국회법률도서관 홈페이지에서 보기
2023. 11. 15. | 2023-21호
by 국회도서관
의료데이터 활용과 보안, 두 마리 토끼를 잡으려면?  
데이터를 활용하여 문제를 분석하고 해결책을 찾아내거나 심지어 미래를 예측하는 건 새삼스러운 일은 아니예요. 사람의 건강과 생명에 직결된 의료 분야에서도 환자 진료, 건강검진 등을 통해 수집된 보건의료 빅데이터를 이용하여 더 정확한 진단을 내리고 더 효과적인 치료제를 개발하려는 시도가 계속되고 있어요. 이 과정에서 개인의 질병, 수술결과, 처방약 등 공개하길 원치 않는 내밀한 '민감정보'들이 필요한데요, 최근 개인정보 유출 사고가 빈번해지면서 '내 정보가 나도 모르게 새 나가면 어쩌지?'하는 우려가 커졌어요. 개인의 민감정보는 철저히 지키면서 의료 데이터로도 활용할 수 있는 제도, 어떻게 만들어가야 할까요?
일본 「차세대의료기반법」 : 연구와 개인정보보호, 놓치지 않을 거예요 
일본은 2017년 의료정보를 익명화하여 연구개발에 활용하는 것을 촉진하고, 의료정보를 제3자에게 제공할 때 미리 동의를 구하도록 「의료분야의 연구개발에 이바지하기 위한 익명가공의료정보에 관한 법률(차세대의료기반법)」 을 제정했어요. 법률 제정 이후 데이터의 익명성은 유지하면서 사용성은 제고하는 방안을 검토해왔고, 지난 6월 관련 규정을 담은 「차세대의료기반법」 개정법률이 의결되었어요.(2024년 6월 시행 예정)
  • 가공에도 단계가 있어: 개정 전 법률은 ①원본과 가공 데이터를 연결할 수 있는 정보를 완전히 삭제하고 ②개인을 특정할 수 있는 희소한 병명이나 약의 이름도 삭제한 '익명가공의료정보'만 규정하고 있었어요. 이번 개정 법률은 '가명가공의료정보'를 새롭게 정의했어요.
  • '가명가공의료정보'는 다른 정보와 대조하지 않는 한 개인을 특정할 수 없도록 가공된 의료정보예요. 이 정의에 따라 이름, 진료카드번호, ID와 같은 개인식별부호는 반드시 삭제해야 하지만, 특이한 수치나 희귀질환명 등은 삭제하지 않아도 돼요.(제2조제4항)
  • 국가의 허락없이 사업 금지: 가명가공의료정보에 개인을 알아챌 수 있는 힌트가 남은 만큼, 정보를 다루는 자는 심사를 거쳐야 해요. 그래서 환자 본인에게 통지 후 수집한 의료정보를 가명가공의료정보로 바꾸는 '가명가공의료정보 작성사업자'가 되고 싶은 법인은 국가의 인가를 받아야 해요.(제33조)
  • 허가를 받은 가명가공의료정보 작성사업자는 의료정보를 다루는 사업을 다른 법인에 위탁할 수 있는데요, 이때 사업을 위탁받는 '취급수탁사업자'도 국가의 승인을 받아야 해요.(제5장)  
  • 받은 것 이상 활용하지 않기: 오직 국가가 인정한 이용사업자와 활용사업자 법인만 의료분야 연구개발에 가명가공의료정보를 사용할 수 있어요. 사업자들은 의약품 제조·판매 허가를 위한 공공기관 제출 등 예외적인 상황을 제외하고는 가명가공의료정보의 원본을 복원하거나 제3자에게 제공하면 안 돼요.(제4장제2절)
  • 개인도, 법인도 처벌 가능: 가명가공의료정보 작성사업자 또는 취급수탁자업자가 개인정보가 담긴 의료정보 데이터베이스를 무단으로 복제, 가공하거나 외부에 제공하면 2년 이하의 징역 또는 100만 엔 이하의 벌금에 처해지거나 병과될 수 있어요.(제68조) 이때 잘못을 저지른 개인뿐만 아니라 개인이 속한 법인도 1억 엔 이하의 벌금을 부과받아요.(제74조)
다른 나라는 어때?
  • 미국 - 연방법인 「건강보험 활용 및 책임에 관한 법률(HIPPA)」[원문]과 하위법령에 따라 개인의 의료데이터를 사용하고 보호해야 해요.
  • 식별가능한 민감의료정보를 다루는 기관과 민간기업은 치료 이외의 목적으로 데이터를 활용하기 위해서는 개인의 동의를 받아야 해요.(45 CFR §164.506)
  • 민감의료정보 보호를 위해 데이터는 전문가판단방식(45 CFR §164.514(b)(1)), 세이프하버방식(45 CFR §164.514(b)(2)), 한정데이터세트(45 CFR §164.514(e)(1))와 같은 비식별화 절차를 거쳐야만 연구 목적으로 활용할 수 있어요. 
  • 의료데이터 표준을 위반하거나 개인을 식별할 수 있는 의료정보를 부당하게 공개하면 형사처벌과 민사벌금이 부과돼요.(42 USC §1320d-5[원문], 42 USC §1320d-6[원문]) 
  • 캘리포니아주 「소비자프라이버시법」, 뉴욕주 「SHIELD법」과 같이 건강정보 수집·저장·이용·공개 등을 규제하는 법률을 제정한 주도 있어요.
  • 영국 - 국가보건서비스(NHS) 체제를 가진 국가로, 의료데이터도 국가가 중심이 되어 관리해요. 유럽연합의 일반개인정보보호규정(GDPR)을 받아들인 「데이터보호법(2018)」과 「보건복지법(2012)」 제9편 등에 따라 연구 및 정책 개발 등의 목적으로 의료데이터를 활용해요. 의료데이터의 2차 이용에 관한 정책을 수립하고 실시하는 일은 NHS 잉글랜드가 담당해요. 개인정보보호와 기밀유지를 위해 해당 정보를 익명화 또는 가명화하는 방식을 채택했어요.  
  • 핀란드 - 「의료 및 사회복지 정보의 2차 활용에 관한 법률」 에 따라 국가가 보건의료데이터의 구축과 활용을 관리해요. 국립보건복지연구원 산하 기관인 핀데이터(Findata)가 데이터 허가·감독, 시스템 보안, 개인정보 익명화, 데이터 플랫폼 운영 등 업무를 원스톱으로 수행해요. 비식별화된 의료데이터는 건강정보포털인 칸타(Kanta)에 게시되고, 의료연구, 통계, 개발 및 혁신활동 등에 활용할 수 있어요. 이러한 활동은 유럽연합 GDPR의 범위 내에서 이루어져야 해요.
그럼 우리나라는? 
「개인정보보호법」, 「공공데이터법」, 「보건의료기본법」, 「보건의료데이터 활용 가이드라인」 등 다양한 법령으로 개인의 의료데이터를 보호하고 있어요. 「개인정보보호법」에 따라 개인의 건강정보를 데이터로 사용하려면 당사자의 동의 또는 법령의 근거(제17조)와 식별할 수 없는 상태로 처리하는 가명화가 필요해요(제23조). 건강정보를 수집한 목적 외로 사용한 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해져요(제71조제1호). 
보건의료 빅데이터의 활용도를 높이면서 비식별처리 판단 기준도 강화해달라는 요청이 커지면서 정부는 공공의료데이터의 ‘민간기업 활용촉진을 위한 지침’을 개정하고 있어요. 국회는 보건의료데이터 활용 촉진(의안 2117751)과 가명처리 심의 촉진을 통한 보건의료데이터 안전성 확보(의안 2124296) 등을 논의 중이에요.  
ⓒ2020년 보건의료정보화 실태조사 결과보고서 p.95(한국보건의료정보원)
주요국 의회에서 새롭게 제·개정된 법률을 안내드립니다!  
유럽연합 - 「테러사건의 디지털 정보 교류에 관한 규칙 (EU) 2018/2107과 위원회 결정 2005/671/JHA 개정 규칙 (EU) 2023/2131」 
국가별로 관할 당국에 테러 범죄와 관련한 사건이 회부되는 즉시 회원국에 해당 사실을 통보할 의무를 규정했어요.
독일 - 「여권, 신분증, 이민서류 체계의 현대화에 관한 법률」
여권, 신분증, 전자체류허가증 및 e-ID 카드 생성과 관련하여 필요한 규제를 마련하기 위해 여권법, 신분증법, 전자신분증법, 이민법을 정비했어요.
국회법률도서관 '주요국 입법동향'에서 더 많은 소식들을 보실 수 있어요.
오늘의 World&Law는 어떠셨나요?  
World&Law를 읽으면서 꼭 하고 싶었던 이야기, 이제는 말할 수 있다!
구독자님들의 소중한 의견을 저희에게도 들려주세요~
의견 말하러 가기!
지금 메일에 자주 접속하지 않거나, 메일이 깨지면 여기에서 구독 메일을 바꿔보세요!
국회도서관 법률정보실
law@nanet.go.kr
02-6788-4755
서울특별시 영등포구 의사당대로 1 국회도서관
수신거부