‘전국민 투병기록’으로 산업 활성화 추진하겠다는 정부…정보주체 동의도 없이 제3자 제공 논란

[라포르시안] #. A제약회사는 제한적으로 영업실적 산출에만 활용하던 것에서 건강보험심사평가원의 빅데이터 분석센터를 이용해 R&D도 할 수 있게 되었다. 그동안 자사 제품의 지역 단위 사용량 정보만으로 영업실적 분석만 가능했던 반면 심평원에서 기업의 R&D 지원을 위해 코호트 분석도 가능하도록 정보의 개방범위를 확대했기 때문이다. 앞으로 제약사들은 복합신약 개발, 새로운 효능 발굴, 스마트의료기기 모델링 등 다양한 분야에서 활용할 수 있게 되었으며, 심평원은 관련 분야 지식이 부족한 업체들을 위해 전담 조직을 구성해 분석지원서비스까지 제공해줄 예정이다.

보건복지부가 지난달 30일 전국 16개소 건강보험 빅데이터 분석센터를 확대운영한다고 발표하면서 소개한 실제 활용사례이다.

복지부는 "정부와 빅데이터 보유기관(건강보험공단, 건강보험심사평가원) 간 협의체를 통해 지원하고, 전국 16개소의 빅데이터 분석센터에서 필요한 데이터를 제공해 분석·처리할 수 있는 분석공간을 제공한다"고 밝혔다.

복지부가 건강보험 빅데이터 제공 활성화를 추진하면서 제시한 이유는 보건의료 관련 연구와 산업 활성화, 그리고 새로운 일자리 창출 등이다.

이를 위해서 연구자나 학술 관련 단체는 물론 제약사와 민간보험사 등의 민간기업에도 건강보험 빅데이터를 제공할 방침이다. 사실상 전 국민의 '투병기록'이나 다를 바 없는 건강보험 빅데이터를 민간기업의 수익창출 용도로 제공하겠다는 것으로 볼 수 있다.   <관련 기사: 보건의료 빅데이터로 ‘창업 지원·일자리 창출’ 설레발>

건강보험 빅데이터는 건강보험 사업을 운영하는 과정에서 수집·취득한 대규모 정보를 개인정보 비식별 처리해 구축된 DB이다.

복지부에 따르면 전국 16개의 건강보험 빅데이터 분석센터를 방문해 분석·처리할 수 있는 데이터는 공단 2조8,738억건, 심평원 2조2,289억 건에 달한다.

복지부는 건보공단과 심평원이 참여하는 '건강보험 빅데이터 활용 협의체'를 구성, 산업계와 연구계 등 빅데이터 수요자들이 협의체에 참석해 빅데이터 활용 과정에서 불편했던 사항이나 개선이 필요한 점을 제안할 수 있도록 운영할 계획이다.

비식별화 조치만 하면 개인정보가 아니다?그런데 이렇게 건강보험 빅데이터를 연구 목적을 물론 민간기업의 상업적 활용을 위해 제공해도 괜찮은 걸까.

이 빅데이터는 건강보험 가입자들이 의료기관을 이용한 진료기록과 건강검진, 처방조제내역, 개인 투약이력 등의 민감한 개인 건강기록은 물론 의약품안전사용정보(DUR), 의약품 유통, 의료기관 인력과 장비 등의 의료자원 정보까지 담고 있다.

복지부는 개인정보 비식별화를 했기 때문에 민간기업에 제공하는 데 있어서 법적으로 문제가 없다는 입장이다.

하지만 현행 '개인정보보호법'은 개인의 의료·질병 정보와 같은 ‘민감 정보’는 개인에게 별도의 동의를 얻거나 다른 법률에 명시적 근거가 없으면 목적 외 사용이나 제3자 제공을 금지하고 있다.

복지부와 건보공단, 심평원은 환자들의 민감한 진료기록 정보를 '비식별 처리'했다는 점을 앞세워 환자 개개인에게 사전동의도 받지 않고 민간기업에 제공해 상업적으로 활용할 수 있도록 허용했다. 그것도 전국에 빅데이터 센터까지 설치해 접근 편의성까지 높여 주면서. 

행정자치부가 마련한 '개인정보 비식별 조치 가이드라인' 중에서.

복지부가 건강보험 빅데이터 제공을 추진하는 근거로 삼는 것은 행정자치부가 지난 6월 발표한 '개인정보 비식별 조치 가이드라인'이다. <'개인정보 비식별 조치 가이드라인' 바로가기>

행자부는 이 가이드라인을 통해 비식별 정보는 추가 동의 없이 활용 가능할 수 있다는 방침을 제시했다.

이에 대해서 경제정의시민실천연합, 참여연대 등의 시민단체는 "국민의 개인정보를 보호하기 위해 대책을 마련해야 할 정부가 오히려 빅데이터 산업 활성화의 명목으로 소비자 개인정보를 위험에 빠뜨리는 내용의 가이드라인을 발표했다"며 "'비식별 조치를 하면 개인정보가 아닌 것으로 추정'해 주겠다고 장담하는 정부의 가이드라인에 반대한다"는 입장을 발표했다.

이들 단체는 "만약 소비자 개인정보를 동의없이 사용하려면 재식별화가 불가능한 ‘익명화’가 되어야 한다"고 주장했다.

비식별화 된 정보가 '재식별화(re-identification)' 과정을 거쳐 언제든지 식별정보가 될 수 있는 위험이 있고, 그렇기 때문에 비식별화된 정보를 사용하려면 정보주체로부터 사전에 반드시 동의를 받아야 한다는 것이다.

실제로 유럽 개인정보보호규정(GDPR)이나 다른 나라의 개인정보보호 관련법 규정에도 ‘다른 정보와 결합해 특정 개인을 알아볼 수 있는 재식별화가 가능하면 개인정보보호법의 규제 대상'으로 보고 있다.

시민사회단체가 주장한 '익명화'는 비식별화가 아니라 개인의 정보가 '가명' 등으로 처리돼 더는 개인을 재식별할 가능성을 배제하는 것을 의미한다.

건강보험 빅데이터가 비식별화 처리됐지만 다른 정보와 결합해 개인을 식별(재식별화)하는 게 가능할 수 있다는 점에서 정보주체의 사전 동의없이 사용토록 하는 것은 위법하다는 의견도 적지 않다.

현행 개인정보보호법 제18조는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 있는 경우를 ▲정보주체로부터 별도의 동의를 받은 경우 ▲다른 법률에 특별한 규정이 있는 경우 ▲통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우 등으로 제한하고 있다.

법률 전문가들은 "다른 정보와 쉽게 결합해 알아볼 수 있는 정보는 개인정보보호법상 개인정보이고 당연히 개인정보보호법의 적용 대상"이라고 해석했다.

 

▲ '건강권실현을 위한 보건의료단체연합'은 지난 8일 오전 건강보험보험심사평가원 서울지원 빅데이타 분석센터 앞에서 ‘박근혜정부 탈법적 개인의료·질병정보 기업유출 판매 규탄 보건의료인 기자회견’을 열었다. 사진 제공: 건강권 실현을 위한 보건의료단체연합.

"공보험인 국민건강정보로 모은 정보를 민영화하는 것"

복지부와 건보공단, 심평원이 건강보험 빅데이터를 민간기업에 제공하는 것에 놓고 조만간 개인정보보호법 위반을 다투는 행정소송이 제기될 것으로 보인다.

의사, 약사, 치과의사, 한의사 등의 보건의료인으로 구성된 '건강권실현을 위한 보건의료단체연합'은 지난 8일 오전 건강보험보험심사평가원 서울지원 빅데이타 분석센터 앞에서 ‘박근혜정부 탈법적 개인의료·질병정보 기업유출 판매 규탄 보건의료인 기자회견’을 열었다.

보건의료단체연합은 이날 기자회견에서 "복지부와 공단, 심평원이 건강보험 빅데이터 활용협의체를 구성하고 민간에게 국민 개인질병과 처방정보, 복약정보, 건강검진기록, 건강보험정보 등을 공유하는 것은 공보험인 국민건강정보로 모은 정보를 민영화하는 것"이라고 주장했다.

보건의료단체연합은 "현행 개인정보보호법에 따르면 개인의 의료·질병 정보와 같은 ‘민감 정보’는 개인의 별도의 동의를 얻거나 다른 법률에 명시적 근거가 없으면 목적 외 사용이나 제 3자 제공이 금지돼 있다"며 "복지부와 공단, 심평원이 현행법을 위반하고 있다"고 지적하고 이에 대한 행정소송 등을 진행할 예정이라고 밝혔다. 

특히 현재 제공되고 있는 건강보험 빅데이터가 개인별로 ‘코호트’도 구축할 수 있는 형태의 데이터란 점에서 심각한 우려를 표명했다.

복지부는 건강보험 빅데이터 활용 사례를 소개하면서 모 학회는 건보공단의 국민건강정보 DB를 활용해 국가 단위의 당뇨병 환자 코호트를 구축했다고 밝혔다.

보건의료단체연합은 "현재 제공되고 있는 정보는 개인별로 ‘코호트’도 구축할 수 있는 형태의 데이터이므로 당연히 개인 데이터에 해당한다"며 "주민등록번호, 나이, 이름 등을 기술적으로 알아볼 수 없게 처리했다고 해도 이러한 개인 데이터는 여러 가지 다른 자료를 조합하면 얼마든지 개인을 알아볼 수 있는 형태로 재조합할 수 있다"고 주장했다.

건강보험 빅데이터의 무분별한 제공에 맞서기 위해서는 개인정보보호법에 명시된 '정보주체의 권리'를 적극 활용할 수 있다. 

현행 개인정보보호법 제4조(정보주체의 권리)에는 ▲개인정보 처리에 관한 정보를 제공받을 권리 ▲개인정보 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리 ▲개인정보의 처리 여부를 확인하고 개인정보에 대해 열람을 요구할 권리 ▲개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리 ▲개인정보의 처리로 인해 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리 등을 명시해 놓았다. 정보주체의 권리에 따라 정부가 제공하는 건강보험 빅데이터에서 특정 개인의 데이터는 삭제해 달라고 요청하는 '옵트아웃(OPT OUT) 캠페인'을 전개하는 방안이 추진된다.

보건의료단체연합은 "개인정보 보호법상 보장된 국민의 권리인 '개인정보의 처리에 관한 정보를 제공받을 권리', '개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리' 등을 적극적으로 활용해 정부의 탈법 행위에 맞설 것"이라며 "내 의료·질병 정보는 공개되는 건강보험 빅데이터 자료에서 삭제해달라고 요청하는 옵트아웃(OPT OUT)캠페인 등 광범위한 국민 행동을 벌여나갈 것"이라고 밝혔다.

저작권자 © 라포르시안 무단전재 및 재배포 금지