7월 3일 국회의원회관에서 ‘건강의료 분야 빅데이터 공유와 개인정보’를 주제로 한 포럼이 열려 다녀왔습니다.
건강의료 정보 활용을 위한 블록체인기술과 보건의료 데이터 비식별화의 문제점에 대해 논의하는 시간을 가졌어요.
블록체인과 개인건강기록, 그리고 데이터 활용은?
이날 첫 번째 발제로 이은솔 메디블록 대표가 ‘블록체인과 개인건강기록, 그리고 데이터의 활용’을 주제로 발표했다. 이은솔 대표는 “블록체인은 거래정보를 기록한 원장을 중앙 서버가 아닌 P2P 네트워크에 분산하여 공동으로 기록하고 관리하는 기술로서 독립된 주체들에 의해 거래가 기록되는 분산원장이자 공유장부”라고 설명했다.
지금까지 데이터들은 신뢰할 수 있는 중앙화된 서버에 거래가 기록됨으로써 권력이 집중되는 문제가 있었으나 블록체인은 데이터가 분산 기록됨으로써 권력도 분산된다. 이 대표는 “데이터 거래내역은 블록에 기록되고, 데이터가 담긴 블록이 체인으로 연결되어 쌓여가는 형태로 진행되기 때문에 중간에 한 블록만 빼내서 삭제할 수가 없다. 그래서 위·변조가 어렵다”고 소개했다.
이 대표는 “블록체인의 특징은 탈중앙성과 투명성, 무결성, 보안성, 신속성, 확장성 등이다. 탈중앙성이란 신뢰할 수 있는 제3자 없이 개인 간 자산거래가 가능하기 때문에 중개수수료가 절감될 뿐 아니라 하나의 주체가 아닌 동등한 여러 주체에 의해 시스템 운영이 가능하다는 것을 의미한다”고 설명했다.
또 모든 거래기록에 공개적 접근이 가능하고, 거래 양성화와 규제 비용 절감, 공개된 소스에 의해 구동되기 때문에 ‘투명성’을 확보할 수 있고, 모든 거래기록이 비가역적으로 작성되기 때문에 ‘무결성’도 갖게 된다는 것이다. 뿐만 아니라 정보를 다수가 소유하기 때문에 대량으로 해킹당할 위험이 없고, 거래의 승인과 기록이 자동으로 실행되기 때문에 신속성을 갖게 되고, 공개된 소스에 의해 쉽게 구축, 연결, 확장이 가능하기 때문에 확장성도 크다고 할 수 있다.
이 대표는 “이와 같은 블록체인 기술의 특징은 개인이 본인이나 가족의 일생 동안의 모든 건강 정보에 대해서 안전하게 보관하면서 관리하는 기능을 제공하는 도구인 개인건강기록인 PHR (Personal Health Record)의 조작을 막아서 신뢰성을 높이는데 활용될 수 있다”고 강조했다.
즉 종이차트에 기록되던 병원기록이 이제는 전자의무기록 (EMR)이 되고, 모든 의료기관의 EMR을 망으로 통합하여 공유하고 활용하는 EHR (전자건강기록) 의료정보 시스템이 되었다. 더 나아가 각종 IoT (사물인터넷)기기 및 모바일 앱을 통해 구축된 PHR을 상위 의료기관이나 보험회사 등에 제공하려면 편집이나 조작을 막아서 신뢰성을 부여해야 하는데, 그 역할을 블록체인이 할 수 있다는 설명이다.
하지만 문제는 중앙집권화된 의료정보를 활용하는 것은 현행 의료법과 개인정보보호법 등 관련 법률에 저촉될 위험이 클 뿐 아니라 민감한 개인정보를 제공하는 것에 대한 국민 정서적 거부감이 크다는 것이다. 이런 문제를 해결하기 위해 이 대표는 환자에게 본인의 의료정보를 손쉽게 다룰 수 있는 플랫폼을 제공하고, 블록체인 기술을 통해 개인이 제어하는 분산화된 정보교류 생태계에서도 보안성과 신뢰도를 부여하는 맞춤형 의료정보 블록체인 시스템을 소개했다.
보건의료 데이터 비식별화 문제점은?
두 번째 발제는 신수용 성균관대 교수가 ‘보건의료 데이터 비식별화 문제점’을 주제로 발표했다. 신 교수는 “개인정보보호법상의 개인정보는 개인식별정보를 의미하는데, 개인정보 중에서 개인식별정보가 아닌 정보들이 아주 많다. 국내법상 개인정보 정의의 모호성이 문제”라고 지적했다.
즉 개인정보보호법상 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다’는 정의에서 ‘쉽게’라는 의미가 모호하단 얘기다. 특히 ‘개인정보 비식별 조치 가이드라인’에서는 ‘쉽게’가 결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고, 또 다른 정보와의 결합 가능성이 높아야 함을 의미한다고 설명하고 있지만, 여전히 모호함이 남는다.
그뿐만 아니라 ‘민감정보’에 대한 정의에도 문제가 있다. 신 교수는 “건강정보와 유전정보는 민감정보로, 이를 처리하기 위해서는 민감정보 활용 동의서를 별도로 획득해야 한다”며 그런데 “키와 몸무게는 건강정보지만, 개인식별성을 갖고 있지 않기 때문에 민감정보로 보기 어렵다는 모순이 생기게 된다”고 설명했다.
그렇다면 유전정보는 어떨까. DNA서열로는 개인인증은 가능하지만 개인식별은 가능하지 않기 때문에 민감정보로 보기 어렵다는 것이다. 대표적 민감정보인 패스워드는 개인인증은 가능하지만 개인식별은 불가능하다.
또 다른 문제는 ‘재식별화’에 대한 법적 정의가 부재하다는 것이다. 신 교수는 “보건의료 연구인 경우 비식별 데이터를 이용하다가 해당 데이터를 재식별화하는 경우가 발생하는데, 추후에 후속 정보 획득을 위해 동의서를 받아야 할 때는 난감하기 때문에 합법적인 재식별 절차가 필요하다”고 강조했다.
이런 문제점들의 해결책으로 신 교수는 미국 HIPAA (Health Insurance Portability and Accountability Act, 미국 건강보험양도 및 책임에 관한 법)과 같은 보건의료정보 보호 (활용) 특별법 제정을 제안했다. 신 교수는 “생명윤리법에서는 개인정보와 개인식별정보를 분리해서 정의하고 있고, 앞에서 말한 많은 문제점들이 어느 정도 해결되고 있으므로 생명윤리법을 적극적으로 활용하는 것이 현실적인 방안이 될 수 있다”고 주장했다.
따라서 “개인정보보호법이 여러 이슈로 인해 개정이 쉽지 않기 때문에 그 대신에 특별법인 생명윤리법 개정을 통해 다른 산업군의 데이터와 다른 특성을 가지는 보건의료 데이터만을 취급하는 생명윤리법 기반의 비식별화 가이드라인을 제정하는 것이 현실적인 대안이 될 수 있을 것”이라고 덧붙였다.
의료정보 활용 해법, ‘의료정보보호법’ 특별법 제정
주제발표 이후 유명희 과총 바이오경제포럼 위원장을 좌장으로 권헌영 고려대 정보보호대학원 교수, 김주한 서울대 의대 교수, 유소영 서울아산병원 박사, 최인영 가톨릭대 의대 교수, 한현욱 차의과대학 교수, 노경원 과기정통부 소프트웨어정책관 등이 패널로 참석한 가운데 토론회가 진행됐다.
먼저 김주한 교수는 “의료데이터 정보는 원본과 복제본이 완전히 동일하고 한번 정보가 거래되면 통제할 수 없기 때문에 통제권에 대한 논의가 있어야 한다. 최종 귀속 주체인 개인이 자신에 대한 정보가 어떻게 유통되고 활용되고 있는지 정확히 파악할 수 없기 때문에 신뢰할 수 있는 선량한 관리자로 대리인제도를 둬서 그들이 개인을 위해 정보의 흐름을 파악한다면 불안감을 줄일 수 있을 것”이라고 말했다.
또 유소영 박사는 “현재 우리나라 개인정보보호법에서는 개인정보 활용을 위해 동의를 받는 것을 원칙으로 하되 동의면제를 받을 수 있는 조항이 있는데 그것이 통계 목적과 학술연구 목적일 경우다. 하지만 개념이 명확하지 못해서 혼란을 야기하고 있다. 유럽 개인정보보호규정 (EU GDPR) 89조는 안전한 처리를 전제로 공익유지, 과학, 역사, 통계 등 폭넓게 해석함으로써 개인정보를 동의 없이 기술개발과 시연, 상품화까지 가능하도록 하고 있다”고 소개했다.
한현욱 교수는 “우리나라는 ‘닥터 쇼핑’이 심하기 때문에 개인의 의료정보가 여러 병원에 분산되어 있는 경우가 많아서 그것을 한 곳으로 모아 공유하기가 어렵고, 또 공유된 데이터를 활용하기가 어렵다. 블록체인 기술을 의료분야에 적용해 의료정보를 활용하기 위해서는 병원 중심의 중앙집중형 정보인프라 환경부터 개선해야 한다”고 주장했다.
최인영 교수는 “우리나라 의료기관의 전자의무기록 (EMR) 보급률은 세계 최고 수준을 자랑하고 있다. 그러나 병원 내 공유는 가능하지만, 병원마다 각기 다른 EMR을 만들어 운영하고 있어 보건의료 쪽에서 이를 이용하려면 표준화 작업이 필요하다. 그런데 표준화 작업에 많은 시간이 소요되는 게 문제”라고 지적했다.
권헌영 교수는 “앞서 지적된 많은 문제점과 그 해결을 위해서 수년 동안 개인정보보호법의 완화를 요구해왔지만, 여러 이유로 쉽게 받아들여 지지 않고 있기 때문에 차선책으로 현행 생명윤리법을 확장하는 정도로 ‘의료정보보호법’을 만들어 연구목적 등에 의료데이터를 활용할 수 있는 길을 여는 것이 시급하다”고 제안했다.
끝으로 노경원 소프트웨어정책관은 “법 과학에서 중요한 것이 정의다. 정의가 명확하지 않으면 그다음으로 나갈 수가 없다. 정부도 개인정보와 개인식별정보, 민감정보 등 각종 용어의 법적 정의를 명확히 해서 의료분야 빅데이터 활용과 블록체인 활성화에 걸림돌을 제거하도록 노력하겠다”고 밝혔다.
출처: 한국과총