데이터 3법에 따른
헬스케어 데이터 경제
활성화를 위한 도전과 과제

4차 산업혁명 성공의 핵심은 데이터에 있다. 다양한 수준의 데이터를 연결하고 가공하여 이를 가장 잘 사용할 수 있는 자가 미래사회의 최종 승자가 될 것이다. 우리는 지금 천문학적인 데이터의 홍수 속에 살고 있다. 그리고 미래사회에서 데이터의 양은 광활한 우주의 크기만큼 훨씬 더 방대해질 것이다.

이러한 데이터 중에 가장 방대하게 생산되는 데이터가 바로 인체에서 생산되는 헬스케어 데이터이다. 혹자는 한 개인이 평생 동안 생산하는 헬스케어 데이터가 1,100 테라바이트(TB) 이상이라 말한다. 하지만 이 또한 현재의 인체 데이터를 생산하는 기술을 고려한 추측일 뿐, 미래에는 더 다양한 방법으로 인체의 신호를 측정할 수 있을 것이기에 헬스케어 데이터의 종류와 양은 우리가 지금 추측하는 것보다 훨씬 더 크고 다양할 수 있다.

전 세계는 지금 헬스케어 데이터와 이와 관련된 산업 변화에 이미 주목하고 있다. IBM은 이미 20여 년 전부터 헬스케어 데이터가 미래 의료를 변화시킬 혁신의 키워드가 될 것이라 예측하고 인공지능 의사 왓슨(Watson) 프로젝트에 착수했다. 구글(Google)은 빅데이터와 인공지능을 이용해 독감 유행 예측의 가능성을 타진하기도 했다.

현재 전 세계 다양한 의학 저널에서는 헬스케어 빅데이터와 디지털 헬스케어를 주제로 엄청난 양의 연구논문을 쏟아내고 있다. 심지어 기존의 가장 보수적인 성격의 전통적인 의학저널에서 조차 데이터 기반의 ‘디지털 의학’으로 변신을 꾀하고 있다. 의료 분야에서 그것이 연구가 되었건 산업이 되었건 결국 헬스케어 데이터가 중심이 될 것이다. 이러한 시대에 우리는 지금 이러한 생태계의 주도권을 잡기 위해 보다 더 전략적 접근이 필요하다.

이러한 시대적 흐름에 발맞추어 우리나라도 지난 2020년 1월 9일 데이터 3법 개정이 국회를 통과했다. 데이터 3법이란 「개인정보 보호법」, 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」 그리고 「신용정보의 이용 및 보호에 관한 법률」이다. 그동안 개인정보보호에 관한 법령이 여러 소관 부처로 나뉘어 발생한 중복 규제를 없애, 향후에는 개인과 기업이 정보를 보다 더 효과적으로 활용할 수 있게 하겠다는 취지로 개정된 것이다. 이를 통해 빅데이터의 활용을 촉진하고 부작용을 방지하여 빅데이터 분야 산업 발전과 함께 개인의 정보보호도 함께 강화하여 두 마리 토끼를 잡아보겠다는 의도이다.

그동안 우리나라 법령에서는 개인정보의 개념이 다소 모호하고, 각 소관부처마다 개인정보에 관한 해석 방법과 관리감독의 체계가 다르며, 데이터를 다루는 기업의 업무 범위가 불확실해 기업의 비즈니스 또한 합법과 불법 사이에서 줄타기를 하고 있었다. 이러한 시점에 데이터 3법 개정 법령이 국회 본회의에서 통과된 것은 매우 고무적이라 평가할 만하다. 그렇다면 이러한 데이터 3법 개정이 의료 분야에도 합리적으로 적용되어 헬스케어 데이터 산업 분야 혁신을 과연 촉진할 수 있을까?

이번에 개정된 데이터 3법의 핵심은 가명정보 개념을 도입했다는 것이다. 가명정보란 ‘추가적인 정보의 사용 없이는 개인을 식별할 수 없는 정보’를 말한다. 그리고 이러한 가명정보는 통계작성, 과학적 연구 및 공익적 기록 보존 등에 개인의 동의 없이 자유롭게 데이터를 사용할 수 있게 한다. 또한 어떤 방식이던 상관없이 더 이상 개인을 알아볼 수 없게 조치한 익명정보의 경우, 목적에 상관없이 자유롭게 활용하게 하였다. 한편, 개인정보처리자에게 데이터 활용에 대한 책임을 강화하여, 안전조치의 의무를 소홀히 하거나 위반할 경우 형사적인 처벌과 함께 과징금 부과에 관해 구체적으로 명시했다. 뿐만 아니라 별도의 개인정보 감독기구를 두어 유럽의 GDRP에 대응해나갈 수 있도록 하였다.

그렇다면 이러한 데이터 3법 개정이 헬스케어 분야에도 낙관적인 미래를 만들어낼 수 있을까? 현행 「생명윤리 및 안전에 관한 법률」에 의하면 개인정보, 개인식별정보, 유전정보 및 개인 건강에 관한 정보 등은 「개인정보보호법」에 생명윤리 및 안전에 관한 특별한 규정이 없는 한 「생명윤리 및 안전에 관한 법률」의 적용에 따르게 되어 있다. 따라서 인체 유래물에 기반한 연구는 「생명윤리 및 안전에 관한 법률」이 우선 적용되므로 데이터 3법의 개정되었다 하더라도 헬스케어 분야는 「생명윤리 및 안전에 관한 법률」에 영향을 받는다.

또한 「생명윤리 및 안전에 관한 법률」에 의하면, 인간 대상 및 인체 유래물 등에 관한 연구를 하려면 그 연구를 수행하기 전에 대상 기증자로부터 반드시 연구목적에 따라 서면 동의를 받아야 한다. 동의서에는 ‘연구의 목적’을 초반부터 명확히 해야 하는데, 이럴 경우 초반에 예상하지 못한 연구를 진행하는 데 어려움을 겪을 수 있다. 즉, 기존의 데이터를 이용해 새롭게 계획한 연구를 위해 기증자에게 다시 연구에 관한 서면동의를 일일이 받아야 하는데, 익명화가 이루어진 기증자를 찾아가 동의를 받는다는 것은 현실적으로 불가능에 가깝다.

한편, 「생명윤리 및 안전에 관한 법률」에 의하면, 모든 인체대상 연구는 결국 기관생명윤리위원회의 심의 승인이 필요하다. 이 경우, 개인정보의 가명처리나 익명처리와는 전혀 무관하게 필수적으로 이루어진다.

새롭게 개정될 데이터 3법에도 모호한 면이 많다. ‘과학적 연구 및 공익적 기록 보존’이라 함은 과연 어디까지일까? 특히 의료 분야에서는 연구와 산업이 혼재하는 경우가 많다. 많은 경우, 디지털 헬스케어 기업에서는 새로운 비즈니스 서비스를 개발하고 나서 특허출원만 고민하는 것이 아니라 이를 저명한 학술지에 게재하기 위해 노력하는 경우가 많다.

최근에는 ‘디지털 치료제’라는 개념이 등장하여, 기업이 개발하는 제품도 데이터에 근거한 임상적 유효성 확보에 고민하고 있다. 만약 기업이 병원에서 수집한 다양한 수준의 데이터를 디지털 치료제 개발, 즉 상업적 목적으로 이용하려고 한다면 이는 과학적 연구나 공익적 목적이라고 주장할 수 있을까? 만일 기업에서 의료기관에 가명화 혹은 익명화된 의료정보를 요청할 경우 의료기관이 이를 자연스럽게 수용해 제공해줄 것인가?

의료 분야의 빅데이터는 현재에도 연구와 비즈니스의 중간쯤 어딘가, 모호한 경계에 위치해 있다. 새로운 혁신적인 치료제를 만들어 인류의 건강 문제를 해결해줄 것이라는 점에서는 공익적 성격이 강하지만, 기업이 이를 통해 비즈니스를 확장해나가면서 금전적 가치를 만든다는 점에서는 사익을 추구하는 것이기 때문이다. 따라서 보다 구체적인 시행방안이 수립되어야 한다. 단순히 연구의 차원이 아닌 산업적인 면에서 접근이 필요한데, 이를 반영할 경우 시민사회의 극심한 반발이 예상된다.

현재 보건복지부를 중심으로 ‘보건의료 빅데이터 플랫폼’ 시범사업이 실시되고 있다. 2018년 초기 시범사업자 선정이 이루어지고 나서 근 1년간 첨예한 대립 속에 플랫폼이 구축되지 못하고 있다가 최근에 들어서야 시스템이 구축되어 이제 막 한발을 내딛게 되었다.

‘보건의료 빅데이터 플랫폼’의 핵심은 보건복지부 산하 건강보험심사평가원, 국민건강보험공단, 질병관리본부 및 국립암센터, 4개 기관이 보유한 빅데이터를 개인을 중심으로 연결하여 하나의 데이터 세트로 만들고 비식별화여 익명화 처리한 후 연구를 목적으로 누구나 이용할 수 있게 하는 것이다.

4개 기관에 분산된 데이터를 하나의 풀로 묶는 것은 기술적으로는 어렵지 않다. 그런데 이러한 단순한 기술이 현재의 법령에서는 원칙적으로 불법으로 규정되고 있다. 큰 울타리 내에서는 보건복지부 산하 기관이라면 보건복지부가 하나의 커다란 조직이라고 생각할 수도 있겠으나, 시스템이 상이하고, 관리주체가 다르기 때문에 서로 다른 데이터라고 할 수 있다. 같은 상위기관을 공유하고 있음에도 불구하고, 이와 같이 데이터와 관련된 사항은 개인정보보호법 아래 그 어떤 것도 할 수 없는 처지였다.

현재의 의료법 또한 개선이 필요하다. 현재의 의료법은 개인의료정보에 대해 정의하고 있지 않기 때문에 개인정보보호법의 적용을 받고 있다. 따라서 가명화를 통한 개인의료정보의 활용에 대해 적합한 근거를 마련해야 한다. 개인의료정보에 관한 문제가 발생할 경우 개인정보보호법과 의료법 중 어떤 것을 우선 따라야 하는지에 관해 논란이 발생할 수 있기 때문이다. 이러한 이유로 정부는 의료 분야의 특수성을 인정하고, 의료 분야의 개별 사안에 대해 개인정보위원회를 통해 복지부와 논의 중이다.

개인정보위원회에서는 의료 분야에 관련된 민감한 개인 의료정보에 관해 복지부에 권고하고, 보건복지부에서 최종적인 판단을 담당한다. 결국 개인정보보호법(일반법)인 데이터 3법이 국회를 통과하였지만, 의료 분야의 경우 특별법인 의료법에 의해서 특정한 의료정보의 경우 가명화 처리가 불가능할 수 있다.

따라서 의료 분야에서는 데이터 3법에 의한 완벽한 의미의 데이터 활용은 쉽지 않을 전망이다. 행정안전부에서는 “원칙적으로 개인정보보호법을 따라야 하지만 의료법등 개별법에서 보호의 취지가 있는 경우 특별법을 따르는 것이 맞다”는 의견이다. 결국 의료분야에서 ‘보호’의 수준이 어디까지인지가 관건이 될 것이다. 의료 분야에서 데이터 보호를 주장하는 시민사회단체나 의료기관을 통해 수렴된 의견이 과하게 반영될 경우, 이번 데이터 3법의 개정은 의료 분야에서는 영향력을 발휘하기 어려울 수 있다.

데이터 경제의 미래가치 면에서 최고의 분야는 아마도 바이오 헬스 분야일 것이다. 이러한 이유로 이번 데이터 3법 개정에 대해 의료계와 관련된 산업체의 관심이 뜨겁다. 그동안 산업체에서는 헬스케어 데이터를 합법적으로 확보하는 것이 매우 어려웠을 뿐만 아니라, 확보된 이후에도 생명윤리법 및 의료법에 의해 확보된 데이터를 제대로 활용하는 데 걸림돌이 많았다. 데이터 3법 통과 후에도 민감 정보로 분류된 유전정보의 경우 결국 개별적으로 환자 동의를 받아야하기 때문에 이를 적극적으로 활용하는 데는 여러 한계점이 있을 것으로 예상된다.

어떤 이유에서건 개인이 건강에 대한 차별을 받아서는 안 된다. 시민사회단체에서 우려하는 것 중에 하나가 바로 헬스케어 분야와 관련된 데이터 개방으로 인해 개인이 차별받게 될지도 모른다는 것이다. 그리고 이로 인해 발생하게 될 사회적 불평등과 소외 등의 문제를 어떻게 해결할 것이냐에 대해도 의문을 갖고 있다. 하지만 시민사회단체에서도 시대적 흐름에 맞게 보다 전향적인 생각의 전환이 필요하다. 데이터 개방으로 인해 개발되는 새로운 현대의료 기술의 최대 수혜자는 결국 질병을 앓고 있는 환자 자신이 될 것이기 때문이다. 이것이 개인정보위원회에서 개별 사안에 대해 복지부가 시민사회단체 및 의료계의지지 하에 어떻게 협의할지 궁금한 이유이다.