① 디지털 헬스케어의 뜨거운 감자… 기업의 이익 VS 개인정보 보호

[뉴스엔뷰]

[기획] 빅데이터를 활용한 디지털 헬스케어 산업의 명암
① 디지털 헬스케어의 뜨거운 감자… 기업의 이익 VS 개인정보 보호
                                                                        

ICT산업과 의료기술의 발전으로 빅데이터를 활용한 디지털 헬스케어 산업은 향후 더욱 발전할 것으로 전망되고 있다. 이런 가운데 개인정보 보호 체계에 관한 국민과 의료전문가들의 우려 사항이 통계적으로도 확인되고 있다.  

 

보건복지부는 지난 6월 27일 오후 2시 30분부터 서울 대한상공회의소에서 이기일 보건복지부 제2차관 주재로 제1차 ‘보건의료데이터 정책심의위원회’를 개최했다. (사진 : 보건복지부 제공)
보건복지부는 지난 6월 27일 오후 2시 30분부터 서울 대한상공회의소에서 이기일 보건복지부 제2차관 주재로 제1차 ‘보건의료데이터 정책심의위원회’를 개최했다. (사진 : 보건복지부 제공)

한국보건산업진흥원이 지난 해 5~6월 한국리서치를 통해 실시한 국내 의료인 대상 디지털 헬스케어 수요 및 인식조사에서 의료인의 71.8%가 디지털 헬스케어의 도입이 필요하다고 응답한 바 있다. 반면 우려사항에 관한 답변에서는 16.5%가 개인정보 보호·보안 문제를 들었다. 이에 따라 의료인들은 개선 사항 중 13.6%가 개인정보보호 보안체계 마련을 요구했다. 

심평원 VS 지누스 인증취소 소송 결과는?

실제 국내 의료업계에서 개인정보 보호를 둘러싼 분쟁은 심심찮게 터져 나오고 있다. 최근 건강보험심사평가원(이하 심평원)가 지누스 간의 개인정보유출을 둘러싼 인증취소 소송이 대표적인 사례라 할 수 있다. 

2021년 11월 말, 건강보험심사평가원은 요양급여 심사청구소프트웨어 제조업체인 주식회사 지누스(이하 지누스)를 상대로 한 청구프로그램 ‘피닉스’ 관련 인증취소 처분 행정소송 상고심에서 최종 패소했다. 1심과 2심에 이어 대법원까지 지누스의 손을 들어줬다.  

이 소송이 벌이게 된 시점은 지난 2015년으로 거슬러 올라간다. 당시 건강보험심사평가원은 약국 청구소프트웨어 PM2000과 병원급 청구 소프트웨어 피닉스가 환자들의 진료·조제·처방 정보를 불법 수집해 해외 의료통계업체에 제공했다는 이유로 인증취소를 결정했다. 이에 불복한 지누스는 적정결정취소처분 취소소송과 함께 집행정지 신청을 하면서 6년여 간의 법정 공방이 시작됐다.  

지누스에 관한 1심 패소 이후 건강과 대안, 건강권실현을 위한 보건의료단체연합(이하 보건연합), 참여연대, 진보네트워크센터 등은 즉시 패소 결과를 받아들이기 힘들다는 성명서를 발표했다. 보건연합은 논평을 통해 “약학정보원과 지누스 등은 47억건에 이르는 국민 4,399만 명의 환자 조제정보 등 개인정보를 동의 없이 외부서버로 전송받아 일부 암호화처리만 한 채 한국IMS헬스에게 약 22억원에 판매했다"고 지적했다. 한국IMS헬스는 사들인 개인정보를 미국에 소재한 IMS헬스 본사에 보내 분석·재가공한 뒤, 결과를 국내 제약회사에 다시 약 100억 원에 되팔아 먹은 범죄를 저질렀다며 사태의 심각성을 강조했다. 

이번 판결 중에서 가장 첨예하게 논쟁이 되었던 부분은 ‘개인정보보호법 제23조 제1항’. 이 조항에 의거해 서울중앙지법은 지누스가 개인정보처리를 위탁받은 자에 불과하다고 판단했다. 또한 기업이 암호화된 개인정보를 재식별(복호화)하려는 고의성이 없었다며 무죄를 선고한 것이다. 그러나 이 부분에 대해 참여연대는 “피고인들이 식별정보를 암호화하였으므로 개인정보가 아니라고 주장하지만 암호화 처리한 정보들은 충분히 다시 식별이 가능하다”며 2015년 하버드대학교 연구팀이 IMS에 제공된 것과 유사한 방식으로 암호화된 한국인 처방전 데이터의 주민번호를 손쉽게 전부 해제해서 논문으로 발표해버린 일이 있다는 점을 언급했다. 

보건연합은 "대량의 민감정보를 포함한 개인정보가 국민들은 물론 현장의 약사와 의사들도 모르는 사이 기업들에게 판매하면서 개인정보자기결정권 등 기본권을 침해한 사안"이라고 규정한 것이라며 무죄 판결에 대해 강하게 비판했다. 진보네트워크센터는 “거의 전 국민이 피해자임에도 불구하고 사건이 잘 알려지지 않은 이유는 피해자들에게 통보하지 않았기 때문”이라는 지적과 함께 형사재판부에 의견서를 발송한 바 있다. 

개인정보를 이윤 창출을 위해 사용한 기업에 대해서 법적 제재와 철퇴가 내려질 것으로 기대했던 시민단체들은 대원법의 판결에 상당한 실망감을 감추지 못했다. 이는 시민단체들이 개인정보 보호에 심각한 타격을 줄 것이라고 우려하며 반대했던 ‘데이터 3법 개정안’의 2020년 초 국회통과를 목도한 이후 발생한 사건이다 보니 양자 간 갈등의 골이 더욱 깊어지고 있는 형세다. 

 

한국보건의료정보원이 운영하는 '보건의료 빅데이터 플랫폼'은 보건의료 분야 4개 기관의 데이터를 개인 단위로 연계, 공공적 목적 연구에 활용할 수 있도록 연구자에게 개방하는 사업이다. 데이터 제공기관은 2022년 7월 현재 국민건강보험공단, 건강보험심사평가원, 질병관리청, 국립암센터 등 4개 기관이다.
한국보건의료정보원이 운영하는 '보건의료 빅데이터 플랫폼'은 보건의료 분야 4개 기관의 데이터를 개인 단위로 연계, 공공적 목적 연구에 활용할 수 있도록 연구자에게 개방하는 사업이다. 데이터 제공기관은 2022년 7월 현재 국민건강보험공단, 건강보험심사평가원, 질병관리청, 국립암센터 등 4개 기관이다.

지누스 개인정보보호법 위반 1심 패소 

반면 지누스는 청구프로그램 인증 취소 처분 행정소송에서 승소했지만, 개인정보보호법 위반 소송 1심에서는 패소했다. 지난 2020년 2월 서울중앙지법은 한국IMS의 위탁을 받지 않은 채 개인정보를 수집·저장·보유한 지누스가 개인정보보호법을 위법했다며 벌금 500만원과 법인 대표에게 징역 6개월에 집행유예 1년을 선고한 것이다. 검찰과 지누스는 1심 판결에 불복 항소를 했다. 

정부와 의료 빅데이터를 다루는 기업들은 현재 의료산업 등 국가 산업 발전에 도움이 될 수 있고 공공의 이익을 위해 개인정보 사용을 더욱 광범위하게 할 수 있게 각종 규제들을 풀어줘야 한다는 입장이다. 그러나 현재의 개인정보에 관한 모호한 기준으로 인해 개인정보보호 권리가 침해되고 있다고 주장하는 보건의료시민단체 등의 입장은 팽팽히 맞서며 평행선을 달리고 있다. 

페이스북 5억3천만명 개인정보 유출 논란 

개인정보 유출과 이에 대한 책임을 회피하는 기업의 횡포는 비단 우리나라만의 문제는 아니다. ICT 종주국인 미국에서 또한 기업의 개인정보 유출로 인한 엄청난 사회적 파장이 일어난 바 있다. 지난 2021년 4월 세계 최대 소셜 미디어 페이스북 이용자 5억3천만 명의 개인정보가 또다시 유출됐다. 유출된 정보에는 우리나라 이용자 12만 명도 포함되어 있다고 미국 언론들은 보도했다. 하지만 페이스북은 오래 전 데이터라며 책임을 회피하고 정보가 유출된 이용자들에게 통지조차 하지 않았다. 

이러한 문제들이 벌어지는 상황 속에서 미국에서는 개인정보보호법 강화 움직임이 일어나고 있다. 캘리포니아주는 지난 2020년 11월에 캘리포니아주 프라이버시 권리법(The California Privacy Rights Act of 2020, 이하 CPRA)이 주민투표로 통과되었다. 이 법은 오는 2023년 1월 1일부터 시행될 예정이다. 캘리포니아 주는 이미 2018년에 채택된 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act, 이하 CCPA)을 시행하고 있다. 

CPRA는 CCPA를 바탕으로 소비자의 프라이버시에 대한 권리를 확대함으로써 사업자에 대한 규제를 강화했으며, 특히 미국 최초로 프라이버시 분야를 담당하는 규제기관인 캘리포니아 프라이버시 보호국(California Privacy Protection Agency, 이하 Cal-PPA) 설립의 근거를 마련했다는 점에서 의미가 있다. Cal-PPA는 미국 최초의 소비자 프라이버시 관련 전문 기관으로 법률의 위반 가능성을 조사하고 행정처분을 집행하며, 규칙을 공포할 수 있는 권한을 갖는다. 또한 사업자의 소비자 개인정보 처리가 소비자의 프라이버시나 보안에 중대한 위협을 초래하는 경우 연간 사이버보안 감사를 실시하고 개인정보 처리와 관련된 위험성 평가 결과를 제출하도록 하는 규칙을 제정할 의무를 부담한다. 

이밖에 소비자 권리 강화에 초점을 맞춘 CPRA는 ▲소비자에게 개인정보 보유 기간을 명시해야 하며 소비자에게 개인정보를 광고 활용에 거부할 권리, ▲부정확한 정보에 대한 정정을 요청할 권리, ▲자신의 권리 행사로 인하여 고용이나 계약에 있어 차별을 당하지 않도록 할 권리, ▲소비자가 암호화된 개인정보의 무단 액세스·유출·도난이나 비밀번호를 포함한 이메일 주소 등에 대해서도 개인 행동권을 행사할 수 있는 권리 등을 부여하고 있다. 

빅데이터를 이용한 제4차 산업 발달의 요충지인 미국에서조차 개인정보 유출 등 많은 문제들을 겪은 후에야, 기술의 발달만큼이나 개인정보가 치밀한 법제도 밑에서 체계적으로 보호 받아야 한다는 사실을 깨닫고 있는 모양새다. 

정부 개인정보보호 원칙만 요란, 법적 통제 장치 강화해야 

지난 6월 27일 오후 보건복지부는 서울 대한상공회의소에서 제1차 ‘보건의료데이터 정책심의위원회’를 개최했다. 복지부에 따르면, ‘보건의료데이터 정책심의위원회’는 의료정보 및 보건의료데이터 정책 추진에 대한 주요 의사결정 사항을 논의하기 위해 구성된 위원회다. 이날 첫 회의에서는 위원장인 이기일 보건복지부 제2차관 주재로 ▲디지털 헬스케어 정책 방향 ▲임상데이터 네트워크(K-CURE) 사업 추진계획 ▲의료 마이데이터 정책 추진방향에 대해 논의했다. 

 

6월 27일 제1차 보건의료데이터정책심의위원회에 참석한 이기일 보건복지부 제2차관은 “보건복지부는 보건의료데이터와 인공지능 기반의 디지털 헬스케어 서비스를 확산하여 전 국민의 의료의 질 향상과 국민 건강을 증진하기 위한 다각적 노력을 지속할 것”이라고 밝혔다.  (사진 : 보건복지부 제공)
6월 27일 제1차 보건의료데이터정책심의위원회에 참석한 이기일 보건복지부 제2차관은 “보건복지부는 보건의료데이터와 인공지능 기반의 디지털 헬스케어 서비스를 확산하여 전 국민의 의료의 질 향상과 국민 건강을 증진하기 위한 다각적 노력을 지속할 것”이라고 밝혔다. (사진 : 보건복지부 제공)

회의에 참석한 이기일 보건복지부 제2차관은 “보건복지부는 보건의료데이터와 인공지능 기반의 디지털 헬스케어 서비스를 확산하여 전 국민의 의료의 질 향상과 국민 건강을 증진하기 위한 다각적 노력을 지속할 것”이라며 “보건의료데이터의 안전한 활용을 통해 디지털 헬스케어 활성화와 체감도 높은 성과 창출을 위한 정책을 추진”한다는 방침을 밝혔다. 

특히 이날 정부는 앞으로 개인정보보호의 대원칙 아래, 의료 마이데이터 플랫폼 생태계를 조성해 나간다는 방침을 제시했다. 의료 마이데이터는 국민 각자가 본인의 의료데이터를 모바일앱 등을 통해 손쉽게 조회·확인하고, 원하는 곳에, 원하는 목적에 활용할 수 있도록 디지털 전송이 가능한 생태계를 말한다. 디지털 의료데이터의 이용에 따른 편리성이 커지는 만큼 개인정보 침해와 분쟁 사례 또한 더 빈번해질 우려가 크다. 

개인 사생활 정보의 정점인 의료 정보를 다루는 디지털 케어 산업은 개인정보 보호에 신뢰성을 확보할 수 있느냐에 따라 성패가 좌우된다고 해도 과언이 아닐 것이다. 당국과 업계가 의료산업의 이용자인 국민의 개인정보 보호에 관한 충분한 신뢰를 확보할 수 있는 법적 통제 장치를 보다 더 마련함으로써 빅데이터를 활용한 디지털 헬스케어 산업의 발전을 가져올 수 있을 것이다. 

 

저작권자 © 뉴스엔뷰 무단전재 및 재배포 금지