"의료 마이데이터, 환자 보호가 최우선…전송 시스템 구축 등 선결과제"
'개인정보 보호법'이 개정된 가운데, 의료계에서는 환자의 개인정보 보호를 최우선적으로 삼아야 하며, 데이터 전송을 위한 시스템 투자, 재실명화 프로세스 등이 구체적으로 마련돼야 한다는 목소리가 나왔다. 또한 모든 의료 데이터를 처음부터 열어주기보다 시범적으로 제한된 데이터로 시행해보는 것이 필요하다는 의견이 제기됐다. 개인정보보호위원회는 30일 고려대학교 의과대학 본관에서 보건복지부, 의료계, 시민단체, 산업계와 함께 의료분야 마이데이터의 도입방향을 논의하기 위한 간담회를 개최했다. 지난 14일 개인정보 보호법 개정안이 공포됨에 따라, 개인정보 전송요구권이 공포일로부터 1년에서 2년 범위 내에서 시행될 예정이다. 개인정보위는 개인정보 전송요구권 시행과 관련해 사회 각계각층의 의견을 듣기 위해 분야별 간담회를 추진하고 있으며, 국민과 기업의 관심이 가장 높은 보건·의료 분야가 첫 번째 주제로 선정됐다. 이번 간담회는 지난 2월 28일에 열린 '바이오헬스 신시장 창출 전략' 회의에 따른 후속조치의 일환으로 진행됐다. 이날 간담회에는 대형병원, 의료분야 협회뿐만 아니라 시민단체, 바이오헬스 분야 주요 기업들이 함께 참여했다. 의료 마이데이터의 주요 논의 대상은 ▲전송대상 정보항목 범위 ▲정보제공 의무자 범위 ▲정보 수신자 범위다. 의료계에서는 의료 마이데이터가 철저하게 환자 편익제고 관점에서 이뤄져야 한다고 강조했다. 또한 상당한 의료데이터가 의사의 판단이 포함된 정보라는 특수성, 의료기관이 아닌 제3자의 의료데이터 축적에 따른 위험성을 고려해야 한다고 밝혔다. 전송을 위한 데이터 표준화 및 보안성 확보 등을 위한 재원‧기술 확보, 전송된 데이터의 위변조 방지 등이 선결과제라는 의견도 제시했다. 대한약사회 정일영 정책이사는 "정보제공자가 동의하고 개인정보를 제공했다할지라도 제공동의 당시 정보 수신자의 활용 가능 범위의 확장성을 충분히 예측할 수 없기 때문에 법률로서 제한적으로 조심해서 허용해야 한다"며 "환자는 약자의 위치에 서는 경우가 많기 때문에 국가는 약자 보호 차원에서 개인의 의료정보를 보호해야 되며, 필요 이상의 민간 유출은 지양하고 공익적 판단에서 허용해야 한다"고 말했다. 대한병원협회 김성현 자문위원은 "개인 의료 정보가 외부로 나가면 해당 정보가 환자에게 피해를 끼치는 방향으로 사용될 가능성이 있다"며 "개인정보를 유통하는 게 편익이 크다면 그 방향으로 가게 되겠지만, 개인정보 보호가 취약해지는 쪽으로 가면 안 된다"고 말했다. 김 위원은 또한 데이터 전송을 위한 시스템 투자에 대해서도 지적했다. 김 위원은 "데이터를 유통시키는 시스템을 구축하는 데 대형의료기관은 투자 여력이 있지만 조그만 시골에 간호사 1명, 의사 1명있는 병원은 여력이 없다"며 "병원은 IT로 돈 버는 기관이 아닌데 얼마나 (해당 시스템에) 투자해야 환자의 정보를 보호할 수 있을지가 가장 큰 우려점"이라고 말했다. 이어 "의료 기관 하나하나에 서버를 두는 건 방법이 아니다"라며 "작은 의료 기관의 정보를 한 군데에서 모아두고 강력히 보안하고 관리하는 방식이 좋겠다"고 덧붙였다. 또한 김 위원은 재실명화 프로세스를 구체적으로 마련해야 한다고 밝혔다. 그는 "가명데이터만 가지고는 의미있는 결과를 낼 수 없어, 추가적인 정보가 꼭 필요하다"며 "그러기 위해서는 재실명화 작업을 거쳐야 하는데, 지금까지의 마련된 법령이나 규제 안에는 재실명화 프로세스가 명시돼 있는 게 없다. 구체적으로 이를 마련해야 한다"고 강조했다. 대한의사협회 유소영 이사는 "의료 데이터에 대해 경제적, 사회적으로 모두 가치 평가가 필요하다"며 "경제적 가치뿐 아니라 의료기관, 공적인 기관으로서의 사회적 가치도 중요하기 때문에 가치 평가에 대한 부분도 고려가 필요하다"고 말했다. 또한 "전송요구건에 대한 책임은 의료기관에게 있지만, 권한이나 권리는 없다"며 "권리와 책임은 등가여야 한다"고 말했다. 서울대병원 이형철 교수는 "병원 입장에서는 데이터를 어디까지 공유해줘야 하는지 고민이 있다. 또한 환자 입장에서는 본인의 데이터가 실명정보로 외부에 제공됐을 때 인권 문제가 생길 수도 있다"고 말했다. 또한 "의사 입장에서는 매 순간에 환자의 의료 정보가 언제든지 외부로 전송될 수 있다는 걸 아는 순간, 진료 기록에서 불필요한 말을 삭제한다던가 하는 제약이 있지 않을까 우려되는 측면이 있다"고 덧붙였다. 삼성서울병원 박종환 상무는 "정보 전송 요구 시, 많은 용량의 트래픽이 발생할 텐데 그 비용을 어떻게 할 건지 고민된다"며 "또한 전송 받는 기관에서는 모든 데이터를 다 받아야 하는지, 그 많은 데이터를 삭제하지 않고 관리하면서 보안 위험을 감수해야 할 텐데 병원 입장에서는 데이터를 안 받거나 정제해서 받을 권리가 있는지 논의되면 좋겠다"고 말했다. 국립암센터 최귀선 센터장은 "의료 마이데이터를 시작할 때는 상대적으로 덜 민감하고 표준화가 잘 돼 있는 것부터 시작하면 좋겠다"며 "암보다는 심플한 진료 먼저 전송해보는 건 어떨까"하고 제안했다. 시민단체에서는 마이데이터가 환자의 의료정보 주권을 강화하는 방향으로 활용되기 위해 제3자 전송이력 확인 및 전송 중단‧파기를 요구할 수 있는 시스템 구축이 필요하고, 의료기관이 전송요구를 거부할 수 있는 예외적 정보의 범위를 최소화할 필요가 있다고 강조했다. 또한 민감한 의료정보가 환자의 충분한 이해 없이 전송되지 않도록 실효적 동의절차가 담보돼야 하며, 의료정보가 악용되지 않도록 정보보호를 위한 안전장치가 담보돼야 한다는 의견이 있었다. 한국환자단체연합회 안기종 대표는 "(환자 개인정보는) 한 번 유출되면 돌이킬 수 없기 때문에 사전 예방이 중요한데, 의료 관련해서는 좀 더 엄격한 절차와 규정이 마련돼야 한다"며 "시행령에서 마련되길 바란다"고 말했다. 한국소비자연맹 정지연 사무총장은 "산업이 아닌 상업화에 대한 우려의 시각이 크다"며 "마이데이터가 정보주체의 권리를 강화하는 측면이 있다고는 하지만, 그것보다는 상업화에 대한 부분에 치중하는 게 아닌가 하는 우려가 있어, 이를 불식시킬 수 있는 하위법령을 잘 만들어주길 바란다"고 말했다. 이어 "소비자 입장에서는 내 정보를 어디에 어떤 목적으로 사용할 것인가에 대한 불안이 높다"며 "제3자 제공의 수집 목적은 무엇이고, 어디에 어떻게 활용할 것인지 공정하고 투명하게 소비자들이 충분히 인식할 수 있게 알리는 게 중요하다. 또한 동의 기반이라고 하지만 동의 내용을 소비자가 충분히 알 수 있게 하는 게 중요하다"고 강조했다. 또한 "수익배분의 문제도 본격적으로 논의돼야 한다"며 "의료 기관뿐 아니라 소비자도 같이 충분히 누릴 수 있어야 한다"고 덧붙였다. 산업계에서는 의료 마이데이터를 통해 맞춤형 운동‧식이 등 개인 건강관리에 도움을 줄 수 있고, 스마트폰 센서 등과 결부되어 건강상태 알림 등 맞춤형 서비스가 도입될 수 있음을 강조했다. 더불어 의료 마이데이터 서비스가 활성화되기 위해서는 개인을 구분할 수 있는 안전한 식별‧인증체계가 우선적으로 마련돼야 한다고 건의했다. 네이버헬스케어 오성권 상무는 "네이버헬스케어 연구소에서는 아직 마이데이터 활용에 대해 구체적 계획은 없는 상태"라며 "처음부터 모든 데이터를 모두 여는 것은 부담스럽다. 단계적으로 접근하면 좋겠다"는 의견을 전달했다. 카카오헬스케어 신수용 이사는 "언제까지 건강기능식품을 먹으면서 국민들이 건강 관리를 해야 하나"며 "제대로 된 건강관리 서비스가 필요하고, 그렇게 하기 위해서는 환자들의 데이터를 입체적으로 볼 필요가 있다"고 말했다. 이날 간담회에 참석한 보건복지부 은성호 첨단의료지원관 국장은 "궁극적으로 (의료 마이데이터는) 환자 측면에서 이익이 극대화돼야 한다"며 "시범 형태로도 적용할 수 있을 것 같고, 영역별로 사례 구축도 필요하다"고 말했다. 보건복지부 신지명 의료정보정책과장은 "인프라스트럭쳐가 충돌되지 않게 의료 분야는 복지부에서 전담을 하는 부분을 고려해주면 좋겠다"고 말했다. 이날 의료계 의견을 들은 양청삼 개인정보위 개인정보정책국장은 "정보 주체의 동의를 확보하는 문제는 굉장히 중요한 문제라고 본다"며 "철저하게 안전장치를 이중, 삼중으로 마련할 생각"이라고 말했다. 이어 "제도만으로는 전송요구권의 실체가 구현되는 것은 아니다"라며 "인프라와 컨센서스가 잘 갖춰져야 하고, 관리 메커니즘이 있어야 한다. 첫 발자국을 뗐다는 데 의미가 있다고 본다"고 말했다. 또한 "제3자 전송에 있어서는 포괄적 목적의 동의는 대단히 신중하게 해야 하며, 특별한 목적에 한해서만 허용되고 검토돼야 한다"고 덧붙였다. 개인정보위는 6월까지 마이데이터 큰 그림을 담은 로드맵을 마련할 계획이다. 고학수 개인정보위 위원장은 “의료분야 데이터 활용과 관련하여 오랜 기간 관련 전문가분들 및 시민단체분들과 소통해온 만큼, 의료데이터 활용과 관련한 기대와 우려를 잘 알고 있다”며 “오늘 간담회를 출발점으로 삼아 보건복지부와 긴밀히 협력하면서 적극적으로 의료분야 각계각층의 의견을 폭넓게 수렴하고, 전송요구권 대상 정보의 범위, 전송의무를 적용받는 기관 범위, 전송을 받을 수 있는 기관 기준 등을 개인정보보호법 하위법령으로 정하는 과정에서 균형잡힌 의료 마이데이터 제도와 안전하고 신뢰받는 의료데이터 활용 환경이 조성될 수 있도록 적극 노력하겠다”고 말했다.