데이터3법 등 개인정보보호법 개정 및 행정규칙 제정으로 의료용 데이터 활용길이 열렸지만 '가명정보'에 대한 세부내용이 규정되지 않아 실질적 데이터 활용이 어렵다는 지적이 제기되고 있다.

가명정보에 대한 구체적 내용 및 '의료법'과 '생명윤리 및 안전에 관한 법률'등 상위법령과의 관계 등은 보건의료데이터 활용 가이드라인에만 명시돼 있고 상위 법령에는 규정돼 있지 않아 법적 사각지대가 발생할 수 있기 때문이다.

이 같은 가운데 대구테크노파크와 한국스마트헬스케어협회는 2일 공동 주관한 '의료헬스케어 기업의 테크&비즈니스 활성화 세미나'에서 '보건의료 데이터 활용과 관련 법적 리스크 안내'를 주제로 △민감정보 범위 △데이터심의위원회 △가명처리 방법 등 실무에 적용 가능한 활용례를 소개했다.

발표를 맡은 법무법인 CNE 신태섭 변호사는 "규정에 명시된 가명정보 특성 상 의료데이터 활용에서 법적 사각지대가 발생할 수 있으나 가이드라인 준수가 법적 책임 면제 혹은 감면 근거가 될 수 있다"며 "실무적 사례 검토를 통해 사후대비를 해야 한다"라고 밝혔다.

신태섭 변호사는 의료데이터의 가명처리 방법 및 거래와 현장에서 혼동할 수 있는 기준 등에 대한 사례를 10가지를 소개했다. 히트뉴스는 신 변호사의 발표 내용을 문답형식으로 정리했다. 

녹취한 음성정보는 민감정보인가요?
개인정보보호법에 따라 건강정보 등 민감정보는 매우 중요한 영역입니다. 따라서 건강정보 범위 내에서도 가명처리가 가능한 내용과 불가능한 내용이 나뉘며, 이 중 불가능한 영역은 향후 기술발달로 가능한 '유보 영역'인지를 확인해야 합니다.

음성정보의 경우 내용이 질환의 진단, 치료, 예방, 관리 관련이라면 건강정보로 인식되며 현재 가명처리 기준상 유보 영역에 속합니다.

다만 해당 정보가 정보주체의 인권이나 사생활 공개에 중대한 피해를 야기할 수 있는 정신질환 정보는 환자 본인의 동의가 필수입니다.

IRB위원회가 데이터심의위원회 기능을 대신할 수 있나요?
가능하다. 다만 '정보주체를 대변하는 자'를 위원회에 포함시킬 것과 외부위원이 과반수를 넘어야 한다는 데이터심위원회 구성 요건을 충족해야 합니다.

정보주체를 대변하는 자는 환자를 의미합니다. 이는 병원 측에 우호적인 환자를 임명할 수 있다는 논란을 낳고 있어, 정보주체 대변자 선정에 있어 정보주체를 실질적으로 대변할 수 있는 대표성을 확인해야합니다.

복부CT를 가명처리 하려고 합니다. 영상에 표기된 식별자와 DICOM 헤더 식별자만 삭제하면 되겠죠?
쉽게 혼동할 수 있는 부분입니다. 정확하게는 신체 표면 가장자리까지 삭제해야 합니다.

A가 가명처리한 정보를 B에 제공했습니다. B는 C에게 가명정보를 재제공할 수 있나요? 대가는 받을 수 있나요?
상황에 따라 다릅니다. B가 A에게 받은 정보에 대한 가공이 이뤄졌다면 제공이 가능하지만 가명정보를 재제공할 목적으로 데이터를 제공받는 행위는 엄격하게 금지하고 있습니다.

대가를 받은 것은 가능합니다. 그렇지만 가이드라인은 대가로 받은 금액의 사용처를 권고하고 있습니다. 권고하는 사용처는 기관 내 의학 연구비, 데이터 분석환경 제공·보완·보강 등 입니다.

A제약사 소속연구원 P씨가 공문으로 데이터활용을 요청할 경우, 공문은 누구 명의로 보내야 하나요?
법적으로 법적 권한과 의무를 가질 수 있는 주체는 자연인, 법적으로 인정된 법인 두 가지 입니다. A회사 연구원P는 법인에 소속된 자연인이며 법인의 목적과 법인이 정한 직위에 따라 해당연구를 수행하는 자로, 공문은 A회사 명의로 보내야 합니다.

A회사 연구원 P가 B병원으로부터 의료데이터를 받아 연구 중입니다. 그런데 B병원이 다른 기관으로부터 동일한 데이터 가명처리 요청을 받았습니다. 이때 P연구원이 가명처리에 도움을 줄 수 있나요?
P는 해당 의료데이터에 대한 정보를 습득하고 연구를 진행해 왔습니다. 실무적으로 내용을 잘 알고 있는 셈입니다. 그렇지만 P가 다른 연구를 위한 가명처리에 관여해서는 안됩니다.

가명정보를 활용하는 인간대상 연구에서 IRB 승인 및 연구대상자 동의가 면제되나요?
이 역시 혼동이 많은 부분입니다. 우선, IRB 승인심의가 면제될 수는 있습니다. 그러나 중요한 것은 심의가 면제될 수 있는 것이지 받지 않아도 된다는 의미는 아닙니다.

연구를 수행하는 이들은 IRB 심의를 통해 심의 및 동의 면제 대상임을 확인해야 합니다.

의료법과 개인정보보호법 준수 중 어떤 것이 우선인가요?
의료법이 우선 적용됩니다. 다만 가이드라인에 따르면 가명처리된 환자 정보라면 예외적으로 개인정보보호법이 우선 적용됩니다.

다만 중요한 부분은 이 같은 내용이 법령이 아닌 행정규칙에 명시돼 있다는 점 입니다. 이를 인지한 상황에서 가이드라인을 준수해야 합니다.

사망한 환자의 정보는 가명처리했다면 개인정보보호법이 적용됩니까?
개인정보보호법의 보호대상은 살아있는 사람의 개인정보입니다. 사망한 환자의 정보는 대상이 되지 않습니다.

A와 B가 계약을 맺습니다. 가명정보 종류 및 제공방식 등을 모두 계약서에 명시해야 할까요?
계약서는 가능한 한 충실하게 작성해야 합니다. 지면의 제약을 받을 수 있는 본 계약서 외에 부속합의서 형태로 가능한 내용을 담아야 합니다.

이때, 재제공에 대한 내용을 분명하게 명시해야 하는데, 오랜 관계를 유지한 계약자 간 계약서에는 이것들이 누락되기도 합니다. 그렇지만 정보를 제공받고 나면 재제공의 유혹이 닥칠 수 있습니다.

평화이즈 컨소시엄
평화이즈컨소시엄은 IT컨설팅 기업 '평화is'와 서울·인청 성모병원, 경의의료원 등으로 올해 2월 구성됐다.

건강검진결과 및 처방전 등 데이터를 개인이 통합관리하고 맞춤형 운동·영양관리, 복약지도 등 자가 건강관리에 사용할 수 있는 마이데이터 플랫폼 구축 사업을 진행한다.

이를통해 컨소시엄은 향후 1년 간 검진 및 처방데이터를 통해 개인 질환별 맞춤형 식단 및 관리, 정신건강 관리 서비스를 개발·제공한다는 계획이다.

부산 마이데이터 비대면 플랫폼 서비스
에이아이플랫폼, 세종텔레콤, 재영소프트, 부산대학교병원이 부산에서 진행하는 샌드박스형 사업으로 블록체인 기반 의료 마이데이터 플랫폼 구축이 주요 목표다.

비대면 방식의 이용자 편의와 블록체인의 보안기능을 접목한 플랫폼 구축을 통해 △환자 제출서류와 대리인 전자증명서 출납 △진료기록 및 처방전 사본 제공 △종합건강검진 사본 제공에 대한 실증사업을 진행할 예정이다.

해당 사업은 올 4월 사업자 선정이 완료됐으며, 현재 기술개발이 진행 중이다.