8월 시행 데이터3법, 의료에 어떻게 활용되나
①가명정보 활용 가능성 vs 개인정보보호 강화
①가명정보 활용 가능성 vs 개인정보보호 강화
[메디게이트뉴스 윤영채 기자] 지난 1월 9일 일명 ‘데이터 3법’으로 불리는 ‘개인정보 보호법’, ‘신용정보의 이용 및 보호에 관한 법률’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안이 국회 본회의를 통과하면서 데이터 경제 활성화 문이 열렸다.
데이터 3법 개정안은 개인정보를 보호하면서 데이터를 활용할 수 있는 기반을 마련하기 위해 ‘가명정보’ 개념을 도입해 통계작성, 과학적 연구, 공익적 기록 보존 등의 목적으로 처리할 수 있게 하는 내용이 핵심이다.
산업계 전문가들은 데이터 3법의 국회 통과를 환영하면서도 기존 법 체계와 상충하는 부분을 개선해야 한다고 주문했다. 하지만 다른 한 편에서 민감한 개인정보 등의 유출을 차단하기 위한 체계적인 조치가 필요하다는 목소리도 나오고 있는 상황이다.
정부, 데이터 3법 시행령 개정안 입법예고
행정안전부와 방송통신위원회, 금융위원회는 최근 가명정보 도입을 통한 데이터 이용 활성화, 개인정보 보호체계 일원화, 금융분야 데이터 신산업 도입, 전문기관을 통한 데이터 결합 지원 등을 위한 데이터3법 시행령 개정안을 입법예고하고 5월 11일까지 지난 40일간 입법예고를 거쳤다. 이번 시행령 개정안은 관계기관 협의, 규제 및 법제처 심사, 국무회의 등을 거쳐 8월 5일 공포·시행된다.
시행령 개정안을 구체적으로 보면 개인정보처리자는 당초 개인정보를 수집했던 목적과의 상당한 관련성, 수집한 정황과 처리 관행에 비춘 예측 가능성, 추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것 등의 요건을 갖춘 경우 수집한 개인정보를 정보주체의 동의없이 추가로 이용·제공할 수 있게 된다.
또한 가명정보를 결합하고자 하는 개인정보처리자는 보호위원장 또는 관계 중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출할 수 있다. 전문기관은 일정한 인력·조직, 시설·장비, 재정능력을 갖춰 지정될 수 있으며 3년 간 지정의 효력이 인정된다.
가명정보를 처리하는 개인정보처리자는 내부관리계획을 수립해야 하고, 개인을 알아볼 수 있는 추가 정보는 분리 보관하며 접근 권한도 분리해야 하는 등의 물리적·기술적인 안전조치를 실시해야 한다.
가명정보 처리 목적, 보유기간, 파기 등의 사항을 기록으로 작성해 보관하게 함으로써 안전성도 확보할 수 있게 했다. 특히 ’민감정보’에 생체인식정보와 인종·민족정보를 포함해 더욱 보호될 수 있도록 했다. 나아가 생체인식정보와 인종·민족정보를 민감정보에 새롭게 추가해 별도로 정보주체의 동의를 받아서 처리하도록 했다.
이와 함께 체계적 개인정보 보호를 위해 위원회 운영 제도를 개선하고 정보통신망법 시행령 관련 규정을 이관했다.
생명윤리법 등 쟁점사항에 관한 내용도 향후 협의해나갈 방침이다. 행정안전부 관계자는 “의료법과 생명윤리법에 수정할 내용들이 있어 복지부와 협의하고 있다. 가이드라인으로 해결할지, 시행령으로 할지 방향을 잡고 있는 듯하다"라며 "법 시행인 8월 5일까지 특별히 문제가 없도록 준비할 예정”이라고 밝혔다.
시행령 개정안을 구체적으로 보면 개인정보처리자는 당초 개인정보를 수집했던 목적과의 상당한 관련성, 수집한 정황과 처리 관행에 비춘 예측 가능성, 추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것 등의 요건을 갖춘 경우 수집한 개인정보를 정보주체의 동의없이 추가로 이용·제공할 수 있게 된다.
또한 가명정보를 결합하고자 하는 개인정보처리자는 보호위원장 또는 관계 중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출할 수 있다. 전문기관은 일정한 인력·조직, 시설·장비, 재정능력을 갖춰 지정될 수 있으며 3년 간 지정의 효력이 인정된다.
가명정보를 처리하는 개인정보처리자는 내부관리계획을 수립해야 하고, 개인을 알아볼 수 있는 추가 정보는 분리 보관하며 접근 권한도 분리해야 하는 등의 물리적·기술적인 안전조치를 실시해야 한다.
가명정보 처리 목적, 보유기간, 파기 등의 사항을 기록으로 작성해 보관하게 함으로써 안전성도 확보할 수 있게 했다. 특히 ’민감정보’에 생체인식정보와 인종·민족정보를 포함해 더욱 보호될 수 있도록 했다. 나아가 생체인식정보와 인종·민족정보를 민감정보에 새롭게 추가해 별도로 정보주체의 동의를 받아서 처리하도록 했다.
이와 함께 체계적 개인정보 보호를 위해 위원회 운영 제도를 개선하고 정보통신망법 시행령 관련 규정을 이관했다.
생명윤리법 등 쟁점사항에 관한 내용도 향후 협의해나갈 방침이다. 행정안전부 관계자는 “의료법과 생명윤리법에 수정할 내용들이 있어 복지부와 협의하고 있다. 가이드라인으로 해결할지, 시행령으로 할지 방향을 잡고 있는 듯하다"라며 "법 시행인 8월 5일까지 특별히 문제가 없도록 준비할 예정”이라고 밝혔다.
"의료법·생명윤리법 쟁점 해소해야"
데이터 3법의 모법이기도 한 ‘개인정보 보호법’ 개정안은 현행법의 개인정보 관련 개념을 개인정보·가명정보·익명정보로 세분화했다.
개인정보 보호법은 추가정보 사용 없이는 특정 개인을 식별할 수 없도록 처리한 가명정보에 대해서는 통계작성, 과학적 연구, 공익적 기록보존의 목적으로 처리해 활용할 수 있도록 하는 내용이 골자다.
이로써 개인정보보호에 관한 법이 소관 부처별로 나뉘어 있어 생긴 불필요한 중복 규제를 없애는 효과가 있을 것으로 전망된다.
서울아산병원 유소영 빅데이터센터 교수는 “데이터 3법을 통해 가명정보, 익명정보, 개인정보 간 구체적 용어가 정의된 것은 굉장히 좋은 부분이라고 생각한다”며 “각각 개념들이 너무 상이했기 때문에 효과적인 조치가 될 것”이라고 내다봤다.
데이터 3법 통과로 데이터 활용의 물꼬가 트였지만 기존 법 체계와 상충되는 부분을 보완해야 한다는 분석도 나왔다. 특히 현행 ‘생명윤리 및 안전에 관한 법률’(생명윤리법) 내 익명화 개념과 혼동되는 영역이 있어 명확한 정의가 필요하다는 주장이 제기됐다.
유소영 교수는 “생명윤리법에 익명화라는 개념이 있다. (여기서는) 개인정보보호법에서 말하는 가명정보와 익명정보를 모두 포함한 개념”이라며 “이 부분이 잘 정의될 필요가 있다”고 말했다.
유 교수는 “예전과 다르게 (데이터) 활용도가 열렸지만 한편으로는 보호에 대한 부분들이 강력하게 추진돼야 하는 것이 핵심”이라며 “기관에서 굉장히 노력해서 탄탄히 갖춘 후에 가명정보, 익명정보를 활용해야 문제가 없을 것 같다”고 언급했다.
가명정보의 범위, 활용 목적 등에 쟁점이 있을 수 있기 때문에 의료법 내 가이드라인에 안전장치를 마련해야 한다는 의견도 제시됐다.
송승재 한국디지털헬스산업협회 회장은 “대통령령 등 하위법령 마련 시 가명정보의 범위, 가명정보의 활용 목적, 식별금지·안전조치 의무의 준수 등에서 쟁점이 예상되는 만큼 법 개정 취지를 잘 반영할 필요가 있다”며 “특별법인 의료법이 일반법인 개인정보보호법에 우선하기 때문에 쟁점 해소를 위한 안전장치가 의료법 내 가이드라인에 잘 마련돼야 할 것으로 보인다”고 말했다.
송 회장은 “또한 이번 개정법이 의료법 상 의료기관이 관리책임을 가지고 있는 진료기록에 대한 데이터 결합을 모든 경우에 있어서 허용한다는 것은 아니다. 이 때문에 개정법을 잘 이해하고 사안별로 법 적용 여부를 잘 따져보는 게 중요하다”고 했다.
그는 이어 “무엇보다 정부가 하위법령을 만들면서 업계의 이야기에 귀 기울이고 꼼꼼히 챙기는 것이 매우 중요하다”며 “일선에서 어떤 경험을 하고 있고 어떤 장치가 법령에 만들어져야 하는지 가장 잘 알고 있는 주체는 바로 업계이기 때문”이라고 밝혔다.
민감 개인의료정보 보호 강화 필요성도 핵심
시민사회단체를 중심으로 민감한 개인 의료정보를 보호하기 위한 안전장치를 보완해야 한다는 목소리도 존재한다. 이들은 정부의 후속 입법 과정에 무분별한 개인정보 활용을 제어할 조치가 필요하다고 강조했다.
오병일 진보네트워크센터 대표는 "데이터 3법은 '개인정보 3법'이라 생각한다. (시민사회단체에서는) 이것이 오히려 정보 주체의 개인 정보 자기 결정권을 침해할 우려가 있다고 의견을 표해 왔다"며 "그럼에도 불구하고 올해 초 법안이 통과됐다. 시행령에서는 개인정보 침해 우려가 최소화되길 기대한다"고 말했다.
특히 투명한 거버넌스 구축이 전제돼야 한다는 지적도 나왔다. 정형준 인도주의실천의사협의회 사무처장은 “거버넌스 문제도 있다. 위원회 등에 다양한 사람들이 모여 심의되는 구조여야 한다”며 “회의록 공개 검토 등 거버넌스가 투명하게 작동될 필요가 있다”고 밝혔다.
그는 “약간의 악의적 시도나 범죄행위에 준하는 부분이 있다면 징벌을 강화해야 하고 이를 통제할 수 있는 민주적 구조도 필요하다”고 말했다.
데이터3법으로 가명정보 활용의 길이 더 열리고 있지만, 보다 신중한 접근이 필요하다는 의견도 나왔다.
지난 3월 6일 ‘암관리법 일부개정법률안’이 국회를 통과하면서 암데이터사업의 목적범위 내에서 수집·처리된 암 관련 가명데이터를 국립암센터 등 공공기관·연구기관에 제공할 수 있게 됐다.
대한의료정보학회 이영성 이사장은 “‘데이터 3법’ 통과로 가명정보를 막 활용해도 된다 생각하는 것은 앞선 판단”이라며 “특히, 산업·금융정보와 건강·의료정보는 다르다. 의료정보의 경우 의사결정을 의사가 하다 보니 정보가 비대칭적인 면이 있다”고 말했다.
시민사회단체를 중심으로 민감한 개인 의료정보를 보호하기 위한 안전장치를 보완해야 한다는 목소리도 존재한다. 이들은 정부의 후속 입법 과정에 무분별한 개인정보 활용을 제어할 조치가 필요하다고 강조했다.
오병일 진보네트워크센터 대표는 "데이터 3법은 '개인정보 3법'이라 생각한다. (시민사회단체에서는) 이것이 오히려 정보 주체의 개인 정보 자기 결정권을 침해할 우려가 있다고 의견을 표해 왔다"며 "그럼에도 불구하고 올해 초 법안이 통과됐다. 시행령에서는 개인정보 침해 우려가 최소화되길 기대한다"고 말했다.
특히 투명한 거버넌스 구축이 전제돼야 한다는 지적도 나왔다. 정형준 인도주의실천의사협의회 사무처장은 “거버넌스 문제도 있다. 위원회 등에 다양한 사람들이 모여 심의되는 구조여야 한다”며 “회의록 공개 검토 등 거버넌스가 투명하게 작동될 필요가 있다”고 밝혔다.
그는 “약간의 악의적 시도나 범죄행위에 준하는 부분이 있다면 징벌을 강화해야 하고 이를 통제할 수 있는 민주적 구조도 필요하다”고 말했다.
데이터3법으로 가명정보 활용의 길이 더 열리고 있지만, 보다 신중한 접근이 필요하다는 의견도 나왔다.
지난 3월 6일 ‘암관리법 일부개정법률안’이 국회를 통과하면서 암데이터사업의 목적범위 내에서 수집·처리된 암 관련 가명데이터를 국립암센터 등 공공기관·연구기관에 제공할 수 있게 됐다.
대한의료정보학회 이영성 이사장은 “‘데이터 3법’ 통과로 가명정보를 막 활용해도 된다 생각하는 것은 앞선 판단”이라며 “특히, 산업·금융정보와 건강·의료정보는 다르다. 의료정보의 경우 의사결정을 의사가 하다 보니 정보가 비대칭적인 면이 있다”고 말했다.
이 이사장은 “현재 의사, 환자 간 신뢰성 있는 정보망을 구축해나가는 것이 필요하다”며 “악마는 디테일에 있다. 세부적인 사항을 보완할 수 있는 시범사업을 실시할 필요가 있다”고 말했다.