"의료 마이데이터 구현 위해 개인건강정보 이동권 보장해야"

데이터산업진흥원 보고서..."특별법 통한 개인건강정보 전송 등 규율 필요"

[의약뉴스] 의료 마이데이터를 구현하기 위해서는 개인건강정보의 이동권을 보장해야 한다는 제언이 나와 눈길을 끈다.

마이데이터란 개인정보의 주체가 정보의 활용처와 활용범위를 능동적으로 결정하는 것을 의미하며, 이 가운데 의료 마이데이터란 맞춤형 의료서비스를 제공받기 위해 본인의 건강정보를 기관이나 기업에 제공하는 것을 의미한다.

그러나 우리나라 입법체계에서는 의료 마이테이테 활용에 있어 한계가 명확하기 때문에 별도의 특별법을 마련해 개인건강정보의 전송 등에 관한 사항을 규율해야 한다는 지적이다.

▲ ‘의료 마이데이터’를 구현하기 위해선 ‘개인건강정보 이동권’이 보장돼야 한다는 의견이 제기됐다.

한국데이터산업진흥원 연구진(김강한, 이정현)은 최근 대한의료법학회 ‘의료법학’에 ‘개인건강정보 이동권의 실효적 보장에 관한 연구’란 논문을 통해 이 같은 의견을 밝혔다.

지난 2020년, 개인정보 보호법과 신용정보의 이용 및 보호에 관한 법률, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 데이터 관련 3법이 개정됐다.

이 가운데 개인정보보호법은 개인정보 이동권(전송요구권)을 도입, 전 분야로 마이데이터가 확산될 수 있는 법ㆍ제도적 기반을 마련했다.

이를 토대로 금융분야에 이어 의료분야에서도 마이데이터 서비스를 구축하기 위한 논의가 활발하게 진행되고 있다.

지난 2019년 12월에는 4차산업혁명위원회와 관계부처(보건복지부, 과학기술정보통신부, 산업통상지원부)가 합동으로 국민의 건강증진과 의료서비스 혁신을 위한 의료데이터 활용 전략으로 ‘개인 주도형 의료데이터 이용 활성화 전략’을 발표했고, 후속조치로 2021년 2월 ‘마이 헬스웨이(의료분야 마이데이터) 도입 방안’ 중 하나로 ‘나의 건강기록’ 앱 출시 계획을 발표했다.

이와 관련, 연구진은 “마이데이터란 개인인 정보주체가 개인데이터의 활용처와 활용범위 등에 대해 능동적으로 의사결정을 하는 것”이라며 “이러한 마이데이터의 원칙은 ▲정보주체의 권리 강화 ▲데이터 접근성 향상 ▲이동과정의 투명성 확보로 구분할 수 있다”고 전제했다.

그러나 우리나라의 입법체계에서는 의료 마이데이터 구현에 한계가 있다는 지적이다.

연구팀은 "▲전송대상 개인건강정보의 범위 ▲개인건강정보 전송 이행의무자의 범위 ▲개인건강정보 전송체계의 표준화에서 한계가 있다"고 지적했다.

이 가운데 “개인건강정보 중에는 의료인 등이 정보주체가 제공한 정보를 기초로 분석 또는 가공, 별도의 새로운 정보가 다수 포함돼 있는데, 이러한 정보는 의료인의 전문적 지식을 바탕으로 작성된 ‘분석정보’에 해당할 여지가 있다”면서 “전송대상의 정보에서 개인건강정보의 대부분이 제외돼 개인건강정보 이동권의 실효성이 떨어지게 되고, 정보주체의 개인건강정보에 대한 통제권과 관리권이 실질적으로 보장받지 못하게 된다”고 설명했다.

정보주체와 의료기관 등 관련 이해관계자 간에 합의점을 도출, 의료분야의 특수성을 고려해 전송대상이 되는 개인건강정보의 범위를 어디까지 허용할 수 있는지 구체적으로 검토할 필요하다는 지적이다.

또한, 연구진은 “개정법에서는 전송 이행의무자를 일정한 규모 이상에 해당하는 개인정보처리자로 한정하고 있고, 이에 관한 세부적인 기준을 향후 시행령에서 구체적으로 정할 예정”이라며 “소규모 사업자에게 개인건강정보 전송 이행의무를 면제하게 되면 의료 마이데이터 서비스의 완전한 기능을 구현하는 것은 불가능하다”고 지적했다.

의료전달체계에 있어 개인 병ㆍ의원이나 중소병원 등 1차 의료를 담당하는 의료기관은 주로 일정한 규모 이하의 개인정보처리자에 해당할 수 있어 전송 이행의무자 범위에서 제외될 수 있다는 설명이다.

연구진은 “의료 마이데이터의 궁극적인 목적은 정보주체가 여러 기관에 분산된 자신에 관한 건강정보를 직접 방문하는 불편 없이 통합적으로 조회ㆍ관리 및 재이용할 수 있도록 지원하는 것”이라며 “개인건강정보 전송 이행의무자를 일정한 규모 이상의 개인정보처리자로만 한정하는 것은 바람직하지 않다”고 지적했다.

이에 연구진은 개인건강정보 이동권의 실효적 보장을 위해 개인건강정보의 처리 등에 관한 사항을 개별적으로 규율하는 별도의 특별법을 제정해야 한다고 제안했다.

이들은 구체적으로 “특별법에 보호대상이 되는 개인건강정보의 개념에 대한 정의과 범위를 구체화하면서 전송대상 정보의 범위도 구체화해 규정할 필요가 있다”며 “전송대상 개인건강정보의 범위에는 의료기관에서 생성ㆍ취득되는 진료기록과 공공의료기관 등에서 보유하고 있는 의료정보뿐만 아니라 웨어러블 디바이스 등과 같은 의료기기나 건강관리기기를 통해 취득ㆍ생성된 건강정보 등이 있을 수 있다”고 설명했다.

또한 “개인건강정보 전송요구권도 정보주체가 자신의 개인건강정보를 본인에게 전송해줄 것을 요구할 수 있는 권리와 다른 개인정보처리자 등의 제3자에게 전송해줄 것을 요구할 수 있는 권리로 구분, 보장해야 한다”며 “응급상황 등과 같이 긴급한 상황의 경우 정보주체 대신 가족 등이 정보주체의 개인건강정보를 정보주체 동의 없이도 가족 등에게 전송요구를 할 수 있도록 허용할 필요도 있다”고 제언했다.

아울러 “전송요구를 받은 개인정보처리자는 전송방법의 표준화 등을 위해 개인건강정보를 전송할 때 ‘컴퓨터 등 정보처리장치로 처리가 가능하고 통상적으로 이용할 수 있는 구조화된 형식’으로 전송할 의무에 대해 명시해야 한다”며 “정보주체 본인이 해당 개인건강정보에 대해 전송요구를 한 사실이 확인되지 않는 등의 일정한 경우에 해당할 경우에는 개인정보처리자가 전송요구를 거절하거나 중단할 수 있어야 한다”고 강조했다.

여기에 더해 “전송 과정 중 개인건강정보의 유출이나 훼손 등의 위험을 불식시키고 정보주체에게 이동과정을 투명하게 알리기 위해 개인정보처리자의 안전조치 확보 의무를 강화하는 방안도 고려할 필요가 있다”면서 “이러한 과정에서 개인정보처리자에게는 이전에 없던 새로운 책임과 의무가 부과되고, 막대한 투자가 예상되는 만큼 상응하는 기술적ㆍ재정적 지원이나 인센티브를 부여하는 방안 역시 필요하다”고 덧붙였다.

의약뉴스 강현구 기자(cyvaster@newsmp.com) 다른기사 보기