차적 연구 사용의 문제”, ｢생명윤리정책연구｣ 제16권 제1호, 이화여자대학교 생명의료법연구소, 2022. 11.

18.

최희/손영화, “인간대상연구에서 서면동의 면제에 관한 고찰”, ｢법과 정책연구｣ 24권 1호, 한국법정책학회 2024. 3.

2. 기타

19.

개인정보보호위원회, 가명정보 처리 가이드라인, 2024. 2.

20.

개인정보보호위원회, 개인정보 처리 통합 안내서, 2025. 7.

21.

국회도서관 의회법률정보포털, “나도 모르는 사이에 내 유전 정보가 해외로?”, World&Law 2025-10호, 2025. 9. 10. https://lnp.nanet.go.kr/foreignlaw/lawNewsletter/lawNewsletterDetailView.do?newsletterSeq=1301(2025. 9. 26. 최종 방문)

22.

보건복지부/개인정보보호위원회, 보건의료데이터 활용 가이드라인(개정안), 2024. 12.

23.

보건복지부/재단법인 국가생명윤리정책원, “생명윤리법 관련 기관 운영지침 기관생명윤리위원회관리 안내”, 2022. 5.

24.

보건복지부/질병관리본부, “생명윤리법 관련 기관 운영지침 관련 기관 운영지침 - 기관생명윤리위원회, 유전자검사기관, 인체유래물은행 -”, 2013. 12.

25.

식품의약품안전처 2025. 3. 28.자 보도자료 “식약처, ’24년 의약품 임상시험 승인 현황 발표- 제약사 임상시험 664건 중 국내 개발 임상시험 305건… 증가 추세”

26.

통계청 마이크로데이터(MDIS) 서비스(사망원인 자료연계 서비스) https://mdis.kostat.go.kr/consign/consignDthRequestList.do?curMenuNo=UI_(2025. 9. 30. 최종방문)