IRB 재식별 프로토콜 요구 사항
IRB는 이제 연구자들이 비식별화 방법뿐만 아니라 재식별 프로토콜을 문서화할 것을 일반적으로 요구합니다. 문서는 두 가지를 동시에 증명해야 합니다: 비식별화된 데이터셋이 무단 당사자에 의해 재식별될 수 없다는 것과, 정의된 조건 하에서 허가된 재식별이 가능하다는 것입니다.
이 이중 요구 사항은 임상적으로 실행 가능한 결과가 연구 중간에 나타났지만 영구적인 익명화로 인해 이를 실행할 수 없었던 종단적 연구의 교훈을 반영합니다. GDPR 집행 조치는 2024년에 56% 증가했습니다 (DLA Piper 연례 보고서 2025), 그리고 EU 연구 면제는 제89조에 따라 연구 데이터에 대해 영구적인 익명화가 아닌 가명화를 요구합니다 — 연구는 통제된 조건 하에서 가역성을 요구한다는 것을 인식하고 있습니다.
2024년 NEJM AI 논문은 LLM 기반 비식별화의 이 문제를 명시적으로 지적합니다: "비식별화된 임상 노트는 그 임상 유용성을 확인하는 상관관계를 통해 신원에 통계적으로 연결되어 있습니다." 이 논문의 권장 사항: 영구적인 익명화가 아니라 문서화된 키 보관과 함께 가명화를 통해 종단적 연구에 필요한 재연락 기능을 보존하는 것입니다.
통제된 재식별 아키텍처
결정론적 AES-256-GCM 암호화는 일관된 토큰을 생성합니다: 동일한 환자 식별자는 항상 동일한 키를 사용하여 동일한 토큰으로 암호화됩니다. 기초 평가에서 "Patient_001"은 "[ENC:f8a2c...]"로 암호화됩니다 — 동일한 토큰이 3개월 후속, 12개월 후속 및 최종 분석에 나타납니다. 연구팀은 실제 신원에 접근하지 않고도 암호화된 토큰을 안정적인 식별자로 사용하여 환자의 종단적 데이터를 추적할 수 있습니다.
키 보관 arrangement는 EDPB의 키 분리 요구 사항을 충족합니다: 연구팀은 암호화된 데이터셋을 보유합니다. 지정된 데이터 관리자 는 별도의 키 관리 시스템에서 복호화 키를 보유합니다. 어느 쪽도 다른 쪽 없이 참가자를 재식별할 수 없습니다 — 연구팀은 키 없이는 복호화할 수 없고, 키 관리자는 데이터 없이는 어떤 기록이 어떤 참가자에게 속하는지 식별할 수 없습니다.
재식별이 허가된 경우(윤리 위원회 승인, 경고 의무 발견, 규제 요구 사항), 키 관리자는 특정 식별된 기록에 키를 적용합니다. 각 복호화 이벤트는 기록됩니다: 어떤 기록, 언제, 누구에 의해, 어떤 승인 하에. 감사 로그는 문서화된 보호 조치에 대한 GDPR 제89조 요구 사항 준수를 입증합니다.
실용적 구현
5,000명의 환자 집단을 가진 유럽의 종양학 연구 센터의 경우: 연구 데이터셋은 세 개국의 협력 기관에 배포되기 전에 가역적 암호화를 사용하여 익명화됩니다. 각 기관의 연구팀은 암호화된 환자 토큰을 사용하여 종단적 데이터를 분석할 수 있습니다. 키는 조정 기관의 데이터 보호 책임자가 보유합니다.
중간 연구 바이오마커 분석에서 47명의 참가자가 위험 마커가 상승한 것으로 확인되면, 윤리 위원회의 승인이 공식 재식별 요청을 촉발합니다. 데이터 보호 책임자는 47개의 특정 기록을 복호화합니다. 조정 기관의 임상 팀은 47명의 실제 환자에게 연락합니다. 나머지 4,953명의 참가자의 신원은 세 개의 협력 기관 전반에 걸쳐 보호됩니다.
출처: