내 질병 알려지면…‘비식별’ 의료정보 문제없나

프린트

Live 중기 ㅣ 경제일반 내 질병 알려지면…‘비식별’ 의료정보 문제없나 빅데이터 활용 의료서비스업 육성 vs 개인정보 유출 범죄악용 소지도

기사입력2016-09-13 18:04

김성화 기자 (rukawasss@junggi.co.kr) ㅣ다른기사보기

비식별이란 전제를 달았지만 의료정보를 공개·활용해 의료서비스업을 육성하겠다는 정부 방침에 대해 특정 기업들의 돈벌이 수단으로 개인정보를 공개한다는 비판이 나온다. 특히 개인정보가 유출돼 인권침해가 우려되고 범죄에 악용될 소지가 있다는 지적도 적지 않다.

정부는 개인정보보호의 큰 틀은 유지하면서 규제를 완화, 빅데이터 활용을 촉진해 의료서비스업을 육성한다는 계획을 지난 7월 발표했다. 앞서 6월엔 이를 위해 ‘개인정보 비식별 조치 가이드라인’도 내놨다. 이에 대해 ‘건강권실현을 위한 보건의료단체연합’은 보도자료를 통해 정부의 조치에 따르더라도 개인정보를 보호할 수 없으며, 민감한 의료정보를 영리목적으로 사용하도록 정부가 나서는 것은 옳지 않다는 입장을 밝혔다.

개인정보 예시

<자료=행정자치부>

정부의 가이드라인에 따르면 개인정보는 살아있는 개인에 관한 정보로, 특정 개인을 식별할 수 있는 정보다. 또 해당 정보만으로 특정 개인을 알아볼 수 없어도 다른 정보와 결합해 쉽게 알아볼 수 있는 정보를 포함한다. 사망자의 정보라 하더라도 유족과의 관계를 알 수 있는 정보는 유족의 개인정보에 해당한다. 키, 나이, 몸무게 등 객관적 정보와 함께 개인에 대한 제3자의 평가와 같은 주관적 정보도 개인정보에 포함한다. 의료정보는 일반적으로 개인의 질병치료·관리 및 예방을 위한 정보와 이에 기반해 연구·분석된 정보다. 주로 진단, 치료, 치료 후 관찰 등의 내용이 포함되며 전반적인 의료행위와 환자 건강상태 정보를 말한다.

보건복지부 보건의료정책과 홍화영 사무관은 13일 중기이코노미와의 통화에서 “의료정보는 건강검진이나 진료정보 뿐만 아니라 건강보험 등 보건의료 전반의 광범위한 정보를 포함한다”고 설명했다. 홍 사무관은 “이미 국민건강보험공단이나 건강보험심사평가원에서 많은 정보를 개방하고 있다”며 “정부의 정책은 이런 광범위한 빅데이터를 한곳에 모아 체계화하는 빅거(Bigger) 데이터 정책”이라고 말했다.

의료정보 빅데이터화…정밀의료 vs 영리목적

정부는 의료정보의 빅데이터 활용이 결국 국민들에게 혜택으로 돌아간다는 입장이다. 기획재정부 서비스경제과 강기룡 과장은 13일 중기이코노미와의 통화에서 “의료정보를 빅데이터화 하면 의료기관은 이를 활용해 환자에 대한 정보를 축적할 수 있고, 결국 환자에 대한 정밀의료로 이어질 것”이라며 “이를 통해 환자들은 질병발생 이전에 미리 진단·치료 받거나 지금보다 더 정확한 치료가 가능한 혜택을 누릴 것이며 의료서비스도 발전할 것”이라고 말했다.

비식별이란 전제를 달았지만 의료정보를 공개·활용해 의료서비스업을 육성하겠다는 정부 방침에 맞서 건강보험공단이나 심평원(사진)에서 이미 충분한 정보를 제공하고 있는 상황에서 굳이 정보를 더 공개할 필요가 없고, 개인정보 유출이 우려된다는 지적이 나온다. ©중기이코노미

반면 의료정보 빅데이터 활용은 특정 기업들의 돈벌이를 위해 정부가 의료정보를 공개하는 것에 불과하다는 주장이 맞선다. 보건의료단체연합의 변혜진 부장은 “현재 건강보험공단이나 심평원에서 이미 충분한 정보를 제공하고 있는 상황에서 굳이 정보를 더 공개할 필요가 없다”며 “의료정보 활용은 결국 제약·보험·정보통신사들의 수익을 확대하는 데 이용될 것”이라고 13일 중기이코노미에 밝혔다. 이에대해서 기재부 강 과장은 “업체들이 도움받는 부분도 당연히 있다”며 “업체들이 의료정보를 통해 더 나은 서비스를 제공하면 소비자도 혜택을 보는 것”이라고 반박했다. 강 과장은 “원칙적으로는 마케팅을 목적으로 사용할 수 없게 했으며, 비식별화된 정보를 통해 얻을 수 있는 영리성은 많지 않다”고 덧붙였다.

보건의료단체연합 변 부장은 “이런 정보들이 의료서비스에만 이용되는 것이 아니라 개인을 차별하는데도 이용될 것이며, 범죄나 사기 등에 악용돼 재정적 손실을 끼치고, 무분별하게 공개된 정보는 정보제공 당사자의 사회적 평판에도 영향을 끼친다”고 우려했다. 하지만 기재부 강 과장은 “프라이버시 침해 문제는 꾸준히 나오는 얘기”라며 “관련 법령을 정비하고, 플랫폼을 구축하는 과정에서 진료정보를 어디까지 허용할 지에 대해 차후 구체적인 가이드라인을 제시할 것”이라고 했다.

이와함께 변 부장은 정보주체자의 동의없이 정보를 제공하는 것은 불법이라고 강조했다. 변 부장은 “의료정보와 같이 민감한 정보는 개인정보보호법에 따라 개인에게 별도 동의를 얻거나 명시적 근거가 없으면 목적 외 사용이나 제3자 제공이 금지돼 있다”며 “현행법 위반 소지가 있다”고 주장했다. 진보넷의 오병일 정책활동가는 “비식별 정보라는 단어부터 어폐가 있다”고 지적했다. 그는 “개인을 식별할 수 없는 정보는 ‘익명화’ 정보며 개인정보에 해당하지 않는다. 정부가 비식별 정보라 한 것은 식별될 가능성을 염두에 둔 단어”라고 말했다.

이에 대해 보건복지부 보건산업정책과 장우성 주무관은 “법에 따라 논란의 소지가 있다면 당연히 정보를 제공할 수 없다”며 “정보주체자의 동의가 필요한 부분이 있다면 한명, 한명 개개인에게 동의를 구하는 과정을 거칠 것”이라고 중기이코노미에 밝혔다.

비식별 조치로 개인정보 보호 vs 현재 기술로도 재식별 가능

비식별 조치 방법

<자료=행정자치부>

개인정보보호에 가장 중요한 비식별조치 방법에는 ▲개인 식별이 가능한 데이터에 대해 직접적으로 식별할 수 없는 다른 값으로 대체하는 ‘가명처리’ ▲개인정보에 대해 통계값(전체 혹은 부분)을 적용해 특정 개인을 판단할 수 없도록 한 ‘총계처리’ ▲개인정보 식별이 가능한 특정 데이터 값을 삭제하는 ‘데이터 삭제’ ▲단일 식별 정보를 해당 그룹의 대표값으로 변환하거나 구간 값으로 변환한 ‘데이터 범주화’ ▲개인 식별 정보에 대해 전체 또는 부분적으로 대체값(공백, ‘*’ 등)으로 변환한 ‘데이터 마스킹’ 방법 등이 있다.

진보넷의 오병일 정책활동가는 “현재까지 개인정보 유출사건이 많았다. 여러 기관에서 유출된 정보를 매칭만 해도 어느 정도의 재식별이 가능하며, 보험회사 등의 업체들이 자신들의 DB를 활용한다면 현재 정부가 제시한 가이드라인만으로도 충분히 재식별이 가능하다”며 “개인정보보호법에 따라 정보의 결합을 통해서도 재식별이 불가능해야 하지만, 현재 정부 정책으로서는 불충분하다”고 밝혔다. 그는 이어 “해외에서도 비식별 정보를 통해 개개인을 식별한 자료가 많다. 가령 내용의 민감성으로 인해 익명으로 진행된 ‘킨제이보고서’의 경우 그 조사대상을 98%까지 식별 가능하다는 보고서가 있다”고 덧붙였다.

개인 식별이 가능하다는 주장에 대해 기재부의 강 과장은 “정보유출에 대한 우려는 늘 있지만 현재 추진하는 정책들은 이를 충분히 고려했다”고 일축했다. 그는 “비식별 조치 중 하나만 쓰는 것이 아니라 여러 개를 복합적으로 사용하기 때문에 보안성이 충분하다. 정보를 보관하고 관리할 때도 비식별화 조치를 취하도록 가이드라인을 만들고 있다”며 “의료정보라도 안전하게 관리된다”고 말했다. 또 “비식별된 정보를 재식별하는 순간 재식별한 사람은 법적책임을 지게 돼있다”며 “법을 완벽하게 만들어도 범죄행위는 일어날 수 있다. 범죄가 발생하는 것은 제도 완성도와는 또 다른 문제”라고 했다.