최성철(암시민연대 대표)

[라포르시안] 2017년 12월 보건복지부는 보건의료 정보 활용을 위한 ‘보건의료 빅데이터’ 시범사업 추진계획을 고시했다. 건강보험공단이나 건강보험심사평가원이 수집·보관하고 있는 건강정보를 활용해 공익적 목적의 연구와 기술개발에 사용하는 사업이다. 이미 2012년 말 보건의료 빅데이터 구축 계획을 발표했지만 법률적 문제와 반대 의견들 때문에 이제야 시범사업이 결정된 것이다.

개인정보를 바탕으로 하는 빅데이터의 분석과 활용은 이미 여러 분야에서 활발하게 이루어지고 있어 이를 막거나 금지하기 어려운 시대적 흐름으로 볼 수 있다. 바람직한 보건의료 정책의 수립과 실행, 새로운 치료법이나 약의 개발에 대한 환자들의 기대도 크다. 그러나 일반 개인정보와 달리 건강정보는 매우 민감하고 비밀스러운 정보이며, 노출이나 유출에 따른 위험도 그만큼 커서 신중한 접근이 필요하다.

성공적인 시범사업을 위한 요건은 다음과 같다.

첫째, 건강정보의 주체는 환자이다. 현재 정부기관이 소유, 보관하고 있는 국민들의 건강정보의 주체는 환자 본인이다. 의료기관이나 약국 이용 시 필수적으로 수집되는 진료기록이 의료인과 의료기관의 소유가 아니듯, 정부기관의 소유가 아닌 민감한 개인 정보로서 그 소유권은 분명히 환자에게 있다. 

그런데도 지난해 심평원이 개인의 진료내역이 담긴 표본 데이터셋을 민간 보험사에 판매하고 영리 목적으로 상품개발, 위험률 개발 등에 사용하도록 한 적이 있다. 보유하고 있는 건강정보가 기관의 소유물이라고 판단하지 않으면 시도하기 어려운 일이다. 건강정보의 주체를 분명히 하여 치료 목적 이외의 사용에 대해서는 정보의 수집, 보관, 열람, 송부, 폐기 등에 대한 동의는 물론 옵트 아웃(Opt-out) 도입이 우선적으로 필요하다.

둘째, 법률적 근거를 통한 절차적 정당성이 필요하다. 모든 공공사업은 목적의 정당성 뿐 아니라 절차적 정당성도 필요하다. 건강정보는 엄연히 개인정보에 속하고 개인정보를 목적 이외에 사용하기 위해서는 개인정보보호법, 의료법, 생명윤리법 등을 개정하여 근거를 마련할 필요가 있다. 그러나 현재의 시범사업은 법률 재개정의 번거로움을 피하기 위해 ‘비식별화 조치 가이드라인’을 근거로 비식별화를 거치면 개인정보가 아닌 것으로 간주하여 수집, 가공, 공유를 자유롭게 하고 있다.

비식별화 자체가 새로운 결합기술이 개발되거나 입수 가능한 정보가 늘어나면 언제든 재식별이 가능하다는 근본적 한계를 가지고 있을 뿐 아니라, 가이드라인은 법족 구속력이 없고 상위의 법률들과 상충되기 때문에 개인정보의 편의 주의적 활용에만 치우친 일종의 편법 혹은 꼼수이다. 이런 불법과 편법, 꼼수를 근거로 할 것이 아니라 개인정보 보호를 위한 각종 제도와 법률을 정비하여 법률적 근거를 마련하고 절차적 정당성을 확보해야 한다.

셋째, 개인의 건강정보에 대한 보안은 아무리 강조해도 지나치지 않다. 개인정보의 활용은 언제나 유출의 위험성을 내포하고 있다. 특히 대한민국은 전 국민이 주민등록번호와 같은 개인 식별정보를 사용하고 있고, 이미 수많은 정보가 인터넷을 통해 유통되고 있다. 여기에 개인의 건강정보까지 유출된다면 그로 인해 발생할 수 있는 사고나 피해는 상상하기조차 힘들 정도다. 따라서 정보 유출의 위험을 최소화하기 위한 구체적인 방안을 마련해야 한다.

정보를 선택적으로 제공하거나 익명화, 범주화를 통해 재식별의 위험성을 낮추고 예방하는 조치부터 폐쇄적인 플랫폼의 구축과 운영, 데이터셋의 관리 등 보안을 위한 조치가 기본적으로 필요하다. 예방과 더불어 재식별 시도나 재식별에 대한 책임의 대상과 범위, 강력한 처벌 규정 또한 필요하다.

더불어 최근 암환자들은 치료를 위해 유전자 검사를 받는 일이 많다. 검사 과정에서 인체유래물이나 유전자 검사 결과를 제 3자에 제공하는 부분에 대한 동의를 받고 있으나 구체적으로 어떻게 활용될 지 아는 환자는 없다. 모든 사람의 DNA 염기서열은 다 다르기 때문에 그 자체만으로 개인의 식별이 가능하고, 암호화나 비식별화가 불가능하다는 것도 모르고 있다. 따라서 유전정보는 사업 대상에서 제외하거나 재검토 혹은 보완책을 마련해야 한다. 

넷째, 사업의 목표와 활용범위를 분명히 할 필요가 있다. 이전까지 ‘보건의료 빅데이터’ 사업의 목표는 4차 산업혁명의 일환으로 새로운 시장과 수요의 창출을 목표로 하고 있었다. 진료 정보, 유전 정보, 생활습관 정보 등을 통합하여 인공지능을 활용한 정밀의료와 표적항암제 개발을 목표로 했고, 최근에도 박능후 보건복지부 장관은 이를 바탕으로 헬스 케어 분야 연구, 개발에 적극적인 투자 의지를 밝히기도 했다. 이번 시범사업의 목표를 공공 목적의 정책과 기술 개발을 목표로 한다고 하지만 아직 저의를 의심할 수밖에 없는 이유다.

전 국민의 건강정보를 활용한다면 그 국민의 건강과 삶의 질 향상을 위해 사용되어야 하고 영리 목적으로 활용되어 일부 개인이나 기업, 연구소 등에 사업의 성과가 귀속되어서는 안 될 일이다. 건강 정보의 활용범위에 대해서도 많은 의견들이 있고 치료법이나 약의 개발 등에 부정적인 경우도 있지만 공익적인 목적의 치료법 개발, 약의 효과와 안정성에 대한 평가 등 활용될 수 있는 분야는 분명히 있다. 경제성이 담보되지 않아 연구 시도조차 되지 않는 희귀질환이나 이미 급여화가 이루어진 약제들, 치료 재료 등이 너무 많기 때문에 이런 부분에 대한 공익적 연구의 필요성은 갈수록 높아지고 있기 때문이다.

다섯째, 진료기록 작성과 보관에 대한 규정이 보완되어야 한다. 시범사업은 정부 기관이 보관하고 있는 건강정보로 제한되지만 정책의 개발이든 기술의 개발이든 그 근간이 되어야 할 것은 진료 기록이다. 환자의 증상, 진단, 치료 정보들은 각 환자에게는 치료와 건강관리를 위해 필요한 정보이지만, 개인들의 정보가 모이면 그 자체로서 무한한 가치를 가지게 된다.

그러나 의료법에 규정된 진료기록의 작성에 관해서는 허점이 많다. 전자의무기록을 도입하는 추세지만 소규모 의료기관은 아직도 작성자만 알아볼 수 있는 수기에 의존하는 경우가 많고 보관이나 폐업 시 이관도 적절하게 이루어지지 않는 경우가 많다. 환자들이 노출을 꺼리는 정신과, 산부인과, 비뇨기과 등의 진료기록 작성과 보관에 대해서도 논란도 있는 만큼 진료기록에 대한 규정을 보완하고 적절한 활용 방안에 대한 고민이 필요하다.

이상과 같이 ‘보건의료 빅데이터’ 시범사업은 아직 보완해야할 부분이 많고 기대와 우려가 공존한다. 빅데이터의 공익적 활용을 통한 국민 건강 향상과 의료기술의 발달, 의료의 형평성 해결 등에 대한 기대가 큰 만큼 정보의 유출이나 상업화, 재식별을 통한 차별, 사회적 건강 불평등의 심화 등은 우려를 금할 수 없는 부분이다.

최근 발표된 헌법 개정안은 개인의 자기정보 통제권을 강조하고 있고 이런 정부의 의지를 명확하게 반영한 구체적 입법 행위가 이루어진다면 우려는 최소화할 수 있을 것이다. 그러나 정보의 유출과 산업화에 대한 우려는 여전하고 기술적 가치가 의료적 가치를 의미하지는 않는다. 열 사람이 한 도둑 막기가 힘들기 때문이고, 빅데이터의 기술적 가치가 실제 국민의 건강과 삶의 질 향상에 도움이 될 것을 담보하지 않기 때문이다.

성공적인 시범사업을 통해 기대를 충족시키고 우려를 최소화할 수 있도록 각 분야의 전문가를 비롯한 국민들의 참여와 관심, 소통이 절실히 필요한 때이다.

관련기사
저작권자 © 라포르시안 무단전재 및 재배포 금지