"정보가 곧 자원인 시대"라고 한다. 그 중에서도 의료정보는 연구개발 분야와 보건의료산업에서 무궁무진한 가치를 갖는다.
하지만 동시에 개인의 민감한 정보를 포함하고 있기 때문에 그 취득과 활용에 있어 정보주체의 권리를 보호할 수 있는 체제가 필요하다.
우리나라는 개인정보보호법과 의료법을 통해 의료정보 수집, 기록 및 보호와 관련한 비교적 두터운 보호체계를 마련하고 있지만, 그 제공과 활용에 대해서는 법적 기반이 부족하다.
즉, 의료정보에 대한 높은 수요와 다양한 활용 가능성에 충분히 대응하지 못하고 있는 측면이 있다.
반면 일본은 의료정보 주체의 권리를 보호하는 한편 의료정보를 빅데이터화 함으로써 신약 및 신의료기기 개발 등 신산업 창출에 활발하게 활용할 수 있는 법적 기반을 마련했다.
지난 5월 시행된 ‘의료분야 연구개발을 돕기 위한 익명가공 의료정보에 관한 법률’(이하 ‘차세대 의료기반법’)이 그것이다.
정보주체의 권익보호와 정보의 활용이라는 대치되는 가치 사이에서 균형을 찾고자 하는 시도로 보이는데, 이 글을 통해 ‘차세대 의료기반법’의 주요내용을 소개하고자 한다.
‘
차세대 의료기반법’의 핵심은 의료정보를 민감정보로 분류해 환자 본인 동의 없이는 활용을 제한했던 기존 법제(Opt-in 방식)와는 달리 법정 기준에 따라 익명가공을 거친 의료정보에 대해서는 환자가 명시적으로 거부 의사를 밝히지 않는 이상 별도 동의절차 없이 그 활용을 허용한다는 것이다(Opt-out).
익명가공의 기준으로 식별 가능성이 있는 정보가 모두 제거되고, 이러한 가공처리가 복원 불가능해야 할 것을 제시하고 있다.
반면 우리나라는 익명가공된 정보 취급과 관련해 뚜렷한 법제가 마련돼 있지 않다. 그리고 해당 정보만으로는 식별 가능성이 없다고 해도 다른 정보와 쉽게 결합해 정보주체를 식별할 수 있는 정보까지 개인정보에 포함된다고 해석하고 있다.
때문에 익명가공된 정보라고 하더라도 이를 활용하는 데 제한과 위험이 따른다.
나아가 ‘차세대 의료기반법’은 국가가 법정 기준에 맞춰 정보를 익명가공할 수 있는 능력을 갖추고 있다고 판단되는 ‘익명가공 의료저보작성 인정사업자’를 지정하도록 했다.
의료정보의 익명처리 업무를 개별 의료정보 수집 기관이 아니라 법정 기준을 숙지하고 해당 업무를 수행할 능력을 갖췄다고 판단한 자에게 맡기겠다는 것이다.
정리하면 의료기관에 의해 수집된 후 국가가 인정한 전문가에 의해 익명가공 처리돼 연구자나 제약회사 등에게 제공되는 구조다.
특히 ‘익명가공 의료정보 작성 인정사업자’가 위 과정 중에 취득한 개인정보를 유출하거나 오남용하는 것을 방지하기 위해 엄격한 의무를 부과하고 있다.
일본은 의료정보 이외 정보 역시 익명화 조치를 거쳐 ‘특정 가능성 저감 데이터’로 분류된 개인정보에 대해서는 본인 동의 없이 거래 및 활용이 가능토록 법을 개정했다.
반면 올해 7월 EU의 새로운 개인정보보호법인 GDPR에 버금가는 개인정보보호 정책을 마련하고 있다는 적정 평가를 받아 EU 국민들의 정보를 일본으로 이전할 수 있게 됐다.
참고로 우리나라는 아직 위 적정성 평가를 통과하기 위해 준비 중이다. 차세대 의료기반법’이 앞으로 어떻게 자리를 잡아가는지, 특히 ‘익명가공 의료정보작성 인정사업자’가 개인정보를 유출시키거나 오용할 수 있는 위험을 어떻게 통제할 것인지 지켜볼 필요가 있다.
정보주체 권리를 보호하는 동시에 정보의 가치를 활용할 수 있는 방안으로 참고할 만하다고 생각된다.