개인 의료정보까지 상품화하나?
보건의료 데이터 활용 가이드라인 철회하라!
지난 8월 28일, 개인정보보호위원회와 보건복지부는 보건의료 데이터 활용 가이드라인(안)을 공개하고 의견수렴을 받고 있다. 그러나 이 가이드라인(안)은 개인 의료정보를 불법적으로 활용, 공유, 결합, 판매하는 것을 허용하는 문제가 있다. 국민의 민감한 의료정보를 보호해야 할 개인정보보호위원회와 보건복지부가 오히려 의료정보의 상업적 활용을 부추기는 가이드라인(안)을 만든 것을 규탄하며 이를 즉각 철회할 것을 촉구한다.
첫째, 개인 의료정보는 개인정보보호법 제23조에서 규정하고 있는 ‘민감정보’이며, 민감정보는 정보주체의 별도의 동의를 받거나 법령에서 허용하는 경우 외에는 그 처리를 엄격하게 제한하고 있다. 가명처리는 ‘개인정보’의 처리이며, 가명정보 역시 개인정보라는 점에서 가명처리를 했다고 제23조를 적용하지 않을 이유가 없다. 산업계는 제3절 가명정보의 처리에 관한 특례가 민감정보에도 적용된다고 주장하나 이렇게 될 경우 민감정보의 보호를 별도의 조항으로 두어 보호하고 있는 취지 자체를 훼손하게 된다. 만일 공공적인 의료 연구를 목적으로 개인정보를 활용할 필요가 있다면 법에서 그 허용범위와 절차를 명확하게 규정할 필요가 있다. 현재 명확한 규정이 없는 상황에서는 보호위원회와 보건복지부는 정보주체의 권리를 보호하는 방향으로 해석하는 것이 합당하다.
둘째, 개인정보보호법에 대한 해석과 별개로, 개인 의료정보의 경우 의료법으로도 보호되고 있다. 의료법에서는 환자들의 개인 의료정보를 환자가 아닌 다른 사람에게 열람하게 하거나 제공하지 못하도록 하고 있다(21조). 그런데 가이드라인(안)은 ‘가명처리하여 환자식별력이 없는 진료기록(정보)’에는 의료법이 적용되지 않는다고 해석하고 있다. 그러나 가명정보 역시 개인정보라는 점에서 이러한 가명처리된 진료기록에는 의료법이 적용되지 않는다는 해석은 아무런 근거가 없다.
그러면서도 가이드라인(안)은 “정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에 대해서는 본인 동의를 받아 활용을 원칙”으로 한다고 하고 있다. 보호위원회와 보건복지부 역시 개인 의료정보가 환자들의 인권을 위협할 수 있는 민감한 개인정보로 인지하고 있다. 그럼에도 불구하고 가명처리하면 의료법이 적용되지 않는다고 해석하는 것은 자기모순일 뿐만 아니라 환자 정보주체 보호라는 부처의 의무를 외면하는 처사이다.
셋째, 가이드라인(안)은 법령에서 규정해야 할 사항들을 가이드라인으로 처리하고 있다. 예를 들어, △ 정신질환 및 처방약 정보 등 정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에 대해서는 본인 동의를 받아 활용을 원칙으로 하고 있고, △ 기관 내에 「데이터 심의위원회」를 설치・운영하도록 하고 있다. 개인 의료정보의 경우 정보주체의 인권에 치명적인 영향을 줄 수 있음을 보호위원회 및 보건복지부 역시 인지하고 있는 것으로 보인다. 그렇기 때문에 법령에서 명확하게 규정해야 한다. 법령에 근거없는 가이드라인만으로는 민감한 개인 의료정보의 남용을 막기 힘들다.
넷째, 가이드라인(안)은 개인정보 보호원칙을 권고 수준으로 격하하고 있다. 예를 들어, “가명정보를 최초 제공받을 당시 원 개인정보처리자에게 밝힌 목적(X) 외의 목적(Y)으로 처리할 경우 원 개인정보처리자에게 고지할 것을 권장”하고 있는데, 개인정보의 목적 내 처리는 권고 사항이 아니라 준수해야 할 원칙이다. 또한, “데이터 분석 대행 또는 협력연구 등을 통해 익명정보 반출 만으로도 목적을 달성할 수 있을 경우 원 개인정보처리자가 이러한 작업을 수행할 것을 권장”하고 있는데, 익명정보로 목적을 달성할 수 있는 경우 익명정보를 활용해야 하는 것 역시 권장 사항이 아니라 반드시 준수해야 할 원칙이다. 한편, “가명정보 제공에 대응되는 대가를 받는 것은 금지되지 않으나, 사회적인 통념 등을 고려할 때 과도한 데이터 활용 대가는 지양 할 것을 권장”하고 있는데, 이는 권장의 형태를 취하고 있지만 시민사회가 지금까지 주장해온 바와 같이, 사실상 개인정보의 판매를 허용하고 있음을 고백한 것이나 다름없다.
다섯째, 가이드라인(안)은 “가명정보를 활용할 예정이므로 동의 여부는 생명윤리법상 기관심사위원회(IRB) 심의 및 동의 면제 대상이 될 수 있으나 면제 여부에 대해 IRB의 확인 필요”라고 하고 있는데, 이를 보더라도 보호위원회와 보건복지부는 개인 의료정보의 활용에 혈안이 되어 있는 듯하다. 인간대상 연구는 기관심사위원회의 심사가 원칙이며, 가명/익명처리는 당연히 취해야 할 안전조치일 뿐이다. 이것이 국제적인 원칙에도 부합한다.
여섯째, 가이드라인(안)은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하면서, 정보주체에게 홈페이지 개시 등 공개적인 방법으로 가명처리정지요구를 접수해야 하고, 요구를 받은 정보주체의 정보는 가명처리의 대상에 포함시키지 말아야 한다고 규정하고 있다. 정보주체의 권리는 당연히 보장받아야 하지만, 이는 동 가이드라인이 아니라, 일반적인 ‘가명처리 가이드라인’에서 규정해야 할 부분이다. 보건의료 정보에만 정보주체의 이 권리가 보장되는 것은 아니기 때문이다. 보호위원회는 정보주체의 권리를 보호하지 않는 개인정보처리자를 강력하게 규제해야 한다.
이번 가이드라인(안)은 개인 의료정보를 비롯한 민감정보 역시 가명처리하면 기업들이 판매, 공유, 결합할 수 있도록 허용하고 있으며, 이는 개인정보보호법 및 의료법 위반의 소지가 큰 만큼 폐기되어야 마땅하다. 또한 정보주체의 권리 보호를 최우선 원칙으로 정책을 수립할 것을 보호위원회와 보건복지부에 촉구한다.
2020년 9월 2일
건강과대안, 경제정의실천시민연합, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹