[의약뉴스] 엄청난 잠재력이 있지만, 그만큼 개인정보 침해라는 위험이 꼬리표처럼 따라다니는 보건의료데이터를 활용하기 위해선 ‘사회적 신뢰 구축’이 필요하다는 의견이 제기됐다. 이를 위해 보건의료 빅데이터 거버넌스를 확립, 국민적 신뢰를 구축하고, 법제정비 및 정책개선에 나서야 한다는 지적이다.
LX 인터내셔널 김지희 변호사는 최근 대한의료법학회 월례학술발표회에서 ‘보건의료데이터의 안전한 활용을 위한 개선 방안’이란 발표를 통해 이 같이 밝혔다.
보건의료데이터는 효용성이 높으나 민감성이 높아 유출시 위험이 높고, 투명성과 전문성이 강조되는 분야로, 데이터 처리와 판단에 있어 전문가의 참여와 국민들의 신뢰구축이 중요해 네트워크가 중시되므로 시스템적으로 데이터 거버넌스가 필요한 상황이다.
현재 우리나라 보건의료데이터 현황을 살펴보면 공공데이터는 ▲국민건강보험공단(약 3조 4000억건의 자료 보유) ▲건강보험심사평가원(약 3조 건의 자료 보유) ▲국민암센터, 질병관리본부 등 의료 공공기관 다량 데이터 보유하고 있으며, 민간데이터의 경우에는 의료기관에서 임상기록, 처방기록, 보험 청구 기록 등을 보유하고 있는데, 대부분이 전자의료정보로 작성, 관리되고 있다.
보건의료데이터의 안전한 활용을 위해선 ▲사회적 신뢰 구축 ▲데이터 표준화 및 품질 관리 ▲보건의료 빅데이터 거버넌스 확립 등이 필요하다는 것.
김 변호사는 “개인정보 침해의 위험과 이에 대한 관리 부담으로, 공공기관과 병원 등의 데이터 공개를 기피하고 있다”며 “정보개방으로 인한 각 기관의 책임부담을 덜어줄 명확한 기준이 필요하고, 세부적인 지침을 정해 공개하는 한편, 이를 준수해 정보를 처리하고 개방한 기관에 대해서는 책임을 제한하는 등으로 법적 예측 가능성을 높여야 한다”고 말했다.
이어 “시민단체 중심으로 의료데이터 개방에 대한 윤리적 비판이 강한데, 개인정보보호를 위한 제도적 장치를 마련하고, 데이터 관리의 전문화와 투명화를 통해 사회적 신뢰와 합의 달성이 시급하다”며 “민간 참여를 독려, 민ㆍ관ㆍ학의 협력을 통해 정보 활용의 유용성에 대한 국민적 공감대형성와 신뢰를 구축해야 한다”고 전했다.
또 “양질의 의료데이터 창출을 위해선 여러 기관의 데이터 결합을 요구하는 경우가 대부분인데, 이를 위해선 표준화 관리가 우선돼야 한다”며 “국민의 신뢰구축, 법제를 정비하면서도 정책을 개선하고, 데이터 처리 전문화 등 보건의료 특수분야에 대한 전문 인력을 강화하기 위해 보건의료 빅데이터 거버넌스를 확립할 필요가 있다”고 강조했다.
여기에 김 변호사는 보건의료데이터 관련 법제의 개선이 필요하다고 지적했다.
현재 우리나라에서 보건의료데이터와 관련된 법령들을 살펴보면, ‘공공데이터의 제공 및 이용 활성화에 관한 법률(공공데이터법)’이 있다.
기본원칙을 규정한 제3조에는 ‘공공기관은 누구든지 공공데이터를 편리하게 이용할 수 있도록 노력하여야 하며, 이용권의 보편적 확대를 위하여 필요한 조치를 취하여야 한다’, ‘공공기관은 공공데이터에 관한 국민의 접근과 이용에 있어서 평등의 원칙을 보장하여야 한다’로 되어 있다.
또 제공대상 공공데이터 범위를 정한 제17조에는 ‘공공기관의 장은 해당 공공기관이 보유ㆍ관리하는 공공데이터를 국민에게 제공하여야 한다’면서도 ‘공공기관의 정보공개에 관한 법률’ 제9조에 따른 비공개대상정보는 예외로 뒀다.
‘정보공개법’이라고 불리는 ‘공공기관의 정보공개에 관한 법률’에는 비공개 대상정보를 규정한 조항들이 있다.
구체적으로 ▲정보에 포함되어 있는 성명ㆍ주민등록번호 등 ‘개인정보 보호법’ 제2조 제1호에 따른 개인정보로서 공개될 경우 사생활의 비밀 또는 자유를 침해할 우려가 있다고 인정되는 정보이다.
다만 ▲법령에서 정하는 바에 따라 열람할 수 있는 정보 ▲공공기관이 공표를 목적으로 작성하거나 취득한 정보로서 사생활의 비밀 또는 자유를 부당하게 침해하지 아니하는 정보 ▲공공기관이 작성하거나 취득한 정보로서 공개하는 것이 공익이나 개인의 권리 구제를 위하여 필요하다고 인정되는 정보 ▲직무를 수행한 공무원의 성명ㆍ직위 ▲공개하는 것이 공익을 위하여 필요한 경우로서 법령에 따라 국가 또는 지방자치단체가 업무의 일부를 위탁 또는 위촉한 개인의 성명ㆍ직업은 제외하고 있다.
그는 “보건의료데이터 활용에 대한 법제에 있어서 가명정보를 활용한 근거법률이 명확해야 하고, 공공데이터법, 생명윤리법과의 정합성이 필요하다”며 “데이터를 표준화하는 한편, 연계된 관련 법률과 고시의 정비가 필요하다”고 말했다.
이어 “보건의료데이터 보호와 관련된 법제는 정책심의위원회의 법규화와 비식별 전문 심의위원회를 마련해야 한다”며 “개인정보보호법 내 의무주체와 가명정보에 대한 정보주체의 권리 인정범위를 검토할 필요가 있다”고 전했다.
이와 함께 김지희 변호사는 보건의료 빅데이터 거버넌스를 확립해야 한다고 주장했다.
현재 우리나라 보건의료 빅데이터 통합 플랫폼 거버넌스의 구성을 살펴보면, 사업추진의 총괄을 맡은 보건복지부 산하에 보건의료 빅데이터 통합 플랫폼 사무국으로 한국보건산업진흥원과 한국보건의료연구원을 두고 있고, 복지부 훈령에 따른 보건의료 빅데이터 플랫폼 정책심의위원회가 있다.
그는 “보건의료 빅데이터 플랫폼 정책심의위원회 운영규정을 개선, 보건의료기술진흥법에 위임 규정을 두고 법적 근거를 명확히 해야 한다”며 “주요 정책 의사결정기구로 기능할 수 있도록 비식별 적정성에 대한 판단업무를 별도 심의기구에서 수행하게 할 필요가 있다”고 말했다.
이어 “각 공공기관의 데이터 처리 부담을 줄이고, 컨트롤타워를 두면서도 전문단체와의 협력이 가능해진다”며 “보건의료 빅데이터 플랫폼이 앞으로 민간 데이터를 대상으로까지 확대되는데 있어 상당한 정책적 판단과 비식별 판단업무가 발생할 것이므로 이를 전담적으로 심의, 추진하는데도 도움이 될 것”이라고 강조했다.
타 국가 중 대표적인 국가보건서비스 운영 국가인 영국의 사례를 살펴보면, NHS에 수집된 광범위한 병원진료정보를 활용하기 위해 보건복지법을 제정, 보건의료 데이터의 연계 및 활용을 위한 ‘Health and Social Care Information Centre(HSCIC, 2016년에 ‘NHS Digital’로 명칭 변경)’의 설립근거를 명시하고, 환자에 관한 보건의료데이터를 저장, 분석, 가공, 이를 제3자 및 일반에 제공 및 공개하는 역할을 하도록 규정했다.
NHS Digital은 영국 보건부의 산하 기관으로서 보건의료데이터 인프라 구축, 보건의료데이터를 수집 및 활용, 보안까지 담당하는 전담기구로, 산하에 보건복지 관련 규정의 표준화된 규율을 관리하는 HRA(Health Research Authority)를 두고 있다.
김 변호사는 “우리나라와 비교해보면 개인정보보호법에 따라 설립된 독립 중앙행정기관으로 개인정보보호위원회가 있어 정보위원회 사무국(Information Commissioners Offices, ICO)와 대응된다”며 “한국보건산업진흥원과 한국보건의료연구원을 사무국으로 하는 보건의료 빅데이터 플랫폼이 데이터의 관리ㆍ감독을 전담하는 컨트롤타워로서 NHS Digital에 대응된다”고 말했다.
다만 “독립된 자문기구인 HRA(Health Research Authority)와 대응하는 조직이 부재한 것으로 파악된다”며 “각 조직의 역할과 권한, 구성에 있어 영국은 근거법률이 명확한데 비해 우리나라 정책심의위원회의 구성과 조직은 법규성이 약하다는 차이가 있다”고 덧붙였다.
