IT 전문가와 변호사가 '쉽게 풀어가는' 데이터 3법. 이 책의 부제처럼 <디지털 뉴딜 시대 리더가 꼭 알아야 할 데이터 3법>은 특별한 법률 지식이 없이도, 데이터3법이 향후 각 산업 군을 어떤 식으로 변화시키는 지 개괄적으로 알고 싶은 독자에게 유용한 책이다.

독자로서 훌훌 이 책을 읽고나니, 6명의 공동저자가 쉽게 글을 쓰기 위해서 얼마나 애를 썼을지 느껴졌다. 특히 유독 관심이 갔던 ‘바이오 헬스케어와 법률’ 챕터는 군더더기 없이 쉽고 정확하게 명시돼 있다.

알리바바 창업자 마윈의 이야기를 차용해 '왜 데이터인가?'라는 시작하는 이 책은 핀테크, 블록체인, 클라우드, 헬스케어, 인공지능에 걸쳐 데이터가 활용될 수 있는 방대한 분야를 유기적으로 연결해 독자들에게 데이터 3법이 향후 우리 사회를 어떤 식으로 변화시켜 줄 수 있는지 큰 그림을 보여 준다. 책의 큰 흐름을 따라가고 싶다면, 차례대로 책을 읽어도 좋지만 자신이 관심있는 분야를 먼저 읽어 흥미를 높이는 것도 이 책을 즐길 수 있는 또 다른 방법이다.

히트뉴스는 이 책의 공동저자인 최미연 변호사를 만나 헬스케어 산업에서 데이터3법이 어떤 영향을 미칠지 들어봤다. 데이터 3법은 ▷개인정보 보호법 ▷정보통신망법 ▷신용정보법 개정안을 포괄하는 개념이다. 이 3법 개정안은 개인정보보호에 관한 법이 소관 부처별로 나뉘어 있어 발생하는 중복 규제를 없애 개인과 기업이 정보를 활용할 수 있는 폭을 넓히기 위해 마련됐다.

"데이터 3법 중에 헬스케어 산업에 가장 영향을 많이 끼치는 법은 개인정보 보호법입니다. 개인정보 보호법은 개인정보를 가명처리하면 정보주체 동의 없이도 정보를 활용할 수 있는 길을 열어준 것입니다.

신용정보법도 질병정보 처리에 관한 규정을 두고는 있지만, 신용정보회사등에만 적용되기 때문에 보험사 등에게만 영향을 미칩니다. 그 외 의료기관 등이 데이터를 가명화 과정을 거쳐 데이터를 이용하기 위해서는 개인정보보호법을 따라야 합니다. 정보통신망법도 헬스케어산업에서 가명정보, 빅데이터를 활용하는 것과는 관련이 적은 편이고요."

"데이터3법 시행에 따른 개인정보보호법을 살펴보면, 진료정보를 포함해 건강에 관한 정보를 가명처리하게 되면 정보 주체의 의사 또는 동의와 상관없이 데이터를 활용할 수 있다는 것이죠. 아직 모호한 부분이 있긴 하지만 이번 데이터3법으로 산업계에서 데이터를 활용할 수 있는 범위는 매우 넓어 졌어요.

물론 규정을 살펴보면, ▷통계작성 ▷과학적 연구 ▷공익적 기록보존으로 한정돼 있긴 해요. 하지만 (법률) 해석상 상업적 목적의 연구를 허용하고 있어 신약과 의료기기 개발 등 헬스케어 산업에서 데이터를 필요로 하는 모든 부분에서 활용이 가능해 진 셈이죠."

"가령 건강정보를 통계화 해서 신약이나 디지털 치료제, 의료기기 개발에 나설 수 있을 겁니다. 또한 이런 정보를 활용해 헬스케어 산업의 마케팅 도구(tool)로 활용할 수도 있을테고요. 다만 복지부 가이드라인에 명시돼 있듯 단순히 가명정보를 사고파는 행위는 허용되지 않습니다. 이는 가명정보 활용 목적에 위배되는 것입니다."

"이제는 가명처리를 한 정보는 누구나 쉽게 수집할 수 있게 될 것입니다. 그동안 건강보험심사평가원이나 국민건강보험공단에서 주로 헬스케어 데이터를 수집해 왔잖아요. 향후 데이터3법에 따라 병원 역시 데이터를 수집해 관련 산업에 뛰어들 수 있을 겁니다. 비급여 관련 데이터도 활발하게 활용될 수 있을 것으로 봅니다.

물론 아직 법 시행 초기이기 때문에, 건강정보의 종류에 따라 가명처리를 유보하는 경우도 있어요. 대표적으로 ▷에이즈감염정보 ▷정신질환정보 등은 아직 가명처리 자체를 유보하고 있어 한계는 있습니다. 이런 질병의 경우 재식별화 위험성이 높다는 것이죠. 향후 빅데이터 활용도와 함께 재식별화 위험이 낮은 지점을 찾아나가는 것이 중요하다고 생각합니다."

"개정된 개인정보 보호법과 시행령에서는 가명처리 방식을 구체적으로 규정하지 않고, 따로 하위법령에 가명처리, 즉 비식별화에 대한 방법을 정하도록 위임하지도 않았어요. 원래 이런 기술적인 부분은 법률이나 시행령 보다는 쉽게 제개정이 가능한 고시나 아니면 지침, 가이드라인의 방식으로 정해지게 됩니다. 하지만 가이드라인은 법령으로서의 효력은 없거든요. 물론 가이드라인이 필요하니까 (업계에서 함께) 지켜야 하죠."

"현행 법률상 가명처리 방식에 대한 정해진 규칙(rule)은 없어요. 다만 재식별화가 쉽게 가능하다면, 안전성 확보조치 규정 위반이나 가이드라인에 있는 적정성 검토에서 아마 탈락하게 될 겁니다. 결국 재식별화가 되지 않아야 현행법 위반이 아니기 때문이죠."

"▷통계 ▷과학적 연구 ▷공익적 기록보존의 경우 가명처리를 하면 산업적 이용이 가능합니다. 따라서 목적에 맞게 가명처리 방식을 업계가 직접 사례와 경험을 통해 찾아야 합니다. 모든 건강정보가 비식별화 과정을 거친다고 가치가 떨어지는 것은 분명 아닐겁니다.

물론 희귀질환 등 비식별화 과정에서 가치가 떨어지는 사례도 있겠지만, 이 외에도 충분히 연구나 통계적으로 활용할 수 있는 부분도 있어요. 결국 어떤 종류의 건강정보를 어떤 목적으로 사용하느냐에 따라 가명처리의 정도는 세분화돼야 한다고 생각해요."

"가령 국내에 어떤 희귀질환을 가진 환자가 오직 10명 밖에 없는데, 희귀질환의 발생 원인(유전적 정보, 식습관, 주변환경 등 후천적, 환경적 요소)을 유의미하게 연구하려면 완전히 비식별화된 정보로는 불가능하겠죠. 한편으로는 이런 의문이 들었어요.

국내에 10명밖에 없는 희귀질환 환자의 정보를 사용할 때 의약품 개발 등의 목적으로 정보를 활용하고자 하는데, (환자들에게 정보 활용)동의를 해달라고 하면 과연 동의를 받기 어려울까요? 결국 위와 같은 문제제기는 비식별화된 가명정보를 자유롭게 사용하고 싶다는 전제가 깔린 문제제기잖아요."

"법률가로서 법적 의미에 집중해서 생각해 봤어요. 데이터 3법을 살펴보면, 데이터의 산업적 활용과 헌법에서 보장하고 있는 개인정보자기결정권, 사생활의 비밀과 자유라는 가치가 충돌하게 되는 지점이 분명히 있거든요. 비식별화해서 데이터로서의 가치가 떨어진다면, 이런 사례들은 정보주체에게 연구목적 활용 동의를 반드시 받아야 한다는 점도 꼭 강조하고 싶습니다.

개인의 건강정보는 설령 가명화하더라도 재식별화 위험을 원천차단하는 방법이 나오지 않는 이상 그 정보는 그 개인의 것이라고 생각합니다. 요즘 애플리케이션(앱)에서도 실시간으로 위치 등 정보를 계속 수집하잖아요. 앱을 사용하기 위해 여러 동의를 해줘야 하는데, 우리는 서비스를 이용하기 위해 동의를 해줘요.

건강정보는 일반 개인정보보다 더 민감하고 사생활의 내밀한 부분에 해당하잖아요. 앞으로 각 정보 주체(개인) 스스로 자신의 건강정보 활용에 대한 인식이 깨어 있어야 한다고 생각해요. 우리는 점점 편리함을 위해서 사람, 인간이 지켜야하는 가치 또는 기본권의 중요성을 잊게 되는 거 같아요. 예전에 법대 다닐 때 지문으로 출석체크를 한다고 해서 개인정보의 심각한 침해가 일어날 수 있어서 우려스럽다고 생각했던 시절도 있었어요. 지금은 스마트폰이나 앱 로그인을 다 지문으로 하는데 익숙해진 것처럼요."

"데이터3법 자체가 직접 원격의료에 영향을 준다기 보다, 원격의료가 허용되고, 가명정보 활용이 많아지면 이런 현상 자체가 보건의료데이터 산업에 영향을 줄 수 있을 것 같아요. 데이터의 쏠림 현상같은 부분이요.

만약 코로나19가 종식된 이후에 원격의료가 더 넓게 허용된다면 시스템이 잘 구축된 큰 병원 위주로만 원격의료가 이뤄질 거란 우려가 있어요. 최근 비대면 진료상담 서비스가 규제 샌드박스 과제로 선정되어서 재외국민 등을 상대로 비대면 진료를 받을 수 있게 됐는데, 인하대병원, 서울아산병원 등 큰 병원 위주로 시행이 됐거든요. 물론 시범사업이긴 하지만요.

해당 서비스가 가능한 이유가 아무래도 규모가 큰 병원이 이런 시스템을 갖추기 쉽기 때문이겠죠하지만 한편으로 원격의료 시범 시행으로 향후 원격의료 기반을 갖추기 위해 필요한 데이터도 쌓일 것이고, 아무래도 다른 병원들은 가지지 못하는 건강정보를 (대형병원 중심으로) 먼저 보유하게 된다고 볼 수 있죠."

"가명정보 활용은 지금 큰 병원들도 주목하고 있는 새로운 사업입니다. 환자의 건강정보는 일단 많이 축적돼 있을수록, 통계 등 활용하기 더 유리해지기 때문죠. 데이터 편중 현상을 더 심해질 수 있습니다. 자연스럽게 의료기관 간에도 데이터 부익부 빈익빈 현상이 나타날 겁니다. 더 나아가 개개인이 가질 수 없고, 기업들만 가질 수 있는 정보가 더 많아지는 거고요."

"건강정보를 사기업이 보유할 수 있게 됨에 따라 향후 새로운 비즈니스 모델이 만들어질 것으로 보입니다. 디지털치료제나 스마트워치의 경우는 정부가 아닌 개발 회사가 빅데이터를 얼마든지 생성하고 활용할 수 있게 된 것이죠.

앱을 사용하는 환자 정보를 실시간으로 수집하고, 가명처리해서 통계화하고, 연구할 수 있습니다.이러한 연구 정보를 제3자에게 제공할 수 있습니다. 앱 개발회사에서는 단순히 수집만하고 가명처리한 다음 정보를 연구자에게 제공하기도 할 수 있는 것처럼 새로운 수익모델이 나올 수 있습니다. 물론 앞에서 말씀드린 것처럼 정보를 단순히 사고파는 것은 안됩니다.

데이터3법에 따라 개인정보보호법에서 가명정보를 활용할 길을 열렸습니다. 때문에 앱 개발회사들은 앱을 개발하는데 들인 비용을 앱 서비스 요금 뿐만 아니라, 데이터 사업을 해서도 보전할 수 있게 됐습니다. 최근 배달약국 앱도 기사에서 봤는데, 원래 목적이 약 배달서비스가 아니라 데이터 수집에 있다는 것을 접했어요. 보건의료에 관한 앱들은 앞으로 데이터를 목적으로 서비스를 무료로 제공하는 경우가 더 많아질 것으로 보입니다."

"이번 가이드라인에서 유전자 정보 관련한 내용도 있지만, 생명윤리법에서 엄격하게 규제를 하고 있어 당장 활용도가 높아질 것 같진 않습니다. 유전정보야 말로 민감도가 가장 높은 정보니깐요.

가이드라인 내용을 봐도 개인식별가능성이 낮은 유전체와 유전자 변이 정보 등 몇가지를 제외하고는 가명처리를 ‘유보’했어요. 아직 어느 정도로 비식별화를 해서 안전하게 처리할지에 대한 레퍼런스 자체가 없죠. 유전자 정보를 비식별화해서 연구할 필요성이 커지면 더 빨리 가명처리 방식이 나올 것으로 기대합니다."

"앞으로 가명처리방식은 특히 표준화가 돼야 정보의 효율적 이용이 가능할 것으로 생각합니다. 무엇보다 중요하게 생각하는 부분은 산업적 활용을 위해 건강정보를 활용하는 것은 결국 궁극적으로 인간의 삶을 위한 것이라는 점을 다시 한번 강조하고 싶습니다. 오히려 정보 활용 과정에서 개개인의 권리가 침해된다면 목적과 수단이 전도되기 때문에, 가명정보 활용이 더 보편화더라도 개인정보보호의 필요성은 간과하면 안된다고 생각합니다."

<디지털 뉴딜 시대 리더가 꼭 알아야 할 데이터 3법>은 데이터와 인공지능 비즈니스가 무엇인지, 데이터와 인공지능으로 무엇을 어떻게 할 수 있는지 기술적인 측면에서 집중하여 살펴보고, 다음으로 현재의 법·제도 상으로 데이터와 인공지능 비즈니스에 어떤 규율들이 적용되고 있는지를 간략히 일견함으로써 ‘데이터와 인공지능 비즈니스’라는 거대한 테마를 개괄적으로 설명하고 있다.이 책은 데이터와 인공지능 비즈니스를 이해하고자 하는 독자들에게 데이터와 인공지능에 관한 여러 측면을 포착해 옴니버스 형식의 프리젠테이션으로 제시해본다는 설정으로 구성됐다.