EMR(Electronic Medical Record, 전자의무기록)이란 병원에 내원한 모든 환자의 진료 기록을 컴퓨터로 전산화한 것을 말한다. EMR의 등장으로 병원에서는 의료진의 업무 효율이 향상되고 의료행위에 필요한 정보를 더 쉽게 저장·이용할 수 있게 됐다. 본과 3학년이 되어 임상실습에 들어가면 EMR을 활용하여 환자를 파악하고 증례 발표 등의 과제를 수행한다. 병원에 내원한 모든 환자들의 의료정보가 들어있는 만큼, EMR은 보안이 무엇보다 중요하다. 임상 실습을 도는 학생들뿐만 아니라 모든 의료진들은 EMR 열람 시 환자의 정보를 절대 타인에게 유출해서는 안 된다는 주의를 여러 번 듣는다. 그런데 국회와 정부에서는 의료인이 아닌 사람들도 자유롭게 의료정보를 활용할 수 있는 방향으로 정책을 추진하고 있다. 그 단적인 예가 바로 올해 초 개정된 ‘데이터 3법’이다.
데이터 3법 개정, 이어진 바이오헬스 규제 완화
데이터 3법이란 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 정보통신망법)」, 「신용정보의 이용 및 보호에 관한 법률 (이하 신용정보법)」 등 개인정보의 이용과 관련된 3가지 법률을 통칭하는 말이다. 국회에서는 4차 산업혁명 시대를 맞아 국가 차원에서 데이터를 활용하여 신산업을 육성하겠다며 이 법안을 개정하였다. 기존의 개인정보 보호 관련 법령은 위의 3가지 법으로 분산되어 있었는데, 이로 인한 절차의 복잡함이 개인정보를 활용하는 데에 걸림돌이 된다며 법안을 「개인정보 보호법」으로 일원화한 것이다. 또한 가명 정보와 익명 정보라는 개념을 도입하고 가명 정보의 경우 정보 주체의 동의 없이도 통계 작성, 과학적 연구, 공익적 기록보존 목적으로 개인정보를 활용할 수 있도록 허용하였다. 가명 정보는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보의 사용 없이는 특정 개인을 알아볼 수 없도록 처리한 정보를 말하고, 익명 정보는 절대 개인을 알아볼 수 없도록 복원 불가능하게 처리한 정보를 일컫는다. 가명 정보와 익명 정보는 언뜻 보면 비슷한 개념처럼 보이지만, 익명 정보는 아무리 수집해도 개인을 식별할 수 없는 반면 가명 정보는 다수가 조합될 경우 개인을 충분히 식별할 수 있다는 점이 가장 큰 차이이다.
지난 1월 9일 데이터 3법 개정안이 통과되자 정부에서는 15일 관계 부처 합동으로 ‘바이오헬스 핵심규제 개선방안’을 발표하며 보건의료 데이터에 대한 규제를 적극적으로 완화하겠다는 입장을 밝혔다. 여기에는 데이터 3법 개정에 따라 가명정보로 처리된 의료정보의 활용 가이드라인을 마련하고, 보건의료 빅데이터 센터·국립보건연구원 유전체센터·데이터 중심병원 지원센터·인공지능 신약개발센터·피부-유전체 분석센터 등 5곳의 보건의료 데이터 센터를 구축하여 여러 분야에서 데이터의 생산과 활용을 지원한다는 내용이 포함되어 있다. 보건복지부 박능후 장관은 “이번 규제개선으로 의료기술 발전을 통해 4차 산업혁명 시대의 대표적 미래 먹거리 산업인 보건산업이 성장하여 일자리 창출 및 혁신성장에 기여할 수 있을 것으로 기대한다”고 밝혔다.
개인정보 규제 완화 정책의 어두운 그늘
방대한 개인정보가 포함된 빅데이터는 이미 다양한 분야에서 다양한 목적으로 활용되고 있다. 의료 빅데이터를 활용하여 신약개발이나 헬스케어 서비스를 혁신하겠다는 비전은 미래에 대한 장밋빛 기대감을 품게 한다. 그러나 경제적 성과에만 초점을 맞춘 나머지 정보주체가 개인정보를 스스로 관리하고 통제할 수 있는 권리를 등한시했다는 비판 여론 역시 상당하다.
먼저 이번 법안 개정이 개인정보 활용에 대한 사회적 합의를 얻지 못한 채 강행된 개정이라는 지적이 있다. 대다수 국민은 이 법안의 개정 사실 자체를 모르고 있었다. 시민단체의 의뢰로 지난해 11월 여론조사 전문기관인 ‘포스트데이터’에서 실시한 「개인정보보호법 개정 관련 여론조사 결과보고서」에 따르면 정부의 개인정보 보호법 개정 추진에 대해서 ‘알고 있었다’는 응답자의 비율은 18.1%로, 국민 5명 중 4명은 데이터 3법 개정이 논의되고 있다는 사실조차 인지하지 못하고 있는 것으로 나타났다. 그뿐만 아니라 국회 본회의를 통과하는 과정에서는 검경 수사권 조정, 선거법 개정 등의 정치적 이슈에 밀려 충분한 의견 교환이 이루어지지 않은 채 그대로 개정안이 가결되었다. 이렇게 국민들이 인지하지 못한 사이에 규제가 완화된 상황에서는 더욱 개인정보 악용 사고가 발생할 가능성이 크다.
가명정보 활용 허가 역시 위험성을 안고 있다. 앞서 언급했듯 가명정보를 조합하면 개인을 식별할 수 있다. 개인의 의료정보를 가명정보의 형태로 활용할 수 있도록 허용하는 것은 민간보험사 입장에서는 맞춤형 보험상품을 설계하거나 보험금을 조정하는 데 사용할 수 있겠으나, 환자의 입장에서는 원치 않는 개인정보 유출을 겪을 위험성이 매우 높다는 문제가 있다. 정부에서는 이러한 우려에 대비해 현재 국제적인 개인정보보호법으로 인정받는 EU GDPR(General Data Protection Regulation)을 토대로 감독기구의 독립성 확보 등 개인정보의 악용을 막을 안전장치를 마련해 두었다고 주장하였다. 그러나 EU GDPR에 기술된 개인정보 보호 장치는 대부분이 빠져 있거나 미흡한 상태이다. GDPR에서는 EU 내에 사업장이 없는 기업이 EU 내에 거주하는 사람의 개인정보를 처리할 경우 똑같이 법을 적용하며 EU 내에 의무적으로 대리인을 지정해야 한다고 기술되어 있으나, 데이터 3법 개정안에는 해외 사업자에 대한 규정이 명문화되지 않았다. 또한 프로파일링 거부권(자신에게 중대한 영향을 미치는 사안을 프로파일링 등 자동화된 처리에 의해 결정하는 것에 반대할 권리)과 관련된 조항도 EU GDPR에는 상세히 명시되어 있으나, 이번 개정안에는 관련 규정이 전혀 없다. 요컨대 개인정보 보호 체계가 국제 수준에 한참 미치지 못한다는 것이다.
의료계에서는 이 법안의 개정에 대해 우려의 목소리를 냈다. 대한의사협회의 한 관계자는 “아무리 가명으로 개인정보를 처리한다고 해도 마음만 먹으면’실명화’하는 것이 기술적으로 어렵지 않다”며, “관련 법령 개정을 통해 보험회사 등 이를 상업적으로 ‘악용’하려는 업체에 대해선 개인정보를 함부로 사용하지 못하도록 하는 시스템을 구축해야 한다”고 말했다. 또한 무상의료운동본부, 보건의료단체연합, 의료연대본부 등을 포함한 시민단체에서는 “정보 주체인 국민들은 개인정보 권리 침해, 데이터 관련 범죄 증가, 국가와 기업의 국민 감시 및 차별 심화 등 그 피해를 고스란히 떠안게 될 것이다. 가장 사적이고 민감하여 보호받아야 할 각종 질병 정보, 가족력이나 유전병 정보 등 건강 정보에 의료 관련 기업은 물론이고 의료와 관계없는 온갖 영리 기업들도 접근할 수 있게 된다”고 비판했다.
최후의 보루, 의료법
정부에서 개인정보 규제 완화에 박차를 가하고 있기는 하지만, 아직 의료정보를 비롯한 개인정보가 정보 주체의 동의 없이 상업적으로 활용되기에는 장벽들이 남아있다. 그 중 가장 큰 장벽은 의료법이다. 현행 의료법 제21조제1항에 따르면 환자는 본인의 의무기록을 열람하거나 사본 발급을 의료인, 의료기관의 장 및 의료기관 종사자에게 요청할 수 있으며 이는 정당한 사유가 없으면 거부할 수 없다. 또한 동법 제21조제2항에서도 의료인이나 의료기관의 장, 의료기관 종사자는 환자가 아닌 다른 사람이 환자에 관한 기록을 확인할 수 있게 해서는 안 된다고 명시되어 있다. 이와 같은 조항 때문에 의료기관이나 의료인이 아닌 사람은 환자의 의무기록을 열람할 수 없고, 업계에서는 의료 데이터의 활용이 자유롭지 않다는 점이 여전히 헬스케어 산업 성장에 걸림돌이 된다며 개정을 촉구하고 있다.
흔히 히포크라테스 선서라고 알려진 제네바 선언문에는 다음과 같은 구절이 나온다. ‘나는 환자가 나에게 알려준 모든 것에 대하여 비밀을 지키겠노라’, 또한 의료법 제19조에도 ‘의료기관 인증에 관한 업무에 종사하는 자 또는 종사하였던 자는 그 업무를 하면서 알게 된 정보를 다른 사람에게 누설하거나 부당한 목적으로 사용하여서는 아니 된다’라고 법제화되어 있다. 머지않아 데이터 규제 완화 작업이 다시 진행된다면 그 때 충돌할 법안은 의료법이 될 공산이 크다. 그리고 의료법과의 충돌은 곧 의료윤리와의 충돌이다. 의료인들이 데이터 3법 개정과 전혀 무관하지 않은 이유다.
김태희 기자 / 인하
hungrybear127@naver.com