뉴스필드

노동·인권 전문지

보건의료 빅데이터 사업, 국민 건강을 위한 것인가, 기업 이윤을 위한 것인가

<칼럼 – 이상윤 연구공동체 건강과대안 책임연구위원, 의사>

보건의료 빅데이터 관련 사업은 최근 세계적으로 각광을 받고 있다. 한국 정부도 학계와 병원, 산업계 등의 요구를 받아들여 다양한 보건의료 빅데이터 사업을 적극적으로 벌이고 있다.

건강보험공단, 건강보험심사평가원, 국립암센터, 질병관리본부 등에 산재해 있는 보건의료 빅데이터를 정보 주체의 동의 없이 연계하여 활용할 수 있도록 하는 ‘보건의료 빅데이터 플랫폼’ 시범사업이 진행 중이다. 더불어 국민 100만 명의 생체정보 및 건강정보를 모아 분석하려는 ’100만 국가 바이오 빅데이터’ 사업도 추진되고 있다. 단일 병원 차원에서 의료 빅데이터 플랫폼을 구축하려는 ‘데이터 중심 병원’ 사업도 추진 중이다.

하지만 이러한 종류의 보건의료 빅데이터 사업들은 의료 현장에서 혹은 공중보건 현장에서 그 효용이 증명된 것이 극히 적다. 그에 견줘 개인의 프라이버시 침해 가능성, 사회적 차별 및 배제의 확대 재생산 가능성, 그로 인해 사회적 불평등이 증가할 가능성 등은 더 현실적 근거가 있다. 보건의료 빅데이터 사업은 사회 구성원 간 충분한 토론과 합의에 근거해 차근차근 진행되어야 한다. 보건의료 빅데이터는 현대 의료 문제를 단박에 해결할 수 있는 ‘도깨비 방망이’가 아니다.

빅데이터 이용한 개인 건강관리 서비스가 효과적이지 않은 이유

최근 정부가 실증특례 사업으로 추진하고 있는 ‘마이 데이터’ 사업을 예로 들어 보자. 이러한 사업은 개인의 의료·건강 정보를 이용해 원격으로 건강관리서비스를 제공하는 모델이다. 원격 건강관리서비스는 아직까지 널리 상용화되고 있지는 않지만, 그 확장성과 상품성에 대해서는 많은 장밋빛 전망이 제출되고 있다.

이는 ‘건강한 사람을 더욱 건강하게’ 만들기 위한 목적으로 현재도 이루어지고 있는 각종 상담·교육·운동처방·식단관리·생활습관 교정 등의 서비스에 정보통신기술을 접목하여, 더 대규모로 더 개인화된 방식으로 상품화하려는 전략이다. 일상생활 중에 생체정보를 모니터링 하는 기술을 바탕으로 모아진 의료·건강 정보에 근거하여 상담·교육·운동·생활습관 교정 등이 이루어지도록 하는 것이다.

하지만 이와 같은 서비스 모델의 전제 ‘많은 정보와 지식이 있다면 자신의 생활습관을 교정하여 보다 건강해지려 노력할 것’이라는 선험적 가정은 실제 현실에서는 제대로 작동하지 않는다. 이러한 가정은 전통적인 ‘지식-인식-실천’ 모델에 근거하고 있는 것인데, 많은 연구들에 따르면 아무리 한 개인에게 많은 정보를 제공하고 행동경제학에서 유행하는 이른바 ‘넛지(nudge)’ 형태로 자극을 주더라도 불건강한 생활습관을 바꾸는 데에는 한계가 있다.

사람의 생활 습관은 더 넓은 사회경제적 관계, 이른바 사회적 구조에 영향을 받기 때문이다. 담배가 건강에 해롭다는 것을 알아도 많은 사람이 금연에 실패하는 이유, 비만이 건강에 해롭다는 것을 알아도 많은 사람이 체중조절에 실패하는 이유는 건강 지식이 부족해서, 적절한 자극이 없어서 그런 것이 아니다.

순전히 효용 측면에서만 보면 빅데이터를 이용한 개인화된 서비스보다 더 비용효과적인 방법이 있다. 다양한 공중보건사업 혹은 질병 예방사업에 투자하는 것이다. 암 환자를 어떻게 더 잘 치료할 것인가에 돈을 쓰기보다는 이미 잘 알려진 흡연·음주·대기오염·발암물질 등 발암요인에 대한 사회적 개입이 훨씬 더 비용효과적이다. 비만·고혈압·당뇨병 환자 역시 모바일 기기 등을 통해 개인이 자신의 건강을 관리하는 방식보다는 먹거리 정책, 활동량 증가 정책 등 사회 정책을 통해 만성질환 관리를 하는 것이 더 비용효과적이다.

실제 미국, 캐나다 등에서 이루어진 실증연구에 따르면, 미국 주 중 의료서비스 지출 대비 사회서비스+공중보건서비스 지출 비율이 높은 주일수록, 지역 주민들의 건강이 좋았다. 의료서비스 지출 대비 사회서비스 지출(공공 주택, 복지서비스, 보육서비스 등) 비율이 크면 클수록 조기사망을 줄일 수 있고 평균수명을 늘릴 수 있다는 연구 결과도 있다.1)

의료와 정보통신기술, 빅데이터의 융합은 문제를 개인화하여 개별적 해결을 시도하게 만드는 과학기술 발전 경로이다. 이 경로를 따라가는 경우 사회 불평등이 더욱 증가할 수 있고, 사회적 효용은 오히려 감소할 수도 있다.

의료·건강 정보가 유출되면 그 피해는 막대하고 되돌릴 수 없다

효과의 문제와 별개로 이러한 사업이 사회적 규제 안에서 이루어지지 않을 경우 발생할 부작용은 매우 크다. 대표적인 것이 개인의 프라이버시 침해이다. 환자들이 병원에 가서 진료 과정에서 내밀한 얘기를 의사에게 털어놓을 수 있는 까닭은 의사가, 병원이 자신의 정보를 잘 보호해줄 것이라고 믿기 때문이다.

그런데 이 믿음이 깨지면? 의사-환자 관계의 신뢰 붕괴로 제대로 된 진료가 이루어질 수 없을 것이다. 의료·건강 정보의 보안과 보호가 중요한 까닭은 이러한 정보가 유출되었을 때 그 피해는 막대하고 돌이킬 수 없기 때문이다. 피해는 단지 개인에 국한되지 않고 사회 전체에 미칠 수 있다는 점도 심각한 문제다.

개인의 의료·건강 정보는 가장 가까운 사람에게조차 숨기고 싶은 사생활의 영역이다. 민감정보 중의 민감정보다. 민간보험회사가 특정 개인의 질병력을 알게 된다면 특정 개인의 보험가입을 거부하거나 보험료를 올려 받을 근거로 악용될 수 있다. 성 매개 감염병 치료에 대한 정보, 정신질환 치료에 대한 정보, 여성의 임신, 낙태 경험 등에 대한 정보가 공개됨으로써 가족이나 직장 동료 등에게 알려지면, 그로 인한 개인의 피해는 막대할 수 있다.

특히 이러한 의료·건강 정보일수록 사회적 낙인이나 배제 효과를 동반하는 경우가 많아 정보 노출로 개인이 고용상의 불이익이나 집단적 왕따, 사회적 평판의 저하를 당할 수 있다는 점에서 치명적이다. 최악의 경우 이러한 정보 취득을 이유로 협박 등을 행하는 범죄 혹은 사기에 이용될 수도 있다.

실제 2018년 7월 대형 성형외과 병원이 전문 해커집단에 해킹되어 병원이 보유하고 있던 개인정보가 유출되었는데, 당시 해커들은 일부 환자에게 ‘시술 사진을 가지고 있다’며 개인정보를 인질 삼아 비트코인을 요구한 것으로 알려졌다.2)

환자의 동의 없이 제공된 정보로 상업적 이득을 취하는 업체나 개인이 많아질 것이라는 점도 문제다. 이는 개인에게 권리가 있는 의료·건강 정보를 개인의 동의 없이 활용한다는 점에서 강탈이고 도둑질이다.

보건의료 빅데이터 사업, 개인 의료·건강 정보 유출 위험 높여

정부가 빅데이터 활용이라는 명목으로 추진하는 건강보험공단 등 공공기관의 보건의료 빅데이터 공개는 더 큰 문제를 낳을 수 있다. 한국은 의료·건강 정보 보호 측면에서 각별한 주의가 필요한 나라다. 한국처럼 국민 모두에게 주민등록번호라는 고유식별정보가 존재하고, 개인 정보 데이터를 어떠한 형태로든 쉽게 얻을 수 있는 사회에서 공공 보건의료 빅데이터의 원자료 공개는 매우 심각한 결과를 낳을 수 있다.

국민건강보험공단 등에는 건강보험 적용 및 이용을 위한 행정 목적으로 개인의 의료·건강 정보 외에도 개인의 소득·주소·직장 등 방대한 양의 개인정보가 집적되어 있다. 이러한 조건에서 공공 보건의료 빅데이터를 원자료 형태로 공개하면 다른 개인정보 데이터를 융합·재가공하여 얼마든지 개인을 식별할 수 있기 때문이다.

의료 정보화가 심화되면서 민감하고 소중한 환자의 의료·건강 정보 유출 위험이 커지고 있다. 이전에 아날로그 형태로, 문서 형태로 존재하던 개인 의료정보가 디지털 형태로, 전자화된 파일 형태로 바뀌어 정보 보안 및 보호를 위한 환경이 바뀌었다. 환경 변화에 따라 환자 의료 정보를 다루는 주체의 수도 늘었다. 수가 늘면 내부에서 유출될 위험도 커진다.

이전에는 의사와 병원만 주의하면 되었으나, 이제는 병원 전자의무기록 프로그램을 제공하는 프로그램 업체, 병원 의무기록 관리를 담당하는 외주업체, 약국 처방전 관리 프로그램을 제공하는 프로그램 업체, 병원에서 약국으로 전자처방전을 발행할 시 그것을 대행해주는 대행업체, 건강보험 행정 업무를 위해 환자 정보를 모으는 건강보험공단과 건강보험심사평가원 등 환자 의료 정보를 다루는 주체가 너무 많아져서 이들 모두에게 동일한 수준의 정보 보안과 보호 수준을 유지하도록 규제하기가 쉽지 않다.

미국의 한 정보 보안업체가 발간한 보고서에 따르면, 의료 영역에서 발생한 사이버 보안사건 중 58%가 내부자 혹은 내부자와 관련된 사람이 일으켰다고 한다. 이 중 금전적인 이득을 취하고자 사건을 일으킨 내부자가 48%이며, 그저 재미와 호기심 때문에 유명 인사나 특정 인물의 개인정보를 들여다본 경우가 31%, 업무상 편의를 위해 규정을 위반한 경우가 10%였다. 꼭 금전적 이익을 위해서가 아니더라도 다양한 이유로 개인 의료 정보 유출이 발생하고 있는 것이다.3)

병원에서 진료과정 중에 수집되는 정보만이 문제가 아니다. 사실 개인의 건강에 대한 정보는 병원 외에도 학교, 직장 등에서 학생 및 직원의 건강관리 목적으로 수집되기도 하고, 메르스나 콜레라 같은 감염병 관리를 위해 질병관리본부 등 국가기관이 수집하기도 한다.

최근에는 기술 발달로 핸드폰 같은 모바일 기기의 애플리케이션으로 혹은 스마트 워치 등 개인 건강관리 제품을 통해 수집되는 건강 정보량도 방대하다. 향후 원격의료가 활성화된다면 원격의료 기기를 통해 수집되는 건강 정보, 다양한 민간 건강관리서비스업체가 제공하는 기기의 사물인터넷을 통해 수집되는 건강 정보도 상당할 것으로 예상되고 있다.

하지만 건강 정보 환경의 변화와 기술 발전 속도는 매우 빠른데 반해 민감하고 소중한 개인 건강 정보를 보호하고 관리하기 위한 정부의 법제도 및 행정의 대응 속도는 더디기만 하다. 더 큰 문제는 범정부 차원에서는 개인건강정보 보호보다는 오히려 상업적 활용 및 규제 완화에 더 큰 관심이 있어 보인다는 것이다.

문제를 더 심각하게 만들 개인정보 보호법 개정안

이인영 민주당 원내대표는 2019년 7월 3일 국회 본회의 교섭단체 대표 연설에서 “데이터가 미래 산업의 쌀”이라고 얘기했다. 데이터 경제가 한국 경제의 미래 중 하나라는 취지의 발언이었다. 국회에 계류되어 있는 개인정보 보호법 개정안을 비롯한 이른 바 ‘데이터 3법’의 조속한 국회 처리도 요청했다.

건강정보와 유전정보는 쌀이 아니다. 경제발전을 위한다는 명목으로 국가에 의해 동원될 수 있는 자원도 아니고 연료도 아니다. 이는 개인의 몸이고, 역사이며, 존엄성 그 자체이다. 내 몸이 나의 것이듯, 내 건강정보, 유전정보는 나의 것이다. 이 정보에 대한 권리는 누구에게도 양도할 수 없고, 이 정보를 활용하고 싶은 이들이 있다면 그게 누구이든 개인의 동의를 받아야 한다.

정부와 민주당은 한국 경제발전을 위해서 필요하다고 얘기하면서 국민의 기본권을 제약하려 하고 있다. 이와 같은 큰 일을 벌이면서 관련된 내용에 대해 국민 의견 수렴 절차도 밟지 않고 있다. 이러고도 정부와 여당이 민주주의와 인권을 존중한다고 말할 수 있나.

정부 여당이 추진하는 개인정보 보호법 개정안 중 가장 문제가 되는 것은 ‘가명정보’의 경우 정보주체의 동의 없이도 개인정보를 활용할 수 있도록 한 조항이다. 개정안은 통계작성, 과학적 연구, 공익적 기록보존 등으로 그 목적을 한정하긴 하였으나, 통계, 과학적 연구를 매우 폭넓게 정의함으로써 사실상 기업, 개인의 사익 추구를 위한 통계, 연구도 정보주체의 동의 없이 개인정보를 처리할 수 있도록 열어주고 있다.

정부, 여당은 ‘가명화’라는 형태로 개인을 알아볼 수 없게 한 정보에 한정된 것이고, 이를 다시 개인을 알아 볼 수 있게 하는 행위를 금지하고 이를 어겼을 경우 무거운 과징금을 부과하도록 하였기에 우려할 필요는 없다고 한다. 하지만 적어도 건강정보, 유전정보만큼은 이러한 조치가 그리 효과적이지 않다.

확률의 문제일 뿐 가명정보는 여러 가지 기술적 방법으로 재식별될 수 있다. 이른 바 빅데이터 시대인 지금은 한 개인에 대한 개별적인 정보를 대량으로 포함하고 있는 데이터 집합을 사용하여 개인을 식별하는 것은 더욱 쉬워졌다. 과징금 등의 처벌 강화 조치는 사후약방문일 뿐 개인정보 재식별과 유출을 막기 위한 원천적 예방책은 아니다.

재식별 가능성 및 유출의 위험이 있음에도 불구하고, 가명정보 활용 시 정보주체의 동의를 생략한다는 개인의 권리 제약이 정당화되려면, 이것이 합당한 공공 이익 목적을 위한 것이고, 동일한 목표에 도달하기 위해 활용할 수 있는, 상대적으로 침해나 제한의 성격이 약한 다른 수단이 존재하지 않는다는 것을 정부, 여당이 입증해야 한다.

개인적으로는 사회정책적 목적을 위한 통계 작성, 공공의 이익을 위한 과학적 연구, 공익적 기록보존 등의 행위는 공공의 이익을 위한 것이고, 다른 수단으로 위와 같은 목적을 달성할 수 없다는 것이 반증되면, 정보주체의 동의 없이 가명정보를 활용할 수도 있다고 생각한다. 하지만 상업적 목적으로 이루어지는 통계 작성, 일부 주체에게 그 이익이 전유되는 과학적 연구 등은 공공의 이익을 위한 것이라 볼 수 없다. 정부, 여당이 말하는 ‘데이터 경제 발전’은 공공의 이익을 위한 것이 아니다. 개인의 정보인권을 존중하면서 데이터 경제를 발전시킬 다른 수단이 없는 것도 아니다. 정부, 여당의 개인정보 보호법 개정안은 정보인권 보장 측면에서 정당화되기 힘들다.

정부, 여당의 개인정보 보호법은 인권 보장 측면뿐 아니라 윤리적으로도 큰 문제를 가지고 있다. 특히 크나큰 오욕의 역사를 가지고 있는 생명, 의학 연구 영역에서 발전해 온 생명·의학 연구 윤리의 원칙과 이 법은 정면으로 배치된다.

생명·의학 연구에서 윤리적 고려는 과학 발전과 개인의 존엄성 및 자율성에 대한 사회적 필요성 사이의 균형을 이루기 위한 인류 집단의 역사적 노력의 결과이다. 이것에는 개인정보 유출로 인한 피해로부터 자유로울 권리만 포함되는 것이 아니다. 이는 개인이 자신의 개인정보 및 생물학적 물질 사용에 대한 통제권을 행사할 수 있는 권리를 포함한다.

아무리 과학적 발전을 위한 연구라 하더라도 한 개인은 자신의 윤리적 신념에 반하는 연구에 참여를 거부할 권리가 있다. 예를 들어 자신의 가족과 미래 세대에 대한 프로파일링을 위한 유전체 연구, 인종차별의 근거가 될 가능성도 존재하는 유전체 연구, 특정 집단을 차별하고 배제하는 근거로 악용될 수도 있는 건강 연구, 유전적 특질을 이용한 생물학적 무기 개발에 이용될 수도 있는 연구 등에 자신의 개인 건강정보, 유전정보가 동의 없이 사용되기를 원하지 않는 이들이 다수이다.

과학적 연구 참여에 대한 개인의 동의는 연구 수행 기관에 대한 신뢰를 기반으로 하는 경우가 많으므로 개인정보 사용과 관련된 행위자도 매우 중요한 고려사항이다. 민간보험회사, 제약회사, 의료기기회사, 통신회사 등 민간 기업이 행하는 연구에 내 건강정보, 유전정보가 사용되는 것에 대해 얼마나 많은 이들이 동의할지 의문이다.

현재 이 법안은 정부가 안을 만들어 과거 국회 행정안전위원회 위원장이었던 인재근 의원안으로 상임위에 계류되어 있다. 정부 입법안을 의원 입법안으로 포장한 것도 참 궁색하다. 정부 입법안이 가져야할 여러 가지 절차를 생략하고 관련된 정치적 부담을 덜기 위해서라는 지적이 많다. 이 역시 절차적 민주주의 원칙에 위배된다.

국회 행정안전위원회 위원들은 인재근 의원안으로 제출된 정부 개인정보 보호법 개정안의 독소조항을 삭제해야 한다. 정보인권을 보장하고 개인의 존엄성을 존중하는 가운데 데이터 경제도 발전시킬 방안을 찾아야 한다. 정보인권이 보장되지 않고 관련된 거버넌스의 투명성, 책임성, 민주성 등이 훼손되면 데이터 경제 발전도 어렵다.

개인의 프라이버시와 자율성을 존중하는 보건의료 빅데이터 관련 정책이 필요하다

정보통신 기술의 빠른 발전 속도를 고려하면, 병원에서 진료 중에 수집, 생성, 집적되는 의료 정보 외에 모바일 기기, 사물 인터넷 등을 통해 부지불식간에 수집되는 의료·건강 정보의 보안 및 보호와 관련된 논의가 시급하다. 현재 환자-병원·약국-건강보험공단으로 이어지는 환자 의료정보 흐름 속에서 환자 의료정보 보안을 강화할 방안을 찾아야 한다.

빅데이터 산업 육성이라는 명목으로 건강정보를 개인이나 기업에 제공하는 것에 신중해야 한다. 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 빠르게 변하는 관련 기술의 특성상 규제가 모호한 상태로 남아 있는 모바일 기기 및 사물인터넷을 통한 건강정보 수집 및 처리에 대한 규제가 명확해져야 한다.

LEAVE A RESPONSE

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다