복지부, 사회적합의 없이 섣부른 빅데이터 활용 추진 안해
국내 의료정보 산업 경쟁력 강화를 위한 대안으로 별도의 의료정보 비식별 조치 가이드라인 제정 및 비식별 의료정보의 활용을 위한 구체적인 가이드라인 필요성이 제기됐다.
12월4일 더불어민주당 전혜숙 의원(국회 보건복지위원회) 주최로 열린 ‘4차산업혁명 시대 의료정보의 활용과 보호 개선방안’ 정책토론회에서 최인영 가톨릭대학교 의료정보학과 교수는 ‘4차 혁명 시대의 의료정보 보호와 활용 개선 방향’을 통해 이같이 주장했다.
그 이유는 개인정보보호법과 정보통신망법, 생명윤리 및 안전에 관한 법률에서 개인정보와 의료정보를 구분하기가 모호해 보건의료정보 빅데이터를 활용하기가 어렵기 때문이다.
이를 위해 최 교수는 미국 HIPAA Privacy Rule 국내 도입을 제안했다.
HIPAA는 의료정보 사용 기관이 개인건강정보(Personal Health Information, PHI)를 무단으로 공개, 사용, 접근하는 것을 방지하기 위해 개인정보의 범위, 취급방법, 사용절차와 방법론에 대해 상세하게 기술하고 있으며 보건의료 연구를 수행하기 위해 익명화되어야 할 정보들에 대해 규정하고 있는 법이다.
이에 따라 최 교수는 의료정보 가운데 식별이 가능한 정보를 HIPAA PHI 수준으로 정의하고 나머지 의료정보는 개인 정보가 아닌 것으로 정의할 것을 제안했다.
또 의료정보의 비식별화와 관련해서는 식별자에 임의대체키를 사용하거나 삭제하는 가명화 처리를 통해 정보 관리를 위한 기술적·관리적 조치를 강화하면 새로운 임상 가이드라인의 개발에 활용해도 개인 식별 가능성이 낮다고 평가했다. 그러면서 의료 정보의 임상 연구 활용을 위한 비식별화 조치를 가명화 조치로 변경할 것도 주장했다.
특히 HIPAA에서 비식별화(익명화)된 의료정보는 IRB 또는 정보보호위원회의 허가를 받은 경우에만 정보주체의 동의 없이 개인정보의 목적 외의 용도로 이용이 허용될 수 있다며 의료정보의 익명화를 위해 현재의 비식별화 조치와는 별도의 비식별화 및 비식별 의료정보 보호 장치에 대한 가이드라인을 구축하는 방향으로 개선이 필요하다고 밝혔다.
HIPAA를 기본으로 한 의료정보보호법 제정 방향도 제시했다.
최 교수는 “의료 정보에 있어 개인식별의료정보의 정의는 HIPAA의 PHI 정의를 따르고 개인식별의료정보의 비식별화 절차는 HIPAA의 조항을 따르면 될 것”이라며 “개인식별의료정보의 비식별화 절차 및 적정성은 병원의 의료정보위원회(가칭) 또는 연구윤리심의위원회(IRB)에서 심의하는 방향으로 제정될 필요가 있다”고 말했다.
문제가 될 수 있는 위원회 심의의 공정성과 객관성 확보를 위한 보호 조치로는 외부전문가 과반 내지 동수로 참가하는 방안과 내부의 의료보안 전문가가 반드시 참가해 심의하고 국가에서는 정기적으로 감사하는 방안을 제시했다.
아울러 비식별화 된 의료정보에 대해서는 위원회에서 승인을 받은 경우 개별동의 없이 사용이 가능하게 하고 사용 목적을 보건의료 연구용으로 만 한정할 것을 개진했다.
또 보건의료 연구용으로만 목적을 제한한 비식별화 된 의료정보를 병원에서 레지스트리로 생성해 공중보건, 보건의료 연구용 목적으로 한정할 뿐만 아니라 기관 간 사용계약을 체결할 경우 타기관(병원 및 국내기업)과의 공유를 허용하는 것도 제안했다.
반면 이날 참석한 토론자들은 대체로 보건의료 빅데이터 활용에 대해서는 공감은 하면서도 여전히 개인정보 유출에 대한 우려를 숨기지 않았다.
정승현 국립암센터 암빅데이터 센터장은 규제와 법을 아무리 다듬어도 결국에는 신뢰가 없으면 해결될 수 없다며 데이터 민주화에 대한 분명한 정부 의지와 국민 신뢰 회복을 주문했다.
정 센터장은 “영국과 스웨덴과 같은 정부에서 의료 빅데이터를 수집하고 관리, 활용함으로서 가치를 높이고 있는 사례를 보면 데이터를 확보하고 확보된 데이터를 통해서 가치 기반 의료를 실현해 의료비를 절감하는 등 의료의 질을 높이는 데 분명한 방향성과 정부의 의지를 갖고 있다”고 밝혔다.
이어서 그는 “데이터의 활용 목적은 공익적이어야 하기 때문에 공익적 연구에 대한 분명한 정의가 필요하고 데이터의 수집, 관리, 활용 과정에 대한 투명성을 비롯해 데이터의 민주적인 목적과 방향에 따라 활용될 수 있어야 한다”며 “이러한 가치들을 확인하고 국민이 공감할 수 있을 때 의미 있는 논의가 시작될 수 있다”고 말했다.
배상호 개인정보보호위원회 분쟁조정과 과장 역시 개인정보에 대한 신뢰와 투명성 회복에 주목했다.
배상호 과장은 “우리나라의 경우 최근 몇 년 사이 개인정보에 대한 신뢰를 많이 상실한 것으로 보인다”며 “빅데이터 활용의 대부분이 상업적 활동에 초점이 맞춰져 있어 개인의 권리 보호에는 소홀한 점도 있었고 이런 부분에서 신뢰와 투명성이 잃어버렸다”고 평가했다.
이어 “개인정보보호법과 정보통신망법 등이 오히려 혼돈을 발생시키고 있다”면서 “차제에 이러한 여러 법들로 인한 혼란을 막기 위해 정리가 더 필요하고 관련 연구가 있어야 한다”고 전했다.
보건복지부는 사회적 합의 없이 섣불리 보건의료 빅데이터 활용을 위한 정책을 추진할 생각은 없다고 확인했다.
박정환 보건복지부 의료정보정책과 사무관은 “사회적 합의에 대해 매우 중요하게 생각한다”며 “그동안 정부의 역할이 부족한 점이 있었다면서 부족한 점을 깊이 새겨듣고 개선해 나가겠다”고 말했다.
박 사무관은 “사회적 합의가 끝났다고 생각하고 있지 않다. 이제 시작단계로 보고 있다. 앞으로 더 잘하기 위해 실체적인 노력들도 할 것이고 생각을 다듬어 가는 노력도 할 것이다. 이런 것들이 신뢰를 쌓는데 도움이 될 것으로 생각한다”고 거듭 강조했다.
이어서 법제정의 필요성도 언급했지만 먼저 나서서 법안을 만들지는 않겠다고 입장을 정리했다.
박 사무관은 “논의의 정밀한 토론이 가능하다는 점에서 규제의 투명성, 제도의 필요성 등 법제정이 필요해 추진을 하려고 한다”면서도 “정부가 미리 구체적으로 법안을 만들려고 하지는 않을 것이고 정부도 행위자로서 의견을 제시하고 다양한 의견을 청취해 종합해서 실무적으로 준비하고 지원을 하겠지만 사전에 법안을 만들어 공개할 생각은 없다”고 정리했다.
또한 “공공적 활용에 대한 논의에 정부가 생각하는 가장 큰 교두보는 공공적·공익적 활용으로 이 부분에 대해서는 명확하게 논의할 경우 빠르게 성과가 나올 것”이라며 “구체성을 확보하면 가시적인 단초가 될 것이다”고 말했다.
그러면서 법률에 담길 내용으로 국민과 개인의 권리, 명확한 목적, 주체라고 강조했다.
박 사무관은 “권리 부분이 명확해야 한다. 제정될 예정에 있거나 새로운 법제 안에서 명백하게 다룰 필요는 없지만 이러한 가치를 구체적이고 명확하게 다룰 것”이라며 “진료목적, 건강보건 정책연구, 의학연구, 잠재적으로는 개인의 권익을 침해하는데 법제정의 목적을 둘 것이다”고 소개했다.
아울러 그는 “누가 어떤 식의 행위를 할 것인지 주체가 반드시 필요한 만큼공공기관, 지방자치단체, 의료기관 등 적정한 수준에서의 보고와 지원 정책이 마련돼야 하고 데이터와 관련해 체중과 신장, 유전정보 등은 성격이 다르기 때문에 명확하게 구분하고 토론을 통해 정리해 나갈 것”이라고 덧붙였다.
