임상 데이터 비식별화를 위한 유일성·영향도 기반 준식별자 선정 체계

초록

본 논문은 임상 전자의무기록(EMR)에서 직접식별자(DID)를 제외하고, 재식별 위험을 정량화하기 위해 ‘유일성’과 ‘영향도’를 계산한 뒤, 사용자·기관별 위험 등급을 적용해 최종 준식별자(QI)를 객관적으로 선정하는 절차를 제시한다. 20개의 데이터 테이블을 대상으로 1차 QI를 분류하고, 2차 QI를 유일성·영향도 점수 합산으로 선정한 뒤, 기관·사용자 위험 점수와 비교해 18~28개의 최종 QI를 도출하였다.

상세 분석

이 연구는 임상 데이터 비식별화 과정에서 가장 논쟁이 되는 ‘준식별자(QI)’ 선택을 체계화하려는 시도로, 기존 HIPAA 가이드라인이 제공하는 정성적 분류를 정량적 평가와 결합한다는 점에서 의의가 크다. 먼저 20개의 임상 개인정보 데이터베이스 테이블을 DID, QI, 민감속성(SA), 비민감(NSA) 네 범주로 분류하고, QI 후보를 1차적으로 추출한다. 여기서 핵심은 ‘유일성(uniqueness)’과 ‘영향도(influence)’라는 두 가지 메트릭을 도입한 점이다. 유일성은 각 컬럼의 고유값 비율을 계산해, 고유값이 많을수록 재식별 위험이 높다고 판단한다. 영향도는 특정 컬럼을 제외했을 때 전체 데이터 집합의 동등 클래스(equivalence class) 수가 얼마나 감소하는지를 측정함으로써, 해당 컬럼이 다른 컬럼과 결합했을 때 재식별 위험을 증폭시키는 정도를 정량화한다. 두 메트릭을 단순 합산해 2차 QI 점수를 산출하고, 이 점수가 높은 컬럼을 재식별 위험이 큰 QI로 선정한다.

다음 단계에서는 데이터 이용 기관과 사용자의 특성을 반영한 위험 등급을 부여한다. 공공기관, 보험기관, 병원 등은 데이터 접근·연계 가능성이 높아 ‘높음’ 등급(점수 10)으로, 보건복지부 등은 ‘중간’(점수 5), 기타는 ‘낮음’(점수 1)으로 구분한다. 사용자 측면에서는 재식별 의도와 능력을 네 가지 질문(예: 데이터 재식별 시 개인에게 피해를 줄 가능성)으로 평가하고, ‘예’ 답변당 1점씩 부여해 최대 4점까지 점수를 매긴다. 또한 개인정보 보호 수준을 여섯 가지 항목(보안 서비스 계약, 교육 등)으로 평가해 ‘아니오’ 답변을 누적해 점수를 산출한다(최대 6점).

이러한 점수들을 종합해 사전에 정의한 임계값과 비교함으로써, 각 사용자·기관 조합에 맞는 최종 QI 집합을 결정한다. 결과적으로, 가정된 사용자 등급에 따라 최소 18개, 최대 28개의 컬럼이 최종 QI로 선정되었다. 이 과정은 데이터 유틸리티와 재식별 위험 사이의 트레이드오프를 명시적으로 보여주며, 연구자가 비식별화 전 단계에서 객관적인 체크리스트를 활용할 수 있게 한다.

하지만 몇 가지 한계도 존재한다. 첫째, 유일성·영향도 계산은 컬럼 단위의 통계에 의존하므로, 복합적인 다변량 관계를 완전히 포착하지 못할 수 있다. 둘째, 위험 점수 부여 기준이 전문가 의견에 기반한 주관적 가중치이므로, 다른 기관이나 국가에서 적용하려면 재조정이 필요하다. 셋째, 본 연구는 단일 기관(국립암센터)의 EMR 데이터를 대상으로 했기 때문에, 데이터 구조가 다른 병원이나 국가별 레지스트리에는 바로 적용하기 어려울 수 있다. 그럼에도 불구하고, 정량적 메트릭과 정책 기반 위험 등급을 결합한 이 프레임워크는 기존의 ‘전문가 직관’에 의존하던 QI 선정 방식을 보완하고, 재식별 위험을 투명하게 관리하려는 실무자와 정책 입안자에게 유용한 도구가 될 것이다.