법령의 보호대상이 되는 개인건강정보는 직·간접적으로 취득된 개인의 모든 과거·현재·미래의 신체적·정신적 건강상태에 관한 정보로서 특정 개인을 식별할 수 있는(해당 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함) 일체의 모든 정보를 의미한다. 개인건강정보는 개인의 가장 내밀한 사적영역에 속하는 민감정보이기 때문에, 이러한 개인건강정보의 보호문제에 있어서는 정보주체에 의한 사전적 통제권이 일반 개인정보의 경우보다 더 강화된 형태로 보장되어야 한다. 따라서 개인건강정보 보호문제에 관한 논의는 개인건강정보 보호와 관련된 헌법상 기본권인 개인건강정보 자기결정권의 실효적 보장이라는 관점에서 접근할 필요가 있다.
개인건강정보 자기결정권은 본인에 관한 건강정보의 흐름을 스스로 통제 및 관리할 수 있는 권리로 정의될 수 있다. 이러한 개인건강정보 자기결정권은 우리나라 헌법상 기본권인 개인정보자기결정권의 특수형태의 기본권으로서, 이에 대한 구체적인 내용으로는 정보동의권, 정보열람청구권, 정보정정청구권, 정보삭제·차단청구권, 정보이동권, 프로파일링에 대한 거부권이 있다. 그러나 개인건강정보 자기결정권은 어떠한 사유에도 제한될 수 없는 절대적인 기본권이 아니며, 일정한 공익적 목적을 위해 필요한 경우 제한될 수 있는 기본권이다. 다만, 개인건강정보 자기결정권의 제한이 이루어지기 위해서는 반드시 그 제한에 관한 법적 근거가 있어야 할 뿐만 아니라 그 근거조항을 통해 적용대상자가 그 제한의 내용을 명확하게 인식할 수 있어야 하며, 특히 개인건강정보의 보호를 위한 제한의 특수조건이라 할 수 있는 규범명확성의 원칙을 준수해야 한다. 그리고 그 법적 근거는 목적의 정당성, 방법의 적절성, 피해의 최소성, 법익의 균형성의 요건들을 모두 충족해야 하며, 특히 개인건강정보 보호에 있어서 과잉금지원칙은 투명성의 원칙, 수집제한의 원칙, 목적구속의 원칙, 정확성·안전확보의 원칙, 정보분리의 원칙, 익명성의 원칙 등으로 구체화 될 수 있다.
이러한 개인건강정보 자기결정권을 실효적으로 보장하기 위해서는 개인건강정보 보호문제를 규율하는 특별법으로서 가칭 개인건강정보보호법(안)을 제정할 필요가 있다. 먼저, 개인건강정보보호법(안)에서는 개인건강정보의 개념 및 포섭범위를 정의조항을 통해 명확하게 설정할 필요가 있다. 그리고 법안에 투명성의 원칙을 개인건강정보 보호의 원칙으로서 명문화하고, 정보정정청구권 등의 개선과 정보이동권, 프로파일링에 대한 거부권, 자동화된 의사결정에 대한 권리 등 정보주체의 새로운 권리의 도입, 개인건강정보 보호를 위한 영장주의의 적용 등을 통해 개인건강정보에 대한 정보주체의 권리의 보장을 실질화해야 할 것이다. 또한 타 법익과의 조화를 위해 법안에서는 기존의 명시적 동의방식의 틀을 그대로 유지하되 명시적 동의 이외의 정당화 사유를 관련 조항에 별도로 마련하는 것이 필요하며, EU GDPR과 같이 익명정보와 가명정보, 익명처리기술과 가명처리기술의 개념을 각각 구분하여 이에 대한 내용을 규정할 필요가 있다.
마지막으로 개인건강정보처리자의 책임성을 강화하기 위해서는 프라이버시 중심 디자인의 개념을 법안에 수용하여 개인건강정보처리자가 의료 관련 정보기술이나 관련 시스템의 설계단계에서부터 개인의 프라이버시를 보호하는 조치를 의무적으로 마련하도록 하고, 개인건강정보에 대한 영향평가제도를 개선하여 개인건강정보에 대한 영향평가를 의무적으로 실시하도록 하고, 이를 통해 의료정보시스템의 운영에 따른 잠재적 위험을 평가하고 그러한 위험성을 줄일 수 있는지에 대한 여부를 사전에 미리 검토하고 반영하도록 할 필요가 있다.