시민단체, 정보 유출 통한 의사-환자 간 신뢰 붕괴 위험 방지 위해 관련법 유지 주장
의료계·산업계, 의료 빅데이터 활용 저해하는 법률 규제-모호성 개선 필요성 제기
[의학신문·일간보사=이재원 기자] 정밀의료 병원정보시스템 등 의료 빅데이터 기반의 연구가 정부 주도하에 진행되는 가운데, 성공적인 의료 빅데이터 구축 및 활용을 위해서는 개인정보보호법 개정 등 규제 완화와 함께 데이터 활용에 있어 모호한 기준의 명시가 선결되어야 한다는 지적이 의료계에서 제기되고 있다.
반면 시민단체는 개인정보보호법은 악용될 가능성이 높고 민감한 의료 정보의 유출을 막는 ‘최소한의 안전장치’라며 반대하고 나서 진통이 예상된다.
“개인정보보호법, 의료 정보 유출·악용 막는 안전장치”
참여연대는 지난달 12일 개인정보보호법 개정에 반대하는 입법의견서를 발표했다. 현재 국회 행정안전위원회에는 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보 이용 및 보호에 관한 법률 등 개인정보체계 관련 4개의 개정법률안이 지난해 11월 15일 각각 발의되어 논의 중에 있다.
참여연대는 “개정안들은 공통적으로 개인정보에 바탕한 데이터를 정보주체의 동의없이 기업들이 활용할 수 있도록 정보주체 관리통제권을 제한하거나 아예 없애려는 내용”이라면서 “개인정보체계의 근간을 바꾸는 전면 개정임에도 의원발의 형태로 발의해 행정절차법상 입법예고와 의견수렴 절차를 생략한 절차적 문제와, 정보주체의 동의없는 개인정보의 활용을 확대하기 위해 정보주체의 관리통제권을 침해하는 등 개정안의 내용상 문제가 있다”고 지적했다.
보건의료 빅데이터 사업에 대한 회의적 시선도 이어졌다. 연구공동체 건강과대안의 이상윤 책임연구위원은 참여연대의 ‘월간복지동향을’ 통해 “개인의 프라이버시 침해가 발생할 경우 의사-환자 관계의 신뢰 붕괴로 제대로 된 진료가 이루어질 수 없을 것”이라면서 “의료·건강 정보의 보안과 보호가 중요한 까닭은 이러한 정보가 유출되었을 때 그 피해는 막대하고 돌이킬 수 없기 때문”이라고 밝혔다.
이어 그는 “이전에는 의사와 병원만 주의하면 되었으나, 이제는 병원 전자의무기록 프로그램을 제공하는 프로그램 업체, 병원 의무기록 관리를 담당하는 외주업체, 약국 처방전 관리 프로그램을 제공하는 프로그램 업체 등 환자 의료정보를 다루는 주체가 너무 많아졌다”면서 “이들 모두에게 동일한 수준의 정보 보안과 보호 수준을 유지하도록 규제하기가 쉽지 않다. 그럼에도 정부 차원에서는 개인건강정보 보호보다는 오히려 상업적 활용 및 규제 완화에 더 큰 관심이 있어 보이는 것 같다”고 지적했다.
개인정보보호법 등 개정·법률 명확화에 목마른 의료계·산업계
국내 의료계의 A학회는 최근 서구권 학회의 공동 연구 제안에도 난색을 표했다. 공동 연구를 위해서는 서로 간 의료데이터의 공유가 필요했는데, 개인 정보 활용 시 정보 위탁자 개개인의 동의를 구하지 않았을 경우 개인정보보호법과 정보통신망법 제25조 등에 위배될 소지가 있기 때문이다.
우리나라와 달리 유럽과 미국,일본 등 해외는 국내와 달리 개인정보 위탁에 대한 동의가 의무화가 아니다. 특히 유럽연합의 GDPR(개인정보보호 일반규칙)은 개인정보처리자가 가명처리정보를 활용할 수 있도록 완화된 내용을 규정하고 있다. 이에 따라 개인정보처리자는 최초 정보 수집 목적과 다른 추가 목적 또는 공익,연구를 위한 목적에 따라 개인정보에 해당하는 가명처리정보를 빅데이터 분석에 이용 가능하다. 반면 우리나라의 법은 개인정보 및 민감정보의 범위가 모호하며 수집한 빅데이터를 의료서비스를 위해 다시 민간에 정보를 제공할 때 사전 동의를 받아야하는 지에 대한 법률이 부재한 문제점이 있다. 즉, 섣불리 판단하기 위험한 소지가 있는 것이다.
개인정보 활용 동의 규제 완화와 명확한 지침을 원하는 것은 학회들뿐만이 아니다. 정부는 빅데이터 기반의 정밀의료 병원정보시스템 사업을(P-HIS) 고려대의 주관 하에 추진하고 있다. 정밀의료 병원정보시스템은 국내 병원들에서 제각기 사용 중인 코드와 각종 용어를 표준화하는 작업을 거쳐 클라우드 기반 빅데이터를 구축해 AI 응용 및 환자 맞춤 진료에 활용하는 사업이다.
이상헌 P-HIS 사업단장(고려대 안암병원 재활의학과 교수)은 과거 P-HIS 관련 법 제도 정책 체계 조사 연구를 통해 “공공부문에서 수집한 국민 의료정보로 구축한 빅데이터를 분석한 후, 정밀의료서비스를 위하여 다시 민간부문에 정보를 제공할 때 정보주체의 사전 동의를 받아야 하는지에 대한 법률이 부재하다”며 “또한 빅데이터 구축을 위한 의료데이터 수집, 빅데이터 분석, 활용단계에 있어서 각 단계별 정보주체의 사전동의 필요 여부도 불분명하다”고 밝힌 바 있다.
이 밖에도 개인정보가 포함된 공공정보의 비공개 범위가 모호하며, 의료법상 진료기록부 등은 10년 보관 후 파기해야 하지만 빅데이터 활용을 위해서는 지속적인 보관이 필요하다는 애로 사항이 있다.
아울러 최근 헬스케어 사업에 뛰어든 네이버와 카카오 등 IT업계에게도 여전히 개인정보보호법은 넘어야 할 벽이면서 풀어야 할 실타래다. 카카오는 지난해 서울 아산병원과 협업을 통해 아산카카오메디컬데이터를 설립했다. 이에 맞서 네이버도 올해 3월 대웅제약과 빅데이터 합작 벤처인 ‘다나아데이터’를 설립했다.
한 IT업계 관계자는 “세계적인 수준의 국내 IT업체들이 헬스케어 사업에 뛰어들면서 미래 먹거리 확보 가능성이 높아진 상황”이라면서 “현재 정부의 개인정보보호법 관련 규제 완화가 미진한 가운데 적극적인 사업 추진에 걸림돌이 되지 않을까 우려스럽다”고 밝혔다