환자 의료정보의 공유? 정보유출과 무단 프로파일링의 위험성

법무법인 세승

정혜승 변호사

정부는 2014년 12월, 불필요한 규제를 개혁하여 경제활성화를 이끈다는 취지의 이른바 ‘규제기요틴’ 정책을 내놓았다. 명칭도 무시무시한 이 정책 중에는 보건의료산업에 관한 내용이 적지 않으며, 그 중에는 의료기관 진료기록 관리, 보관의 편의성 제고에 관한 것도 들어있다. 이 정책 내용의 대강은 의료기관 내에서만 보관하던 환자의 의료정보를 인터넷데이터센터 같은 곳에 보관할 수 있도록 하고, 진료정보의 공유를 허용하자는 것이다.

그러나 환자의 의료정보는 개인의 건강에 관한 정보로서 현행 개인정보보호법도 민감 정보로 분류, 원칙적으로 처리가 불가능하도록 하고 있고 예외적으로 정보주체에 별도의 동의를 받거나 법령에서 허용하는 경우에만 가능하도록 하고 있다. 또한, 개인정보보호법의 제정 전에도 헌법재판소는 “종교적 신조, 육체적·정신적 결함, 성생활에 대한 정보와 같이 인간의 존엄성이나 인격의 내적 핵심, 내밀한 사적 영역에 근접하는 민감한 개인정보들에 대하여 그 제한의 허용성은 엄격히 검증되어야 할 것이다”라고 결정한바 있고, 정부 역시 2002년에 안전한 전자정부 구현을 위한 개인정보 보호방안을 마련하며 각 개인정보의 유형을 보안등급에 따라 구분한바 있는데 그 중 ‘의료’정보는 국가안보와 관련된 비밀정보와 동일한 수준인 1급으로 분류하였다. 물론, 의료정보의 공유는 환자의 치료를 더욱 용이하게 하고 의학의 발전을 이끌어 낼 수 있다. 그러나 의료정보는 개인의 매우 내밀한 사생활과 관련되기 때문에 위와 같이 의료정보의 처리 및 공유를 엄격하게 규제할 수밖에 없는 것이다.

의료정보가 공유되는 경우 위험성은 크게 두 가지가 있다. 한 가지는 정보 유출의 우려이며, 이 부분은 이미 많은 전문가들이 지적하고 있다. 다른 한 가지는 의료정보를 통한 빅데이터 프로파일링이 행하여지고, 이러한 프로파일링 결과가 상업적으로 악용되는 것이다. 프로파일링에 대한 정의가 무엇인지에 대해서 아직 확립된 견해는 없으나, 유럽연합에서 주로 논의되는 내용에 따르면 ‘여러 데이터들을 종합하여 어떠한 처리방법(알고리즘)을 통하여 정보를 분석하고, 그에 따라 개인의 건강, 경제적 상태, 위치, 개인적 선호, 개인의 행동 등 특정한 개인적 성향을 평가하는 자동처리방식’을 의미한다고 할 수 있다. 즉, 사소하게는 신용카드사용에 따른 음식취향을 분석하는 것도 프로파일링에 해당할 수 있으며, 환자들의 진료정보를 종합하여 어떠한 보험상품을 개발하여야 하는지 판단하는 것도 프로파일링을 통한 의사결정에 해당할 수 있다.

물론, 프로파일링을 하고자 하는 자가 각 개인의 정보를 취득할 때 정보제공 및 처리의 동의를 받았다면 큰 문제가 없을 것이다. 환자의 진료정보를 공유한다 하더라도 유출을 방지하고 철저한 기준에 따라 정보를 사용, 처리할 수도 있을 것이다. 그러나 전 국민의 진료기록은 너무나도 방대한 자료이고, 이 자료들이 공유되는 경우 각 개인은 그 자료가 어떻게 사용될지 세세히 알 수 없을 뿐만 아니라, 그 결과 국민들이 의도하지 않은 방향으로 이러한 자료들이 상업적으로 이용될 가능성 역시 배제할 수 없다.

영국정부도 최근 국민 진료 기록을 전산화 하는 프로젝트를 추진하려 하고 있으나, 시민단체에서 크게 반발하고 있으며 유럽연합 역시 이에 대한 규제를 경고하고 있다. 편의성도 중요하고 신속하게 문제를 해결하는 것도 필요하다. 그러나 신속함과 편리함을 추구함에 앞서, 데이터의 일부로만 처리될 수 없는 각 개인의 인격도 존재한다는 점을 고려하여 정책을 결정하여야 할 것이다.

(출처 : 의료정보)