[메디게이트뉴스 정다연 기자] 정부는 지난 5월 바이오헬스 혁신전략 발표를 통해 향후 데이터 관련 사업에 비중을 두고 육성하겠다는 계획을 밝혔다. 이러한 정책 추진에 따라 최근에는 공공데이터 플랫폼 개통식이 진행됐고 데이터 중심병원, 바이오 빅데이터, 인공지능을 활용한 신약개발 등 다양한 데이터 사업이 추진되고 있다. 데이터의 활용성과 가치가 중요해지면서 보건의료빅데이터 활용과 관련된 개인정보보호법과 SNOMED-CT 도입 등에 대한 논쟁이 화두로 떠오르고 있다.
보건복지부는 20일 서울대병원 의학연구혁신센터에서 2019년도 제1차 의료정보정책 공개포럼을 개최했다. 이날 포럼에서는 보건의료빅데이터 활용과 관련된 개인정보보호법과 세계적인 보건의료용어 표준화 시스템으로 자리잡은 SNOMED-CT의 국내 도입에 관한 토론이 진행됐다.
빅데이터 관련 개인정보의 뜨거운 감자는 비식별화 데이터의 동의와 활용
서울대 법학전문대학원 이동진 교수는 보건의료빅데이터 활용의 법적 이슈에 대해 발표했다. 이 교수는 현재 인터넷상 가입 규약 등 개인정보 동의가 실질적인 동의와 거리가 멀다는 점을 지적하면서 개인정보 동의·비동의 논쟁보다 더 중요한 것은 개인정보 활용 주체들이 어떻게 정보를 활용하는지를 확인하고 살펴보는 것이라고 강조했다.
이 교수는 "개인정보보호법은 인터넷 환경으로 인해 만들어졌다. 과거에는 주거침입만 막으면 사생활이 보호됐다. 인터넷이 생기면서 흔적이 지워지지 않았고 사람들의 생활이 달라졌다"며 "이제는 누구에 관한 정보인지 알 것 같은 정보도 위험하다. 또 누구나 다 알고 있는 사생활, 예를 들어 일주일에 햄버거 다섯 번 먹는다는 것 등의 내용으로 정보의 중요도를 판단할 수 없게 됐다"고 밝혔다.
이 교수는 "개인정보를 모든 영역에서 포괄적으로 규율하는 나라가 많다. 대표적인 곳이 EU다. 반면 미국은 개인정보를 전문영역별로 부분별 규제를 하고 있다"며 "문제는 정보라는 것이 나라마다 이동할 수 있는데 한 국가가 다른 국가와 교류를 하려면 개인정보 관리가 높은 수준의 국가에 맞추지 않으면 교류를 할 수 없다는 점이다"고 말했다.
이 교수는 "그래서 EU가 개인정보법의 수준을 끌어올림으로써 다른 나라의 규제 수준도 끌어올리는 역할을 했다. 미국은 갈등 끝에 EU와 세이프 하버 협정을 했다. 하지만 이는 미국이나 가능하지 일본이나 우리나라가 할 수 있는 것은 아니다. 결국 EU 시장에 접근하고 싶으면 적정성 평가를 통과해야 한다"고 말했다.
그는 "개인정보보호법이 중요하게 생각하는 정보는 금융정보, 개인정보, 구글 등이 검색을 통해 수집하는 행태 정보 등이다"며 "개인정보의 실제 개념은 두 가지다. 식별성은 없지만 식별가능성은 있는 정보와 아무리 들여다 봐도 알 수 없는 정보다. 이 두 개의 용어를 익명화 또는 비식별화 등 뭐라고 부를지에 대한 논쟁이 있다"고 설명했다.
그는 "이는 식별성 및 식별가능성을 배제하는 정보다. 개인 정보보호법 적용을 배제하나 재식별 위험을 고려해 원칙적으로 계속 관리적 조치를 취해야 한다. 익명화나 비식별화 자체가 하나의 처리인 셈이다. 이 정보를 처리하는 과정에 법적 근거가 있어야 하는가에 대한 논의가 있는데 대부분 나라는 필요 없다고 보고 있다"고 말했다.
이 교수는 "익명화 또는 비식별화 정보는 동의가 필요 없고 잘하면 개인정보가 아니므로 뭘로 써도 괜찮다는 장점이 있다. 상업적 이용이 용이하다는 점도 있다"며 "문제는 데이터 연계 결합, 리얼데이터 등 빅데이터 구축에 필요한 요소 대부분이 정보주체 식별을 요구해 한계가 있다는 점이다. 또 익명처리와 익명 정보의 이용이 알려지면 정보주체에 대한 신뢰를 상실해 그 재료가 되는 개인정보 수집이 곤란해질 가능성이 있다. 정보량이 많으면 익명화가 어려울 가능성도 있다"고 짚었다.
그는 "현행 개인정보보호법상 가명화의 한계는 가명화가 데이터 연계까지 허용하는지 법적으로 모호하다는 점이다"고 덧붙였다.
이 교수는 "정보 주체의 동의를 물어보는 문제도 중요하다. 원칙은 명시적 동의를 뜻하는 옵트인 방식이다. 빅데이터에서는 사실 옵트인 방식을 쓰기 어렵다. 왜냐하면 빅데이터 자체가 일단 정보를 모아서 뭐에 쓸지 논의하는 구조이기 때문이다"고 말했다.
그는 "그래서 EU의 개인정보보호법(GDPR)은 과학적 연구 등에 필요한 경우에 고려할 수 있다고 규정하지만 좁은 범위로 적용될 가능성이 크다. 연구를 위한 빅데이터 플랫폼의 거버넌스에 관해서는 설명과 동의가 있어야 할 것으로 보인다"며 "빅데이터에 관해서는 별도의 법률적 근거를 만들어야 한다. 다만 너무 강화된 규정은 활용되기 어려울 것이다"고 말했다.
이 교수는 "많은 사람들이 가명 정보 또는 익명 정보의 동의 바이패스에 집중하는데 약관 동의가 많다고 해도 사람들이 읽지 않으면 의미가 없다. 동의가 실질적으로 보장된다는 것에 대해 고민해야 한다"며 "실제로 바람직한 방법은 가명 정보를 어떻게 활용하는지를 살펴보는 신뢰할만한 최고의 사례를 만드는 것이다"고 말했다.
그는 "근래 들어 가명 정보에 대한 동의·비동의 문제가 생각보다 큰 차이가 아니라는 생각이 든다. 그런 관점에서 접근하면, 법이 제시하는 것은 일부의 틀에 불과하다. 그만큼 민감한 정보를 맡겼을 때 일일이 동의하는 것에 그치기보다 어떻게 쓰는지 살피고 적정하게 판단할지 고민하는 것이 중요하다. 부작용은 그런 방식으로 해결돼야 한다"고 강조했다.
실질적 동의 위해 다양한 개인정보 동의 방식 고안해야
이어진 토론에서는 가명 처리된 정보를 정보주체의 동의 없이 비식별화를 통해 2차 활용을 했을 때 부작용에 대해서 어떻게 판단해야 하고 보완책은 무엇인지 논의가 오갔다.
참여연대 공익법센터 양홍석 소장은 "의료기관으로부터 정보받은 제 3의 기관이나 사업자의 문제에서 환자가 명시적으로 부동의하거나 동의가 불명확할 때, 비동의가 쉬울 수록 동의 베이스 자체가 흔들릴 수 있다. 곤란하다. 동의를 실질 보장의 원칙으로 삼고, 비동의 활용에 대해 제한하거나 절차를 어렵게 하는 게 바람직하"고 말했다.
서울대병원 이해영 교수는 "국민들이 먼저 이해할 수 있도록 하는 과정이 중요하다. 빅데이터로 인한 이익이 국민에게 혜택으로 돌아온다든 점을 알려야 한다"며 "대학병원은 의학인 양성 의료연구 위해 만들어진 곳인데, 대학병원의 경우에는 내 데이터 모두 의료 연구로 쓰인다. 이를 묵식적으로 동의한다고 보고 동의하지 않는 환자들은 다른 병원을 이용할 수 있도록 하는 포괄적 옵트아웃 방식으로 가는 방안으로 가야 한다"고 말했다.
이에 대해 양 소장은 "옵트아웃 방식으로 인해 의료기관을 이용할 수 없다는 것은 개인정보 활용의 사안을 넘는 수준이다"며 "저는 동의방식 바뀌어야 한다고 생각한다. 데이터 활용은 다양한데 구글과 야후에서 시작된 클릭하는 동의 방식이 고착화 됐다. 데이터를 다양하게 활용하려면 클릭 동의 방법을 극복해야 한다"고 강조했다.
분당서울대병원 디지털헬스케어 연구사업부 황희 교수는 보건의료용어의 세계적인 표준화를 위해 SNOMED-CT(이하 스노메드) 국내 도입 관련 논의에 대해 발표했다.
황 교수는 "스노메드는 현재 본사가 런던에 있다. 2002년쯤 미국과 영국에서 만들어진 스노메드를 합치고 본사를 런던으로 옮겼다. 스노메드를 표준화된 의료용어로 사용하자고 해서 현재는 국가적 멤버십으로 공식 참여하는 국가가 39개 곳에 이른다. 싱가폴, 홍콩, 말레이시아 등 국가와 EU 모든 국가가 포함돼 있다. 스노메드는 이제 국제적인 리그다"고 말했다.
황 교수는 "엄밀히 말하면 스노메드는 데이터 캡처링을 위한 표준 체계다. 캡처된 데이터는 스노메드랑 매핑 된다. 스노메드의 구조는 굉장히 복잡. 콘셉트만해도 30만개에 육박한다. 의료행위가 구조화된 형태를 가지고 있다"며 "스노메드가 좋은데도 완전히 확산하지 못하는 이유는 포스트코디네이션이 굉장히 어렵다. 난이도가 높고, 리소스가 많이 들어가기 때문이다"고 설명했다.
황 교수는 "포스트코디네이션을 어떻게 해결해서 병원에 스노메드를 쉽고 빠르게 확산할 것인가. 여러 언어 체계를 지원하는 방안이 나오고 있다. 프랑스가 10년을 공을 들여 이제 나올 예정이다. 호주의 스노메드는 가장 성공한 버전이다. 로컬에서만 쓰는 용어를 어떻게 스노메드에 녹여낼까 얹는 작업을 하는 데 5~6년이 걸렸다"며 "만일 우리나라고 정부나 학회 차원에서 이런 작업을 한다면 충분한 시간적 여유를 가지고 해야 한다"고 말했다.
그는 "분당서울대병원에서는 스노메드를 잘 쓰고 있는가 살펴보면, 스노메드를 가장 잘 쓰는 분당서울대병원도 진단명, 수술명, 주소 등 백핸드에서 스노메드를 쓴다. 포스트코디네이션은 잘 쓰지 못하고 있다"고 덧붙였다.
황 교수는 "서울대 4개 병원에서 표준용어를 통일하는 데만 2년 반을 썼다. 지금도 4개 병원이 로컬 용어를 매핑할 때는 한 병원이 마음대로 바꾸지 못하게 하고 있다"며 "진단, 수술, 일부 검사 용어 등을 전산에 기록해 쌓인 데이터를 어떻게 쓸 것인지가 고민이다"고 말했다.
그는 "현재 우리나라 적용가능하고 쉽게 할 수 있는 것은 가족력, 흡연력을 분당에서는 스노메드 형태로 매핑해서 코드 체계를 쓸 수 있도록 하는 것이다"며 "스노메드는 표준 용어체계와 매핑 높아 빅데이터 데이터 분석하는데 좋은 도구다. 이제 국내의 의료 정보는 백핸드에서 스노메드랑 매핑돼야 국제사회에서 의사소통 할 수 있는 데이터가 된다"고 말했다.
"국가가 스노메드 도입은 찬성...시범사업과 교육 등 적용 시간 가져야"
이어진 토론에서는 스노메드를 도입해야 하는지, 만약 도입한다면 어떤 준비를 해야하는지에 대한 논의가 진행됐다.
부산대병원 융합의학기술원장 겸 최병관 신경외과 교수는 "스노메드 도입에 찬성한다. 다만 현장에서 스노메드를 써야 하는 입장에서 걱정이 되는 지점이 있다"며 "스노메드를 제대로 쓰려면 충분한 교육과 확산을 위한 시간이 충분히 주어져야 한다. 라이센스 국가에서 구매한다면 병원으로서는 부담이 줄어들 수 있는데 코딩 관련 문제가 남아 있다"고 말했다.
최 교수는 "청구코드를 국가가 강제적으로 바꾸면 안 된다. 재정이 열악한 병원은 스노메드 도입이 어렵다. 천천히 진행했으면 좋겠다. 도입 초기에는 업무용보다는 연구용으로 진행됐으면 좋겠다"며 "스노메드를 쓰려면 코딩을 해야한다. 누가 시켜서 하는 코딩과 하고 싶어서 코딩을 하는 것은 다른 결과를 만들 수 있다. 연구용으로 시작해 나중에 행정적으로 확산하는 방향을 취해야 한다"고 말했다.
최 교수는 "충분한 시범사업이 있으면 좋겠다. 스노메드라는 이름도 모르는 의료진이 많다. 시범사업도 하고 홍보도 하고 성과를 잘 챙겼으면 좋겠다"고 덧붙였다.
서울대 간호대학 박현애 교수는 "의료정보에서 지금은 스노메드의 시간인 것 같다. 국내에 도입한다고 했을 때 우선 국가가 스노메드의 라이센스를 가쳐오는 게 첫 번째 할 일이다"며 "또 국가는 다양한 활용사례를 도입해야 한다. 예방접종, 가족력, 알레르기 리포트 등 좁은 범위에서 쓰기 위한 범위를 정리해주면 좋을 것이다. 민간에서는 현장 의사가 쓰는 언어와의 매핑이 중요하다. 각 병원에서 각자 잘 논의하고 있는데 공유가 안 되고 있다"고 짚었다.
박 교수는 "보건복지인력개발원에서 보건의료정보 관련 지도자들을 모시고 표준용아가 왜 필요한지 교육이 필요하다. 표준용어는 모두가 합의한 용어가 아니고 구조화된 용어다. 다른 용어와 관계를 가지고 있어야 의미 있게 활용할 수 있다. 그에 대한 교육이 필요하다"며 "정부는 정부에서 수행하는 많은 EMR 인증 과제, 데이터 중심 과제 등과 관련해 이를 어떻게 연관할지 잘 고민하는 것이 중요하다"고 말했다.
박 교수는 "스노메드를 잘 모르는 분들이 혼란스러울 것 같아 정리를 하겠다. 일선의 모든 의사가 스노메드를 가지고 코딩을 하거나 진단명을 쓰지 않는다. 스노메드는 참조용어체계로 중간에서 연결해주는 역할을 한다"며 "모든 의사가 알 필요는 없고 황희 선생님과 최병관 선생님 같은 일을 하는 분들만 알면 된다. 이는 기존의 언어로 입력하면 시스템에서 스노메드로 전환되는 시스템이다"고 설명했다.
박 교수는 "병원에서의 스노메드 활용에 대해 병원 규모에 따라 자원 활용도가 다르다. 대형병원은 쉽게 전환된다. 중소병원은 그렇지 않을 수 있다. 정부에서 스노메드 구현 개발 가이드라인을 배포해야 한다"고 덧붙였다.