데이터 3법 개정, 보건의료데이터 활용 가이드라인 등 민감한 의료데이터 산업을 위한 제도적 장치가 마련되고 있지만 디테일한 부분에서는 아직 모호한 부분이 남아있다는 의견이 제기됐다.

인벤티지랩 최미연 변호사는 10일 보건복지부가 주최하고 한국보건의료정보원, 부산대학교 법학연구소가 공동 주관한 '2021년 제4차 보건의료데이터 혁신포럼'에서 보건의료데이터 국내 법제도 현황과 문제점을 발표했다.

이 자리에서 최 변호사는 △보건의료데이터 관련 개벌 법령 접합성 △데이터심의위원회 제도 법령상 근거미비 △환자 개인정보자기결정권 보장 등 세가지 면에서 보건의료데이터 활용을 위한 법제도 미비점이 있다고 밝혔다.

가명처리 위한 의료데이터 이동에는 법적 근거 미비
최 변호사에 따르면 가명처리를 위한 의료데이터 이동에는 아직 근거규정이 마련돼 있지 않은 상황이다.

보건의료데이터 활용 가이드라인에서는 과학적 연구 목적으로 가명처리된 의료데이터를 사용하는 것은 허용하고 있지만 가명처리를 과정 중 데이터 이동에 대한 근거는 마련돼 있지 않다는 것이다.

또한 여기서 의료데이터 이동은 △의료기관내 부서 간 △의료기관-위탁기관 간으로 나눠볼 수 있는데, 가명처리가 이뤄지는 과정에서 가명처리되지 않은 데이터가 의료기관 및 위탁기관으로 정보가 이동하는 경우에 대해서도 근거 규정도 없다.

최 변호사는 "일본의 차세대의료기반법에는 의료데이터를 데이터 처리 업자에게 제공할 수 있다는 점이 명시돼 있다"며 "유권해석과 사법부 판단이 다를 수 있는 만큼 법적 근거가 부족하다면 이를 새로 만들 필요가 있다"라고 제언했다.

데이터심의위원회 운영 법적 근거 미비
현행 데이터심위원회 관련 규정은 식약처 가이드라인에 명시돼 있다. 가이드라인에서는 심의위원회 구성, 자격조건 등을 명시하고 있는 상황으로, 최 변호사는 심의위원회 심의 기준, 외부 위탁, IRB심의위원회 중복심의 등 미비점이 있어 이에 대한 법적 근거마련이 필요하다고 지적했다.

그는 "과학적 연구목적 데이터 활용이라는 점에서 데이터심의위원회와 IRB심의위원회 사이 심의내용 중복 가능성이 있는데, 이를 일원화 할 수 있는 근거규정 마련이 필요하다"라고 설명했다.

환자가 정보처리 중단 요구할 수 있는 옵트아웃 부재
옵트아웃은 사업에 필요한 가명처리 이전에 환자에게 이를 통지해 환자가 동의를 철회하거나 정보처리 중단을 요구할 수 있는 규정으로 일본, 영국, 호주에서는 유사한 규정이 마련돼 있다.

일본 차세대의료기반법 제34조에서는 본인 등이 제공 중단을 요구한 경우 의료기관에서 데이터 제공을 할 수 없다고 규정하고 있으며 호주는 정보주체가 데이터 열람 내용과 범위를 스스로 결정할 수 있다.

영국은 the Data Protection Act(2018) 법령에 따라 비식별 조치 의무화와 데이터 활용 영역을 의료기관, 대학연구, 제약사 신약개발로 특정하고 있으며 환자 옵트아웃 권한을 행사할 수 있는 웹페에지를 별도로 운영하고 있다.

최 변호사는 해외사례로 확인한 환자 옵트아웃 권리 보장으로 보건의료데이터 활용에 대한 국민 인식 고양 및 정보보호 신뢰성을 확보해야 한다고 제안했다.

이어진 패널토론에서는 고려대학교 법학전문대학원 이희정 교수와 한국보건산업진흥원 박대웅 변호사가 의료데이터 활용을 위한 규정 미비점 보완방향을 제시했다.

의료법·생명윤리법이 개보법 받아들여야
이희정 교수는 현재 제도화 된 현행법 영역별 규범은 존중해야 하나 새로운 환경 탄생에 따른 필요 규정과 조화를 이뤄야 한다고 밝혔다.

그는 "의료법과 생명윤리법 등에서 보건의료정부가 어디에 있고 누구에게 전달될 수 있는가를 규정하고 있지만 현행법에 새로운 데이터 환경에 대한 문제의식은 포함돼 있지 않다"며 "데이터 환경에 민감하게 반응한 개인정보보호법을 현행 관련법이 받아들여 새로운 규정과 조화를 만들어야한다"라고 설명했다.

데이터위원회 법적근거는 고민 필요
이 교수에 따르면 데이터위원회는 개보법상 가명처리 적절성을 정보별로 평가·검증하는 수단으로 RM(Risk management)에 가깝다.

따라서 이 교수는 RM수단을 단일 규정을 마련해 법률화 해야 하는가에 대해서는 고민이 필요하다고 밝혔다.

옵트아웃 보다 공감대 형성이 먼저
옵트아웃에 대해서는 이희정 교수와 박대웅 변호사 의견이 다소 갈렸는데, 이 교수는 데이터 접근 방식변화가 필요하다는 입장을 내놨고 박 변호사는 우선 데이터 활용에 대한 공감대를 형성해야 한다고 밝혔다.

이희정 교수는 "기존 의료정보는 통제는 잘 되고 있었지만 정보주체 접근은 어려운 특수한 영역이었다"며 "변화한 데이터 환경에서 환자 개인이 정보에 직접 접근하고 통제하는 접근법을 반영할 필요는 있다"라고 말했다.

박대웅 변호사는 영국 Care.Data사업을 사례로 들며 옵트아웃 등 제도마련 보다는 사회적 공감대 형성을 우선해야 한다고 제안했다.

Care.Data는 2013년 영국에서 추진한 건강·사회정보 관리 프로그램으로 수술 등 진료 데이터를 중앙 데이터베이스로 추출해 관리하는 내용이었다.

박대웅 변호사는 "Care.Data 프로그램은 당시 시민사회 반발을 샀고 대거 옵트아웃을 신청해서 사업 자체가 좌초된 사례"라며 "보건의료데이터 활용 법제기반을 구축하더라도 시민사회 공감대 형성을 위한 노력은 지속해야한다"라고 말했다.

한편 이날 포럼은 △제1세션 '보건의료 데이터 법제 개선을 위한 기반연구 △제2세션 '보건의료 데이터 법제 개선을 위한 개별법적 과제'로 진행됐으며, 미국·핀란드·일본 의료데이터 관련 제도 및 △가명처리의 법적 쟁점 △데이터 공유 및 분양제도의 법제적 쟁점 등이 논의됐다.