종단적 연구 문제
종단적 임상 연구는 근본적인 긴장 상태에서 운영됩니다: 참가자의 신원은 IRB 요구 사항을 충족하고 참가자의 신뢰를 유지하기 위해 연구 기간 동안 보호되어야 하지만, 연구 결과 예상치 못한 발견을 드러낼 경우 동일한 참가자에게 임상 추적을 위해 연락해야 할 수도 있습니다.
5,000명의 환자를 대상으로 하는 종양학 연구 센터가 중간 연구에서 47명의 참가자가 원래 연구 종료점으로 식별되지 않은 공격적인 암 변종에 대한 위험이 증가했음을 나타내는 마커를 보인다는 사실을 발견합니다. 윤리 위원회는 이 발견을 검토하고 경고 의무 원칙에 따라 재접촉을 승인합니다 — 잠재적인 의료 이익이 영향을 받은 참가자를 식별하고 연락하는 것을 정당화합니다.
만약 원래의 비식별화가 영구적이었다면 — 환자 신원이 데이터 관리자에 의해 유지되는 매핑 테이블 없이 무작위 코드로 대체되었다면 — 연구 팀은 47명의 영향을 받은 참가자와 일치하는 실제 환자를 식별할 수 없습니다. 연구 결과는 실행될 수 없습니다. 긴급한 임상 치료가 필요할 수 있는 환자는 치료를 받을 수 없습니다. 개인 정보 보호와 임상적으로 실행 가능한 발견의 가능성 간의 균형을 맞춘 연구의 윤리적 프레임워크는 가장 중요한 사용 사례에서 실패했습니다.
GDPR과 주요 분리 요구 사항
EDPB 가이드라인 05/2022는 가명화에 대한 이 긴장을 인식하고 이를 해결하기 위한 프레임워크를 제공합니다. 가명화는 필요할 때 재식별할 수 있는 능력을 보존하는 데이터 보호 조치로 인식됩니다.
요구 사항은 주요 분리입니다: 복호화 키는 가명화된 데이터와 분리되어 보관되어야 하며, 무단 접근을 방지하는 기술적 및 조직적 통제 하에 있어야 합니다. 연구 팀은 비식별화된 데이터 세트와 복호화 키에 동시에 접근할 수 없습니다 — 통제는 재식별이 데이터 세트의 단순한 소유가 아닌 승인된 프로세스를 요구하도록 보장해야 합니다.
IAPP의 2024년 조사에 따르면 비식별화 도구의 23%만이 EDPB의 주요 분리 요구 사항을 충족하는 복호화 기능을 유지하는 가명화된 데이터 세트를 생성할 수 있는 진정한 가역성을 제공합니다. 대부분의 도구는 영구적인 대체 또는 마스킹을 제공하여 경고 의무 시나리오에서 요구하는 승인된 재식별을 방지합니다.
가역적 암호화 아키텍처
IRB 개인 정보 보호 요구 사항과 경고 의무 재식별 요구를 모두 충족하는 임상 연구 아키텍처:
연구 데이터 세트는 AES-256-GCM을 사용하여 가역적 암호화로 처리되어 환자 식별자로부터 결정론적 암호화 토큰을 생성합니다. 각 환자의 식별자는 모든 연구 문서에서 일관되게 표현되어 신원을 보호하면서 참조 무결성을 유지합니다. 복호화 키는 지정된 데이터 관리자에 의해 보관되며, 비식별화된 데이터 세트와 분리되어 접근 통제가 필요합니다. 모든 복호화 작업에 대한 문서화된 승인이 요구됩니다.
연구 팀은 비식별화된 데이터 세트만으로 작업하며 — 일상 분석을 위해 복호화 키에 접근할 수 없습니다. 47명의 영향을 받은 참가자가 통계 분석에서 식별되면, 윤리 위원회의 승인이 승인된 재식별 프로세스를 촉발합니다. 데이터 관리자는 특정 47개의 기록에 복호화 키를 적용합니다. 연구 팀은 이 47명의 참가자에 대한 실제 환자 신원만을 받습니다. 나머지 4,953명의 참가자 신원은 계속 보호됩니다.
출처: