기사 공유하기

보건의료 데이터 활용 가이드라인의 문제점 

 

[divide style=”2″]

지난 8월 28일, 개인정보보호위원회와 보건복지부는 보건의료 데이터 활용 가이드라인(안)(이하 ‘가이드라인’)공개하고 의견수렴 창구를 열었다. 그러나 이 가이드라인(안)은 개인 의료정보를 불법적으로 활용, 공유, 결합, 판매하는 것을 허용한다. 국민의 민감한 의료정보를 보호해야 할 개인정보보호위원회와 보건복지부가 오히려 의료정보의 상업적 활용을 부추기고 있는 것이다.

보건의료 데이터 활용 가이드라인 http://www.mohw.go.kr/react/al/sal0101vw.jsp?PAR_MENU_ID=04&MENU_ID=040101&page=1&CONT_SEQ=359552
보건의료 데이터 활용 가이드라인

가이드라인의 문제점을 살펴보자.

1. 개인 의료정보는 ‘민감정보’다 

첫째, 개인 의료정보는 개인정보보호법 제23조(‘민감정보의 처리 제한’)에서 규정하는 ‘민감정보’이며, 민감정보는 정보주체의 별도의 동의를 받거나 법령에서 허용하는 경우 외에는 그 처리를 엄격하게 제한한다. 가명처리는 ‘개인정보’의 처리이며, 가명정보 역시 개인정보라는 점에서 가명처리를 했다고 개인정보보호법 제23조를 적용하지 않을 이유가 없다.

[box type=”info”]

개인정보보호법 제23조(민감정보의 처리 제한)

①개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 ‘민감정보’라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.

  1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
  2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.

[/box]

산업계는 개인정보보호법상 ‘가명정보의 처리에 관한 특례‘[footnote]개인정보보호법 제3장 제3절[/footnote]가 민감정보에도 적용된다고 주장하나 이렇게 될 경우 민감정보의 보호를 별도 조항으로 두어 보호하는 취지 자체를 훼손한다.  만일 공공적인 의료 연구를 목적으로 개인정보를 활용할 필요가 있다면 법에서 그 허용 범위와 절차를 명확하게 규정할 필요가 있다. 현재 명확한 규정이 없는 상황에서는 보호위원회와 보건복지부는 정보 주체의 권리를 보호하는 방향으로 해석해야 마땅하다.

결국 개인 의료정보는 '돈'이 되기 때문이다.
결국 개인 의료정보 상품화를 허용하겠다? 가이드라인(안)은 개인정보보다 ‘돈’이 최고라는 산업계의 논리를 전폭적으로 수용한다. 원칙도 철학도 비전도 없는 정부부처의 현주소.   

2. 개인 의료정보는 의료법으로도 보호된다 

둘째, 개인정보보호법에 대한 해석과 별개로, 개인 의료정보의 경우 의료법으로도 보호되고 있다. 의료법에서는 환자들의 개인 의료정보를 환자가 아닌 다른 사람에게 열람하게 하거나 제공하지 못하도록 하고 있다(21조). 그런데 가이드라인(안)은 ‘가명처리하여 환자식별력이 없는 진료기록(정보)’에는 의료법이 적용되지 않는다고 해석하고 있다. 그러나 가명정보 역시 개인정보라는 점에서 이러한 가명처리된 진료기록에는 의료법이 적용되지 않는다는 해석은 아무런 근거가 없다.

그러면서도 가이드라인(안)은 “정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에 대해서는 본인 동의를 받아 활용을 원칙”으로 한다고 하고 있다. 보호위원회와 보건복지부 역시 개인 의료정보가 환자들의 인권을 위협할 수 있는 민감한 개인정보로 파악하고 있다. 그럼에도 가명처리하면 의료법이 적용되지 않는다고 해석하는 것은 자기모순일 뿐만 아니라 환자 정보주체 보호라는 부처의 의무를 외면하는 처사다.

대한민국은 돈이 되다면 의료정보도 함부로 사고파고 가공해 다시 사고파는 게 대체로 권장되는 나라입니다. 대한민국에 오신 것을 환영합니다.
의료정보 47억 건을 유통하고 판매한 IMS헬스 사건의 피고인들은 대부분 무죄를 선고받았다. 현실은 이미 시궁창인데 아예 개인 의료정보 상품화의 길을 열겠다? 과거로부터 교훈을 얻지 못하는 나라에 미래는 없다.

3. 법령에 규정할 사항을 가이드라인으로 ‘퉁치기’? 

셋째, 가이드라인(안)은 법령에서 규정해야 할 사항들을 가이드라인으로 처리하고 있다. 예를 들어, △ 정신질환 및 처방약 정보 등 정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에 대해서는 본인 동의를 받아 활용을 원칙으로 하고 있고, △ 기관 내에 ‘데이터 심의위원회’를 설치·운영하도록 하고 있다.

개인 의료정보의 경우 정보주체의 인권에 치명적인 영향을 줄 수 있음을 보호위원회 및 보건복지부 역시 인지하고 있는 것으로 보인다. 그렇기 때문에 법령에서 명확하게 규정해야 한다. 법령에 근거없는 가이드라인만으로는 민감한 개인 의료정보의 남용을 막기 힘들다.

의료정보는 더 두텁게 보호되어야 마땅하다. 하지만 현실은....
의료정보는 더 두텁게 보호되어야 마땅하다. 하지만 현실은….

4. 개인정보 보호원칙을 ‘권고’ 수준으로 격하하는 가이드라인 

넷째, 가이드라인(안)은 개인정보 보호원칙을 권고 수준으로 격하하고 있다. 예를 들어, “가명정보를 최초 제공받을 당시 원 개인정보처리자에게 밝힌 목적(X) 외의 목적(Y)으로 처리할 경우 원 개인정보처리자에게 고지할 것을 권장”하고 있는데, 개인정보의 목적 내 처리는 권고 사항이 아니라 준수해야 할 원칙이다.

또한, “데이터 분석 대행 또는 협력연구 등을 통해 익명정보 반출 만으로도 목적을 달성할 수 있을 경우 원 개인정보처리자가 이러한 작업을 수행할 것을 권장”하고 있는데, 익명정보로 목적을 달성할 수 있는 경우 익명정보를 활용해야 하는 것 역시 권장 사항이 아니라 반드시 준수해야 할 원칙이다.

한편, “가명정보 제공에 대응되는 대가를 받는 것은 금지되지 않으나, 사회적인 통념 등을 고려할 때 과도한 데이터 활용 대가는 지양 할 것을 권장”하고 있는데, 이는 권장의 형태를 취하고 있지만 시민사회가 지금까지 주장해온 바와 같이, 사실상 개인정보의 판매를 허용하고 있음을 고백한 것이나 다름없다.

5. 왜 이렇게 개인 의료정보 활용에 ‘혈안’인가? 

다섯째, 가이드라인(안)은 “가명정보를 활용할 예정이므로 동의 여부는 생명윤리법상 기관심사위원회(IRB) 심의 및 동의 면제 대상이 될 수 있으나 면제 여부에 대해 IRB의 확인 필요”라고 하고 있는데, 이를 보더라도 보호위원회와 보건복지부는 개인 의료정보의 활용에 혈안이 되어 있는 듯하다. 인간 대상 연구는 기관심사위원회의 심사가 원칙이며, 가명·익명처리는 당연히 취해야 할 안전조치일 뿐이다. 이것이 국제적인 원칙에도 부합한다.

개인정보보호위원회 https://www.pipc.go.kr/np/
개인정보보호위원회

6. 정보주체의 ‘옵트아웃’ 권리 

여섯째, 가이드라인(안)은 정보 주체의 옵트아웃(가명처리 정지 요구) 권리를 명시하면서, 정보주체에게 홈페이지 개시 등 공개적인 방법으로 가명처리정지요구를 접수해야 하고, 요구를 받은 정보주체의 정보는 가명처리의 대상에 포함시키지 말아야 한다고 규정하고 있다.

[box type=”info”]

‘옵트인’과 ‘옵트아웃’ 

  • 옵트인(opt-in): 정보 주체가 정보 수집을 ‘승낙’할 때만 정보 수집이 가능한 방식.
  • 옵트아웃(opt-out): 정보 주체가 정보 수집을 ‘거부’할 때만 정보 수집을 중단하는 방식

[/box]

정보주체의 권리는 당연히 보장받아야 하지만, 이는 동 가이드라인이 아니라, 일반적인 ‘가명처리 가이드라인’에서 규정해야 할 부분이다. 보건의료 정보에만 정보주체의 이 권리가 보장되는 것은 아니기 때문이다. 보호위원회는 정보주체의 권리를 보호하지 않는 개인정보처리자를 강력하게 규제해야 한다.

결론 

이번 가이드라인(안)은 개인 의료정보를 비롯한 민감정보 역시 가명처리하면 기업들이 판매, 공유, 결합할 수 있도록 허용한다. 이는 개인정보보호법 및 의료법 위반의 소지가 크다. 따라서 마땅히 폐기해야 한다. 또한, 정보주체의 권리 보호를 최우선 원칙으로 정책을 수립할 것을 보호위원회와 보건복지부에 촉구한다.

아무리 '돈'이 좋아도 개인 의료정보 보호가 먼저다.
아무리 ‘돈’이 좋아도 ‘민감정보’인 개인 의료정보 보호가 먼저다.

 

[divide style=”2″]

[box type=”note”]

이 글은 아래 시민단체 연대체 및 시민단체가 2020년 9월 2일에 발표한 논평을 바탕으로 원문 작성자와의 협의 하에 슬로우뉴스 편집 원칙에 따라 다시 정리한 글입니다. (편집자)

  • 건강과대안
  • 경실련
  • 무상의료운동본부
  • 민주사회를 위한 변호사모임 디지털정보위원회
  • 서울YMCA 시청자시민운동본부
  • 전국민주노동조합총연맹
  • 진보네트워크센터
  • 참여연대
  • 한국소비자연맹

[/box]

관련 글