전체메뉴 검색창 열기 / 닫기
닫기

[이슈분석]의료 빅데이터, 보호와 활용 사이 해법을 찾다

발행일2017.11.06 13:00

유럽 일반개인정보보호규정(GDPR)은 국내 의료계에도 시사하는 바가 크다. 자국민 개인 정보보호라는 큰 틀 안에서 보호와 활용의 균형을 모색하는 철학이 녹아 있기 때문이다. 의료 빅데이터로 맞춤형 치료법 제시가 목표인 현대 의학에서 GDPR는 의료 빅데이터 활용이 제한된 우리나라에 적지 않은 메시지를 준다.

서울아산병원의 '개인정보 연구목적 처리를 위한 법·제도 개선 방안 연구'에 따르면 GDPR에서 주목해야 할 부분은 '가명 처리'다. 가명 처리란 개인 정보를 추가 정보 없이 특정 개인을 알아볼 수 없도록 처리하는 방식이다. 추가 정보는 식별 가능한 자연인과 연결되지 않도록 별도로 보관되고, 기술과 관리 조치를 취해야 한다. 개인 정보가 익명, 비식별 처리가 되면 데이터 활용성이 떨어지는 문제점을 보완하기 위해 만들어졌다. 우리나라 비식별 처리와 차별화된다.

가명 처리 정보는 정보 주체를 식별하는 추가 정보를 별도 분리, 관리하도록 한다. 가명 처리를 했다고 무조건 개인 정보가 아니라는 접근 방식도 아니다. 개인 정보 보호법제 적용을 면제하는 게 아니라 정보 접근, 수정, 삭제, 이동 등 일부에만 적용을 면제한다. 개인 정보 보호와 활용에 균형을 추구하는 개념이다.

이 개념은 보건의료 정보 산업 측면에서 바람직하다. 개인 정보 활용 시 주체의 동의를 면제받는 안전장치가 된다. GDPR 제9조 제2항 예외 조항을 보면 '중대한 건강 위협으로부터 보호하거나 높은 수준의 의료 품질 및 안전성과 의약품 또는 의학 장비를 보장하기 위함 등 공익상의 이유로 개인 정보 처리가 필요한 경우 동의를 면제'한다고 명시돼 있다. 다만 가명 처리 등 적절한 안전장치를 마련해야 한다.

또 '과학 연구 목적인 경우 수집된 개인 정보의 2차 사용 시 동의를 면제'하며, '동의 없이 보유 기간 연장'도 가능하다고 제시한다. 이 역시 가명 처리 등 안전장치가 필요하다.

유소영 서울아산병원 아산생명과학연구원 정책부장은 “GDPR는 개인 정보 활용 시 정보 주체의 명시된 동의를 받아야 하는 게 원칙이지만 보건의료 연구에서는 동의 없이 민감한 정보를 처리하게 명시했다”면서 “가명 처리라는 개념을 가져와 개인 정보 보호를 위한 기술 및 관리 방안을 마련하도록 안전장치를 뒀다”고 설명했다.

우리나라도 개인정보보호법 제18조에 따라 '통계 작성 및 학술 연구 등 목적을 위해 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인 정보를 제공하는 경우' 정보 주체의 동의 없이 데이터를 사용하거나 제3자에게 제공할 수 있다고 명시한다. 개인 식별을 할 수 없도록 하기 위해 '비식별화 가이드라인'까지 만들었다. 그러나 전문가들은 GDPR와 비교해 우리나라 개인정보보호법이 여전히 강력한 규제로 둘러싸인 데다 정의마저 모호하다고 지적한다.

유 부장은 “개인정보보호법에서 말하는 특정 개인을 알아볼 수 없는 형태 명시가 없어 연구자는 개인이 생각하는 방식대로 2차 사용, 제3자 제공을 하고 있을 가능성이 있다”면서 “개인 정보 보호를 위해 가장 보수성 짙은 정책을 세우지만 실제로는 개인 정보를 보호할 수 없는 역설이 발생한다”고 지적했다. 유 부장은 “보건의료 목적으로 의료 정보를 활용하는 구체화 방안으로 전문가 결정 방식, 피난처 방식 등을 고려해 일관성·실효성 있는 보건의료 데이터 정책이 필요하다”고 덧붙였다.

[전자신문 CIOBIZ] 정용철 의료/SW 전문기자 jungyc@etnews.com

댓글 보기


주요뉴스