한국산업기술보호협회, 종합병원 등 19개 기관 실태 조사 임상 연구자 보안 인식↓ "보안 계약서·서약서 등 사용해야"
코로나 대유행으로 임상 시험이 급증하고 업체간 경쟁 심화되면서 기밀 침해 및 유출 우려에 대한 목소리가 나오고 있다.
실제 실태조사 결과 임상시험 관계자들이 임상에서 지켜야할 보안 대책 관련 인식이 부족한 만큼 보안서약서 및 비밀준수 계약서, 범죄기록 증명원 확인과 같은 지침 준수가 필요하다는 것이다.
11일 업계에 따르면 한국산업기술보호협회 생명공학 기술보호 TF는 최근 임상시험 과정에서 지켜야할 보안대책을 단계별로 설명한 '임상시험 단계별 보안 가이드라인'을 마련, 배포에 나섰다.
이번 가이드라인은 협회가 대학연구소 및 종합병원 임상연구센터 9곳, 제약기업과 재단, 협회 등 10곳에서 자체 실시한 임상시험정보와 데이터 유통 현황 파악 설문 조사가 발단이 됐다.
실태조사 결과 대형병원 및 바이오-제약 대기업은 높은 보안의식과 자체적인 보안 업무 수행이 가능했지만 대학과 연구소 등 연구기관, 중소벤처기업은 상대적으로 보안에 대한 인식이 부족해 기술 유출의 가능성이 높았다.
협회는 40여명의 바이오 전문가 의견을 수렴해 보안관리 내용을 규정, 전담인력, 보안서약서, 외국인 연구원 관리 교육 부분으로 나눠 보안 가이드라인을 마련했다.
먼저 임상시험 연구자 대상 보안 계약서, 서약서 도입이 제시됐다.
실태 조사에서 다수의 임상시험 연구 기관은 연구자에 비밀 준수 계약서 및 보안 서약서 등을 작성하지 않거나, 작성하더라도 법적 효력이 없는 양식을 사용하고 있었다.
이에 협회는 임상 연구 참여 및 퇴직 등의 과정에서 임상 정보에 대한 비밀 유지 의무(보안서약)와 함께 이에 대한 동의(서명)가 필요하다고 제시했다. 특히 중소벤처 기업 등에서 사용하는 계약서와 보안서약서는 법리적 검토를 받고 사용해야 한다.
비밀준수 계약서 작성이 종종 누락되는 외국인 연구자에 대해서도 보안 강화 조치가 필요하다. 국내외 의료-바이오분야에서 공동사업이 많아지면서 외국인 임상시험 연구자가 증가하고 있지만 적정 관리 방안은 수립돼 있지 않다.
외국인 연구자에 대한 계약서 및 서약서를 한글, 영문으로 작성하고 계약서와 외에 범죄기록 증명원 첨부가 필요하다는 게 협회 측의 제안. 외국인 연구자를 활용하는 연구 책임자는 주기적인 보안교육과 근무 동향 파악이 필요하다.
이외 임상시험 모니터요원 외에 임상 환경, 임상 정보, 임상 연구자 등의 보안 관리를 위한 전문 인력 지정도 개선책으로 제시됐다.
한편 실태조사에서 일반 종이 문서 형태로 수집된 임상시험 정보 관리 부실 문제도 도마에 올랐다.
협회는 "문서형태로 수집된 임상시험정보가 관리 미비 및 관리자 부재로 인가되지 않은 제3자에게 임의 열람 및 노출, 복사 등이 가능한 형편"이라며 "출력된 임상 정보 문서는 잠금기능이 있는 물리적 보관장치에 별도 저장하고, 해당 문서를 반출, 반입할 때 출납 내용을 관리대장에 기록해야 한다"고 제안했다.
임상시험 결과를 출력해 사용하는 경우 프린트 출력물의 수량을 제한하거나 출력 시 출력 날짜, 출력자 정보를 로그 기록으로 남기는 방향으로 프린트 및 복합기에 대한 보안조치를 고려할 수 있다.
연구자가 개인적인 관리시스템을 사용해 임상 정보를 수집하는 행위도 제한해야 한다.
임상기관의 서버 부족, 관리 환경 미비 등의 특이 사항을 제외하고는 연구자 개인적으로 구축한 별도의 임상시험 관리시스템을 통한 정보 수집은 제한하고 연구자들이 임상을 공유할 수 있는 별도의 경우 플랫폼을 구축해야 한다.
수집된 임상정보를 비식별 처리하지 않는 점도 문제점으로 지적됐다. 생명윤리 및 안전에 관한 법률은 수집한 연구대상자의 개인 정보를 제4자에게 제공하는 경우뿐 아니라 저장 및 활용 할 때도 비식별 처리를 규정하고 있다.
비식별 처리 이후에도 임상 정보에 대한 보안성 검증 과정을 진행해야 한다는 것이 협회 측 판단.
임상시험 관리시스템에 비인가 연구자의 임의 접근이 가능하다는 점도 문제점으로 지적된다. 대다수 기관이 하나의 임상 시스템을 사용하기 때문에 여타 임상 진행 연구자나 기관의 총괄 관리자가 임의 접근이 가능하다.
협회는 "임상 수집 정보들을 수집 목적과 연구 내용에 따라 저장하고 같은 방식으로 인가된 연구자만 접근할 수 있도록 권한을 부여해야 한다"며 "연구자 계정 생성 시 계정 뒤에 참여 연구명을 붙이는 방법을 고려할 수 있다"고 제시했다.
이에 따르면 '연구자_연구명1'과 같은 아이디를 부여해 계정마다 고유의 권한을 설정하는 방법을 고려할 수 있다.
협회는 임상시험 관리 시스템에 대한 접속IP, 시간 기록 및 정보 읽기, 수정, 삭제, 다운로드 등 활동 내역은 주기적으로 점검하고 접속기록은 최소 6개월 이상 보관하라고 제안했다. 특히 임상 연구자의 업무가 변경되거나 퇴사할 경우 접근권한을 신속히 차단해야 한다.
이외 가이드라인은 ▲이메일 외부 전송 시 최종 결재권자 승인 후 전송 ▲상용 메일 사용 금지 ▲임상시험 종료 후 개인컴퓨터에 남겨진 자료 완전 삭제 ▲사이버공격에 대비한 인터넷 망-업무 망 분리 ▲임상 자료의 주기적인 백업 등을 제시했다.