2020년 8월 5일 시행된 개정 개인정보보호법은 가명 처리된 개인정보 활용의 길을 열었다. 민감한 내용이 포함될 수 있는 보건의료정보에서도 가명 처리를 통해 통계 작성, 과학적 연구, 공익적 기록 보존 목적을 위해 정보 주체의 동의 없이 이용할 수 있다는 것이 정부 설명이다. 같은 해 9월 25일 정부는 개인정보보호법 시행의 후속 조치로 보건의료정보의 특수성을 고려한 보건의료 데이터 활용 가이드라인을 공표했다.
정부는 올해 1월 29일 이를 한 차례 개정해 발표하기도 했다. 이로써 보건의료데이터 활용을 위한 가명처리 방법과 절차에 대해 현장의 혼란을 어느 정도 해소했다고 평가할 수 있다. 그러나 가이드라인 내용을 보면 보건의료정보 범위를 어디까지로 보고, 그 가운데 정보 주체 보호를 위해 엄격한 규제가 필요한 부분이 어디까지인지 등 불명확한 부분이 있다. 정보 유형에 따라 음성 정보, 지문 등 생체인식 정보 및 유전체 정보 등에 대해선 가명 처리 가능 여부가 유보돼 있는 등 아직은 향후 논의가 필요한 부분이 상당하다.
보건의료정보에는 특히 민감한 내용이 포함돼 있을 수 있어 활용에서 정보 주체의 권리 침해 우려를 지적하는 목소리도 높다. 이는 관련 법제가 보건의료데이터 보호와 활용의 균형을 도모하기 위해 앞으로도 해야 할 일이 많다는 점을 보여 주고 있다. 이는 우리만의 문제가 아니라 전 세계적 문제이기도 하다. 과거와 달리 더 이상 선발 국가의 우수한 선례를 보고 참고할 수도 없는 상황이다.
또 개인정보보호법, 생명윤리법 등 관련 법규 등을 보면 앞에서 언급한 가이드라인의 내용과 불일치하거나 불명확한 부분도 있어 법제 개선이 필요한 부분도 보인다. 우선 개인정보보호법만 봐도 법상 민감한 정보 처리에 가명 처리 특례가 적용되는지 등 명확히 규정돼 있지 않다.
생명윤리법은 인간 대상 연구자나 인체 유래물 연구자 등이 정보 주체의 개인정보나 인체유래물, 잔여검체 등을 제3자에게 제공하는 경우 익명화해야 한다고 규정하고 있다. 인간대상연구, 인체유래물연구, 유전자검사 등에서는 대상자로부터 개인정보 보호 및 처리에 관해 서면 동의를 받을 것을 요구한다. 정부는 이와 같은 노력이 많이 있었지만 보건의료정보를 활용하기 위해서는 많은 경우 해당 정보 주체의 동의에 의지하게 된다. 이러한 사전 동의를 수집할 때마다 얻기는 어려운 일이다. 나아가 수집 시 동의 내용에 이용 목적을 제대로 특정하지 못하는 경우에는 이후 활용에서 법제 위반의 위험에 직면하는 문제가 발생하게 된다.
보건의료정보의 적정한 활용을 위해서는 민감한 정보에 대해 일반 개인정보보다 강화된 안전조치 아래 가명 처리해서 이용할 수 있다는 점을 법제상 명확히 하는 것이 필요하다. 나아가 과연 어느 정도에 따라서 어떻게 가명 처리를 해야 적법하게 이용이 가능한 것인지에 대해 향후 환자 등 정보 주체와 의료기관, 연구기관, 관련 산업계 등의 협력이 요구된다. 이를 통해 전문적이고도 현장 경험을 반영한 지속적 논의가 필요하다고 생각된다.
이러한 상황에서 보건의료정보에 있는 과학적·산업적 가치에만 주목해서 무조건 활용을 고집할 수도 없다. 정보 주체의 권리 침해 우려를 이유로 이를 반대만 할 수도 없다. 협의를 위해서는 보건의료정보가 영리적·상업적으로 활용돼 사익을 추구하는 수단이 되지 않도록 하는 안전장치에 대한 고민도 병행돼야 한다. 예를 들어 해당 이용 기관이 사적인 기관이었을 경우에는 이용목적 적합성이나 안전성확보조치 등의 당부 판단에서 더 엄격한 기준을 적용해야 한다. 기관생명윤리위원회 또는 데이터 심의위원회 등의 구성과 역할이 실질적으로 정보 주체의 권리 보호에 도움이 될 수 있도록 적절한 감독과 제도설계가 필요할 것으로 생각한다.
문선영 숙명여대 법학부 교수 echelo@sookmyung.ac.kr
