병원 데이터를 활용한 연구를 준비하다 보면 처음에는 IRB만 통과하면 되는 줄 알기 쉽습니다. 연구계획서도 작성했고, 후향적 의무기록 연구라서 동의면제도 가능할 것 같고, 필요한 변수도 어느 정도 정리했으니 이제 CDW나 빅데이터센터에 데이터를 요청하면 될 것처럼 보입니다. 그런데 실제 병원 연구 행정에서는 여기서 한 단계가 더 등장하는 경우가 많습니다. 바로 DRB, 즉 데이터심의위원회입니다. IRB가 사람을 대상으로 하는 연구의 윤리성과 연구대상자 보호를 중심으로 본다면, DRB는 병원이 보유한 보건의료데이터를 어떤 목적으로, 어떤 범위에서, 어떤 방식으로 활용하고 반출할 수 있는지를 보는 절차에 가깝습니다. 특히 의료 AI 연구, 다기관 공동연구, 외부 기업과의 협업, 병원 밖 분석환경으로의 데이터 이동, 가명정보 제공이 포함되면 단순히 연구계획서만으로는 부족할 수 있습니다. 그래서 초보 연구자 입장에서는 “내 연구는 IRB만 필요한가, DRB도 필요한가”를 먼저 구분해야 합니다. 이 구분을 못하면 연구 시작일이 밀리고, 변수 정의서를 다시 쓰고, 반출 가능 여부를 뒤늦게 확인하느라 일정 전체가 흔들릴 수 있습니다. 처음부터 DRB를 어렵게 생각하기보다, 병원 데이터의 안전한 사용 허가를 받는 절차라고 이해하면 훨씬 쉽습니다.
DRB가 필요한 대표 상황
DRB가 필요한지 판단할 때 핵심은 연구자가 사용하는 자료가 단순한 설문 응답인지, 이미 공개된 통계자료인지, 아니면 병원이 보유한 개인 단위의 진료정보인지입니다. 예를 들어 논문에 실린 평균값만 인용하거나 공개된 건강통계 자료를 분석하는 경우라면 병원 내부 데이터 심의와는 거리가 있을 수 있습니다. 반대로 EMR, 검사결과, 처방, 수술기록, 영상판독문, 간호기록, 응급실 체류시간, PRO 설문, 병리결과처럼 개인 진료 과정에서 생성된 자료를 연구용으로 추출한다면 DRB 검토 대상이 될 가능성이 높아집니다. 여기에 데이터가 병원 밖으로 나가는지, 외부 연구자나 기업이 접근하는지, 여러 기관의 데이터를 결합하는지, 원자료가 아니라 분석 결과만 반출하는지에 따라 절차는 더 달라집니다. 요즘 의료 AI 연구에서는 단순 통계분석보다 모델 학습용 데이터셋 구축이 많아졌기 때문에 데이터 범위가 넓고, 비정형 데이터가 포함되고, 재식별 위험을 따져야 하는 경우도 늘고 있습니다. 특히 자유기재 의무기록, 영상, 음성, 수술동영상처럼 구조화되지 않은 자료는 변수명 몇 개로 설명하기 어렵기 때문에 데이터 항목, 가명처리 방식, 접근 권한, 보관 기간, 폐기 계획까지 같이 설명해야 합니다. DRB는 연구를 막기 위한 절차라기보다, 연구자가 필요한 데이터와 병원이 제공 가능한 데이터 사이의 안전한 접점을 찾는 과정에 가깝습니다.
IRB와 DRB를 헷갈리지 않는 법
IRB와 DRB는 이름이 비슷해서 처음에는 같은 심의처럼 느껴지지만 보는 관점이 다릅니다. IRB는 연구대상자의 권리, 안전, 복지, 동의 절차, 동의면제 가능성, 연구방법의 윤리성을 검토합니다. 반면 DRB는 데이터가 연구 목적에 맞게 최소한으로 필요한지, 가명처리가 적절한지, 외부 반출이나 결합 과정에서 재식별 위험은 없는지, 연구 종료 후 데이터가 어떻게 관리되는지를 봅니다. 예를 들어 같은 후향적 연구라도 “이 환자군을 분석하는 것이 윤리적으로 가능한가”는 IRB의 질문에 가깝고, “이 환자군의 어떤 항목을 어느 수준으로 가명처리해서 누가 접근할 것인가”는 DRB의 질문에 가깝습니다. 그래서 연구자가 준비해야 하는 문서도 조금 다릅니다. IRB에는 연구계획서, 증례기록서, 동의면제 사유, 연구대상자 선정 기준이 중요하다면, DRB에는 데이터 항목표, 추출 조건, 가명처리 계획, 반출 여부, 분석환경, 공동연구기관, 보안관리 계획이 중요해집니다. 기관에 따라 IRB 이후 DRB를 진행하기도 하고, DRB 사전검토 후 IRB를 진행하기도 하며, 최근에는 두 절차를 연계하거나 통합적으로 운영하려는 흐름도 있습니다. 그래서 정답은 “항상 이 순서다”가 아니라 “우리 기관의 절차를 먼저 확인하되, 연구계획 단계에서 두 심의의 질문을 모두 준비한다”입니다.
초보자가 미리 준비하면 좋은 자료
DRB에서 자주 막히는 부분은 대단한 법률 문장이 아니라 아주 실무적인 자료입니다. 첫 번째는 변수 정의서입니다. 연구자가 “혈액검사 결과가 필요하다”고만 쓰면 심의자나 데이터 담당자는 어떤 검사인지, 어느 시점의 값인지, 입원 전인지 수술 후인지, 최솟값인지 최댓값인지 알기 어렵습니다. 그래서 변수명, 설명, 추출 기준일, 기간, 단위, 포함 여부를 표로 정리해야 합니다. 두 번째는 대상자 정의입니다. 특정 질환명만으로는 부족할 수 있고, 진단코드, 처방, 검사, 수술코드, 내원일, 입원일 같은 조건이 필요할 수 있습니다. 세 번째는 데이터 흐름도입니다. 데이터가 병원 내부에서 추출되어 원내 분석환경에서만 쓰이는지, 가명처리 후 외부 공동연구기관으로 전달되는지, 분석 결과만 반출되는지에 따라 위험도가 달라집니다. 네 번째는 보관과 폐기 계획입니다. 연구 종료 후 데이터를 계속 보관할 것인지, 추가 연구에 사용할 것인지, 어느 저장소에서 누가 관리할 것인지가 중요합니다. 다섯 번째는 최소수집 원칙입니다. “혹시 모르니 전부 주세요”라는 방식은 거의 통하지 않습니다. 연구 질문에 필요한 항목만 요청하고, 왜 필요한지 설명할수록 심의가 수월해집니다. DRB는 어려운 약어가 아니라 데이터 사용 설명서를 논리적으로 쓰는 과정이라고 보면 됩니다.
최신 흐름을 반영한 개인적인 추천 팁
최근 보건의료데이터 연구는 단순히 병원 안에서 논문 한 편 쓰는 수준을 넘어가고 있습니다. 다기관 연구, 의료 AI 모델 학습, 외부 기관과의 공동분석, 공공 데이터와 병원 데이터의 결합, 사망자 데이터 활용 논의까지 범위가 넓어지고 있습니다. 그만큼 IRB와 DRB를 따로따로 보는 방식보다 연구 시작 전에 데이터 활용 가능성, 심의 순서, 반출 가능 범위, 가명처리 수준을 함께 설계하는 것이 중요해졌습니다. 초보 연구자에게 가장 현실적인 조언은 연구계획서를 쓰기 전에 “내 연구에 필요한 데이터가 무엇인지”를 한 문장으로 설명해보는 것입니다. 그 다음 그 데이터가 개인 단위인지, 병원 내부 데이터인지, 외부로 나가는지, 결합되는지, AI 학습에 쓰이는지 체크하면 DRB 필요성을 어느 정도 가늠할 수 있습니다. 병원 연구에서 행정 절차는 귀찮은 장벽처럼 보이지만, 제대로 준비하면 연구의 신뢰도를 높이는 장치가 됩니다. 특히 의료데이터 연구를 계속할 사람이라면 DRB를 피해야 할 절차가 아니라, 연구자가 데이터의 책임 있는 사용을 설명하는 언어로 익혀두는 것이 좋습니다.
※ 본 글은 보건의료데이터 연구를 처음 준비하는 연구자를 위한 일반적인 실무 정리이며, 기관별 IRB·DRB 세부 절차는 소속기관 기준을 확인해야 합니다.