빅데이터는 현재 다양한 산업분야에서 활용되고 있다. 미국 소매 유통기업 타깃(Target)이 고객의 멤버십카드 적립현황 빅데이터를 분석해 고객의 임신 개월 수를 추정해 관련 상품 할인쿠폰을 보낸 사례는 이미 유명하다. 

그 중에서도 특히 보건의료데이터는 그 정보의 특수성뿐만 아니라 활용 가능성이 높다는 점에서 개인정보의 보호 관점에서 논의가 대두돼 왔다.

본 칼럼에서는 저서 ‘보건의료 빅데이터의 활용과 개인정보보호’의 내용을 발췌 및 요약해 이러한 주제를 살펴보고자 한다. 보건의료 빅데이터의 의미와 성질을 살펴보고 이에 맞는 제도적 방안을 논의할 것이다.

 보건의료빅데이터 개론 차례 

Ⅰ. 보건의료빅데이터는 무엇인가– 정의와 유형 
Ⅱ. 보건의료빅데이터의 특징– 일반성과 특수성 
Ⅲ. 어떻게 관리되고 있고, 되어야 하는가– 현황 및 개선점

보건의료기본법에 정의된 바에 따르면 '보건의료정보'란 '국민의 건강을 보호, 증진하기 위하여 보건의료인이 행하는 모든 활동과 관련한 지식 또는 부호, 숫자, 문자, 음성, 음향, 영상 등으로 표현된 모든 종류의 자료'를 말한다(제3조 제1호 및 6호).

'빅데이터'란 법규적으로는 '아날로그 또는 디지털 환경에서 생성되는 정형 또는 비정형의 수치, 문자, 영상 등의 대량 데이터의 집합과 이로부터 추출한 가치, 결과를 분석하는 기술과 환경'을 말한다(서울특별시 데이터의 제공 및 이용 활성화에 관한 조례 제2조 제4호). 

종합해보면, 보건의료 빅데이터란 법규적 측면에서 본 정의로는 '국민 건강을 보호하고 증진하기 위한 공공기관 또는 보건의료인 등의 모든 활동과 관련된 대량의 데이터'라고 볼 수 이다. 이러한 빅데이터의 특징은 막대한 양에 있기 때문에 그 수집과 처리에 있어 일일이 개인의 참여를 거치기가 어렵다. 따라서 빅데이터의 시대가 도래하면서 보건의료데이터의 수집 및 활용에 있어 개인정보를 보호할 필요성이 대두되는 것이 바로 이러한 점에서 기인한다고 볼 수 있다. 

한편 해외의 경우는 미국은 연방법으로서 '건강정보 이동성 및 책임성에 관한 법'(Health Information Portability and Accountability Act, HIPAA)이 제정됐고 '보호의료정보'(Protected Health Informaion, PHI)로서 'HIPAA가 적용되는 기관에서 생성, 수집, 전송, 보관되는 개인의 △개인의 과거, 현재, 미래의 물리적, 정신적 건강상태 △개인에 대한 건강보험규정 △개인에 대한 의료비 지출상황 등에 관한 정보로서 개인이 식별되는 의료정보'라고 정하고 있다.

유럽의 경우는 GDPR에서 보건의료정보에 대해 '의료서비스 제공 등 자연인의 신체적 또는 정신적 건강과 관련한 개인정보를 가리키며, 해당인의 건강 상태에 관한 정보를 드러낸다'고 정의하고 있다. 영국의 경우는 DPA(Data Protection Act)에서 건강기록에 대해 '개인의 치료와 관련된 건강에 관한 정보로 이루어진 기록'이라고 정의하여 보호한다. 일본의 경우에는 개인정보보호법에서 보건의료데이터를 요배려정보(인종, 신분, 의료, 범죄 등에 관한 정보)로 분류하여 보호한다. 

 생성 및 처리에 따른 분류- 민간 데이터와 공공데이터 
국내의 보건의료데이터가 다루어지는 영역은 병의원과 같은 의료기관이 처리하는 민간 영역이 있고 공공기관에서 법적인 설립 근거와 업무기능에 필요한 자료들을 처리하게 되는 공공 영역이 있다. 

민간 데이터
민간 영역의 보건의료데이터는 주로 의사의 환자에 대한 진료를 통해 1차적으로 생성, 수집된다. 의료법 제22조에 따라 의료기관인 병원에서 수집 및 보유하는 정보가 대표적이다. 의료법 시행규칙 제14조에는 진료기록부의 구체적인 기재사항들이 나열되어 있는데, 진료 받은 사람의 주소, 성명, 연락처 등 인적사항과 주된 증상, 진단명 등이 이에 포함된다. 개인정보보호위원회에서 2020년 12월 발간한 '의료기관 개인정보보호 가이드라인'에 따르면, 법률에 따른 의료정보의 수집 및 이용은 다음 표와 같다. 

의료법에 따르면 의료인은 환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 할 수 없다. 환자의 배우자 등 특별한 경우가 아니면 환자의 동의 없이 제3자 제공이 금지된다. (다만  개인정보보호법 개정으로 가명정보에 대한 활용에 대해서는 가능성이 열렸다. 이에 대한 법률적 검토는 제도 개선 방안에서 다시 자세히 살펴볼 것이다.) 

정부는 보건의료데이터 활용에서 국민이 자신의 의료데이터를 통제할 수 있는 권리를 증진시키고자 2021년 '마이헬스웨이'라 명명한 의료 마이데이터 사업을 추진하였다. 2021년 2월 스마트폰에서 사용할 수 있는 '나의 건강기록' 앱을 출시하기도 하였다. 개인이 이 앱을 통해 자신의 진료이력, 건강검진이력, 예방접종이력 등을 통합하여 관리할 수 있도록 하기 위함이다. 다만 이를 위해서는 제도적 근거가 필요하다. 의료법을 2020. 3. 개정하여 전자서명이 기재된 전자문서를 제공하는 방법으로도 개인과 의료인이 의무기록을 열람할 수 있도록 하였고, 마이헬스웨이 시스템의 민감정보 및 고유식별번호 처리의 법적인 근거를 마련하기 위하여 의료법 시행령 개정을 추진하고 있다. 또한 개인정보보호법 2차 개정안에는 의료정보의 전송요구권에 관한 조문안이 포함되어 있다. 

공공 데이터
우리나라는 2000년 국민건강보험법을 제정하여 국민건강보험공단을 단일 보험자로 하는 국가의료보험 운영체계를 갖추었다. 보건복지부의 감독 하에 국민건강보험공단과 건강보험심사평가원에 의해 운영된다. 국민건강보험공단은 보험자로서 가입자 자격관리, 보험료 징수 등의 업무를 담당하고, 건강보험심사평가원은 의료기관이 청구한 의료급여비용을 심사하고 평가하는 업무를 담당한다. 각 담당한 업무의 수행을 위해 전 국민의 보건의료데이터가 수집된다. 

공공기관이 보유·관리하는 정보의 경우 ‘공공데이터의 제공 및 이용 활성화에 관한 법률’에 따라 국민의 알 권리가 보장된다. 다만 동법 제9조에 따른 비공개대상정보를 제외하고 제공하도록 되어 있고, 비공개대상정보에는 '성명·주민등록번호 등 개인에 관한 사항으로서 공개될 경우 사생활의 비밀 또는 자유를 침해할 우려가 있다고 인정되는 정보'가 해당된다. 대표적인 공공기관이 업무를 위하여 수집하고 처리하는 대표적인 보건의료데이터 종류는 다음과 같이 정리해 볼 수 있다. 

보건복지부는 보건의료분야 4개 기관간의 빅데이터를 의학연구, 정책개선 등 공공적 연구에 활용하기 위한 '보건의료빅데이터 플랫폼' 사업(https://hcdl.mohw.go.kr/)을 실시하고 있다. 연구자들은 데이터 편람을 살펴 필요한 데이터를 플랫폼 홈페이지에 신청할 수 있고, 연구평가소위원회와 정책심의위원회에서 이를 심의하여 데이터 연계와 비식별조치를 진행한 후 2차로 연구평가 소위원회의 검토 후 폐쇄망을 통해 데이터를 제공할 수 있도록 되어 있다. 이에 대한 자세한 현황과 발전 논의는 다음 칼럼에서 더 살펴보고자 한다. 

 형태에 따른 분류- EMR, PACS 
보건의료데이터는 형식이 여러 가지 유형으로 나뉠 수 있다. 기록형태에 따른 유형으로 전자의무기록(EMR)과 영상의료전달시스템(Picture Archiving Communication System, PACS)이 있다. PACS는 의료영상 중에서도 방사선 진단 영상과 같이 디지털 파일 형태로 획득하여 고속통신망으로 전송하고 영상조회 장치를 통해 환자를 진료하는 디지털 영상 관리 시스템으로, 보통 DICOM(digital communications in medicine) 표준 방식으로 처리된다.  

이렇게 형태상 단순한 텍스트뿐만 아니라 영상, X-ray 등의 다양한 방식으로 기록되기 때문에 적절한 데이터 관리가 요구된다. 특히 비식별화에 있어서 의료전문가의 해석과 판단이 작용하게 되고 다양한 유형으로 인해 의료정보만의 특수한 처리가 요구되기도 한다. 예를들어 남성 유방암과 같이 케이스가 많지 않은 경우에는 비식별처리에 있어 성명, 주민번호, 연령 등만 삭제하여서는 개인 식별의 위험이 있어 충분하지 않을 수 있고 반드시 성별을 가려야 할 것이다.

또한 질병명에 '파킨슨병'이 있다고 하는 경우, 식별자인 성명을 단순히 일괄삭제하는 방법을 통해서는 '파킨슨병'의 '파킨슨'이 삭제되어 병명을 알 수 없어 데이터의 유용성이 사라질 수 있다. 뿐만 아니라, X-ray상에 드러나는 골형태를 통해 개인이 식별이 가능할지 여부, 유전정보의 경우 염기서열 공개로서 개인특정이 가능한지 여부 등 처리자의 전문지식과 기술현황 등 제반 상황에 따라 달리 평가될 여지도 있다.

따라서 데이터의 비식별화와 안전조치에 대해서 획일적 기준을 정하기가 까다롭다는 특징이 있다. 이러한 보건의료데이터의 특징에 대해서는 다음 칼럼에서 보다 상세히 살펴보고자 한다.