“의료 마이데이터”… 안전한 활용에 대하여

[디지털비즈온 김맹근 기자] 개개인의 정보는 미래 산업의 쌀이라고 불리고 있다. 의료분야도 예외가 아니다. 특히 우리나라는 전국민 건강보험시스템의 성공적인 정착으로 인해서 인종적인 다양성의 부족을 제외한 나머지 연령, 성별 등 다양한 환자에 대한 의료데이터가 잘 정리·축적되어 있어 그 가치가 매우 크다.

의료데이터를 활용하여 디지털 헬스케어 산업을 진흥하려면 논의의 출발점이 되어야 할 것은 의료데이터의 특성이다. 의료데이터는 인간의 개인정보 중에서 가장 민감한 정보로서 의료법과 생명윤리법 등 다수의 의료관련 법제가 있어 이들 법제와의 규범체계와의 정합성을 담보하여야 하는 규범적인 복합성을 가지고 있다.

우리나라의 개인정보 법제의 특징이 각 분야의 특징을 반영한 파편화에 있다는 점을 감안하여 보면, 의료정보와 관련된 논의에서 의료데이터의 특성을 정확히 파악하고 이를 의료데이터의 처리와 관련된 개인정보 법제에 반영하는 것은 중요하다.

디지털 헬스케어 산업과 의료정보 활용 논의 규범적 전제

디지털 헬스케어는 산업적으로 중요성이 커지고 있다. 인공지능은 영상의학과 병리진단만이 아닌 의료 전반에 응용될 수 있다. 다양한 진료지원(문진 및 간병), 검체검사, 정밀의학, 예방의료, 신약개발 등에 활용 가능할 것이다.

의료에서 의사와 인공지능은 같이 갈 것으로 보이는 바, 의료인공지능을 위해서는 학습용 빅데이터를 통해서 딥러닝을 해야 할 필요가 있다. 이 과정에서 디지털 헬스케어는 의료정보를 위한 빅데이터를 바탕으로 해야 한다. 병원 내에서 수집되어 활용될 수 있는 디지털 데이터의 종류 및 인공지능과 관련하여 활용가능한 데이터 유형은 다양하다.

예를 들어 폐암의 경우 진료데이터(EMR: 전자의무기록), 흉부 엑스레이(Chest X-Ray), Chest CT, 기관지 내시경, 감마스캔, 초음파, 폐기능검사, 폐조직검사(각 영상), 도말(塗抹)검사 등 다양한 데이터들이 있다.

2021. 1. 개정된 『보건의료데이터 활용 가이드라인』에는 측정수치정보, 의료인의 관찰입력정보, 알고리즘이 생산한 건강정보 등 여러 유형의 식별자를 두고 이에 따른 사용방법이 제시되어 있다. 이런 의료데이터의 활용을 통해서 양질의 데이터가 생산되고 신뢰할 수 있는 데이터 활용기반이 조성되면 데이터를 활용한 혁신성장의 기반을 구축할 수 있을 것이다.

의료정보의 특성을 감안하는 것과 활용의 필요성이라는 양자를 조화롭게 규정하는 것이 이 논의의 핵심이다. 의료분야에서 인공지능 학습을 위한 데이터는 민감정보인 의료정보를 활용하는 것으로 당연히 데이터 비식별화9)가 필수적이며, 데이터 활용시 주체에 대한 피험자 동의가 전제가 되어야 한다.

‌디지털 헬스케어 진흥 및 보건의료데이터 활용 촉진에 관한 법률(디지털헬스케어법)안 의견

‘디지털 헬스케어법’은 2022. 10. 6. 강기윤 의원 대표발의안이다. 디지털 헬스케어법은 의료데이터의 활용을 위한 법이다. 이 법안에 대해서는 여러 쟁점이 있겠으나 이 브리프에서는 법률안의 제3자 전송 요구권 등을 중심으로 현재 법률안 중 보완 필요한 부분 내지 추가로 담겨야 할 부분에 대한 의견을 제시하고자 한다.

이를 위해서는 데이터 제3자 전송요구권15)의 성격에 대한 규명이 전제가 되어야 할 것으로 보인다. 정보주체인 개인은 마이데이터에 대한 통제권를 가져야 한다. 의료정보의 경우, 환자의 의료정보를 병원이 보유하고 있는 형태를 띠는 것이 다수 있다. 이런 의료정보를 수집하여 서비스를 제공하려는 자가 있을 것이다.

이런 입법에 있어서 중요한 것이 전체적인 제도설계의 구조에 대한 철학적인 기반을 마련하는 것이다. 이에 대해서는 소유권 관점에서 접근하는 태도(property rule based approach)가 있을 수 있다. 이는 의료정보를 소유권의 대상으로 보는 것이다. 이렇게 되면 소유권자가 누구인지를 정하고, 그의 처분행위(데이터사용에 대한 동의)에 의해서 사용이 규율된다.

이 접근법은 특허권이나 저작권과 같은 소유권 기초의 권리를 부여하는 법안에서 사용되는 방법으로 미국의 Moore 판결이 이런 태도에 기초한 것으로 보인다. 이 접근법에서는 금지청구권이 중요한 권리구제수단으로 사용된다. 이에 대해서 활용을 위해서 일단 사용하도록 하고 일정한 금지행위를 입법하여 이에 대한 위반행위가 있으면 손해배상청구권으로 규율하는 접근법(liability rule based approach)이 있을 수 있다.

한편 법안의 제3자 전송권은 데이터 거버넌스의 면에서도 고려할 점이 있다. 활용기관과 이에 대한 보건복지부의 통제구조(control framework) 설계(법안 제14-18조)는 의료데이터의 속성상 시장규율에 맡기기 어려운 면이 있다는 점에서 중요하다. 데이터 활용과 관련된 거버넌스를 어떻게 구성할 것인가가 정비가 되어야 의료분야 마이데이터의 성과를 낼 수 있는 기반이 구축될 수 있을 것으로 보인다.

그러므로, 데이터심의위원회, 데이터 처리조직, 데이터 활용조직, 데이터 활용 지원 조직 등의 역할에 대한 분명한 제시가 필요하며 특히 병원의 경우 제3자 전송에 대한 책임에서 면책이 되는 경우를 명확하게 규정하는 것이 필요하다.