“보건의료데이터, ‘보호’ 아닌 ‘활용’에만 초점 맞춰져 있어”
단국대 법대 이석배 교수 "의료데이터 활용 가이드라인과 의료법의 불명확한 관계, 생명윤리법과도 충돌"
기사입력시간 2021-10-25 08:39
최종업데이트
2021-10-25 08:57
[메디게이트뉴스 하경대 기자] 보건의료데이터 활용을 위한 제도적 장치가 마련되고 있지만 구체적인 가이드라인에서 법률적 문제가 남아 있다는 지적이 나왔다.
전 세계적으로 빅데이터에 대한 관심이 높아지고 우리나라에서도 2020년 8월 데이터 3법이 통과되는 등 데이터 확보와 활용 노력이 확대되고 있지만 관련 법률과 현장 가이드라인이 충돌하고 있다는 것이다.
단국대학교 이석배 법과대학 교수는 지난 23일 대한의료법학회 월례학술회의에서 보건의료데이터 활용 가이드라인의 현행법상 문제점들에 대해 문제를 제기했다.
보건복지부는 지난해 9월 개인정보 보호법 시행에 따른 후속조치로 '보건의료데이터 활용 가이드라인'을 발표했다. 하지만 의료데이터가 사람의 생명이나 신체 정보와 직결되고 민감정보를 포함하고 있음에도 세심한 기준이 포함돼 있지 않다는 게 이날 이 교수의 주장의 요지다.
우선 가장 큰 문제로 지적된 부분은 가이드라인이 정보 보호가 아닌 활용에 중점을 두고 있다는 점이다. 현행 가이드라인은 재식별시도 예방시스템이나 투명성 확보, 종사자들의 관련 교육, 윤리적 조치 등의 내용을 권고하는 수준에 그치고 있다는 것이다.
이 교수는 "현재의 가이드라인은 행정기관이 일정 행정목적을 달성하기 위해 필요한 기준과 절차를 정하는 것으로 법적 구속력이 없는 행정지도에 불과하다. 즉 제재나 쟁송의 대상이 될 수 없다는 뜻"이라며 "의료데이터는 민감정보가 많고 언제든지 새로운 개인정보 침해 위험이 발생할 수 있으므로 사후관리 강화와 다양한 수준에서 데이터 활용의 영향을 평가할 필요가 있다"고 강조했다.
이어 그는 "복지부는 보건의료데이터 사용에 개인의 사생활 보호와 데이터 보안 강화 방안을 지속적으로 보완하면서, 공익적 목적의 개인정보, 가명정보 활용의 유용성 등을 알리고 정보주체의 동의를 확보해 나가는 추가적인 방안이나 입법적 보완도 고민해야 한다"고 전했다.
가이드라인과 의료법의 불명확한 관계도 비판의 대상이 됐다.
현행 의료법 제21조에 따르면 개인정보보호법에 대한 해석과 별개로 개인 의료정보는 환자가 아닌 다른 사람에게 제공하지 못하도록 하고 있다. 반면 가이드라인은 '가명처리해 환자 식별력이 없는 진료기록' 정보에 대해선 의료법이 적용되지 않는다고 해석하고 있다. 즉 가명처리만 된다면 얼마든지 제3자 제공이 가능할 수 있는 여지가 있는 것이다.
이와 관련해 이석배 교수는 "의료법은 가명처리에 특례를 두고 있지 않는다. 그러나 가명처리된 정보가 의료법 적용에 배제되고 개인정보보호법에 따라 제3자 제공이 가능할 수 있다는 해석에 동의할 수 없다"며 "현행 의료법의 개정방향도 오히려 의료정보의 보호를 강화하는 방향으로 가고 있다"고 설명했다.
이 교수는 "개인 의료정보의 경우 정보 주체의 인권에 치명적인 영향을 줄 수 있다. 이를 가이드라인도 어느 정도 인지하고 있기 때문에 동의를 요건으로 하고 기관내 데이터심의위원회도 설치해 운영하도록 하고 있다"며 "의료정보의 보호는 법적 효력이 없는 가이드라인이 아닌 법률에 규정할 필요가 있다"고 강조했다.
생명윤리법과의 관계에 있어서도 문제가 지적됐다.
현행법상 의료정보의 제3자 제공시 익명화와 서명동의는 개인정보보호법에서 생명윤리와 안전에 관한 특별한 규정을 두지 않는 한 정보의 처리에 관해 생명윤리법이 적용되고 있다. 또한 생명윤리법 제51조제2항은 검사대상물을 인체유래물 연구자나 인체유래물은행에 제공하기위해선 검사대상자로부터 채취와는 별도의 서면동의를 받아야 한다고 명시하고 있다.
그러나 가이드라인은 가명정보를 이용한다면 동의 여부가 생명윤리법상 기관심사위원회(IRB) 심의와 동의면제 대상이 될 수 있고, 면제 여부에 대해선 IRB의 확인이 필요하다고 규정하고 있어 문제가 된다는 게 이 교수의 주장이다.
이석배 교수는 "생명윤리법에 따르면 의료정보 활용엔 익명화와 동시에 서면동의가 필요하다. 이 때문에 인간대상연구나 인체유래물연구 등에 이용된 의료정보는 가명처리를 하더라도 정보주체의 동의없이 제공될 수 없는 것이 원칙"이라며 "현행 가이드라인은 생명윤리법의 규정과 충돌하는 것으로 보인다. 인간대상 연구는 IRB 심사가 원칙이고 익명처리와 정보주체 동의는 당연히 취해야 할 안전조치"라고 말했다.