의료정보 활용 요구는 커지지만 명확한 개념 정의조차 없어 진료, 연구 등 현장 혼란이 가중된다. 일률적으로 민감정보로 규정, 활용을 제한하는 것은 의료진과 환자 모두에게 손해다. 의료정보 개념 정의와 함께 관련 법률을 수집이 아닌 활용 단계 규정을 강화하는 논의가 필요하다는 지적이다.
서울대병원은 정보보호 심포지엄을 열고 의료정보 활용과 보호 사이 균형점을 찾는 다양한 의견을 나눴다. 이번 행사는 서울대병원 정보화실 주최로, 최근 늘어나는 의료정보 활용 수요에 맞춰 현장 애로점과 고려할 점, 법적 개선 방안 등을 논의했다. 병원, 기업, 정부기관 등에서 150여명이 참석했다.
의료정보는 개인 신체정보를 포함해 질병, 보험청구, 처방 등 다양한 내용을 포함한다. 현대의학이 이 정보를 분석해 맞춤형 치료법을 제시하는 정밀의료로 발전하면서 데이터 중요성과 활용 수요는 커진다.
의료정보도 개인정보에 포함됨에 따라 보호해야 할 의무와 기술적 장치가 필요하다. 하지만 개인정보보호법, 의료법, 생명윤리 및 안전에 관한 법률 등 관련법에서 방대한 의료정보 중 어느 부분까지 개인정보로 봐야 하는지 정의가 명확치 않은데다 비식별 조치 과정도 모호하다.
이경분 서울대병원 병리과 교수는 “환자에서 떼낸 조직검체와 고배율 세포사진은 내부적으로 개인식별이 불가능해 개인정보로 보지 않았지만, 외부 자문 결과 동의 없이 활용은 위험하다는 해석을 받았다”면서 “결국 연구 설계를 다시 했는데, 식별이 어려운 병리학 이미지조차 자유롭게 쓸 수 있는지 명확하지 않다”고 지적했다.
최인영 가톨릭대학교 의료정보학교실 교수도 “비식별화 가이드라인은 의료 분야에 개인정보 정의가 명확하지 않아 무엇을 비식별 조치해야 할지조차 모호한 상황”이라면서 “비식별 적정성 평가 역시 명확한 기준이 없어 평가위원 개인 경험과 성향에 의존한다”고 비판했다.
선진국은 의료정보 활용을 촉진하기 위해 법률정비에 집중한다. 미국에서는 건강보험이전과 책임에 관한 법(HIPPA)으로 의료정보 정의는 물론 18개 항목 삭제 후 동의 없이 사용 가능한 조항 등 비교적 상세히 제시한다. 유럽 개인정보보호법(GDPR) 역시 개인정보 중에서도 의료 등 취급 주의가 필요한 민감 정보를 따로 규정했고, 가명처리 할 경우 연구목적으로 동의 없이 활용하도록 했다. 일본은 2015년 익명 가공정보 개념을 도입한 개인정보보호법 개정과 지난해 차세대의료기반법을 제정, 국가가 인정하는 사업자는 비식별 조치와 가공을 허용했다.
글로벌 추세에 맞춰 우리도 여러 개인정보보호법 개정안이 발의된 상태다. 여전히 의료정보는 민감정보로 분류, 사실상 개인 동의 없이 활용이 불가능하도록 제시됐다. 이에 수집 단계에 안전정치를 강화하기 보다는 활용 목적 위배 등 뒷단의 감시·관리를 강화하자는 의견도 제시됐다.
윤종수 법무법인 광장 변호사는 “의료정보 활용은 대부분 개인 동의에 기반하는데 환자는 막연한 두려움으로 동의가 어렵다”면서 “모든 규제가 수집, 동의에 집중되는데 오히려 활용 부문을 강화하는 사후규제로 전환도 필요하다”고 제안했다.
정용철 의료/바이오 전문기자 jungyc@etnews.com
