헬스케어 서비스 제공을 위한 환자 의료데이터 공유 위반 사례 (영국)
Google DeepMind patient-data sharing deal with Royal Free NHS Trust deal was illegal, rules ICO
Google社의 인공지능 개발을 담당하고 있는 자회사인 DeepMind社가 최근 헬스케어 서비스 제공을 위해 영국 런던의 국립보건서비스와 환자들의 데이터를 공유한 것은 불법이라는 판결이 내려져 이번 사례를 조사해보고자 한다.
정보감독위원회는 상기 거래를 두고 런던의 Royal Free 국립보건서비스의 환자들 약 160만명에 대한 의료데이터가 환자의 인지나 동의없이 Google의 딥마인드 측으로 전달되어 데이터보호법규를 준수하지 않았음을 확인하였다고 밝힌 것으로 보인다.
이들 업체들은 이전에 Streams 어플리케이션이라는 서비스를 통해 환자들에게 직접적인 서비스를 제공하는 스키마를 활용해 암묵적 동의를 받은 것이라는 변론을 했던 것으로 나타났는데, 이 Streams 라는 어플은 사용자의 상태가 악화되면 스마트폰을 통해 건강상태 변화를 의사에게 경고하는 기능을 갖추고 있으며 신속한 진단과 적극적 치료를 제공하기 위해 의료데이터를 분석하는 용도로 시스템을 사용하고 있는 것으로 나타났다고 한다.
하지만 데이터 공유와 관련된 제휴는 데이터 보호위원회 측에서 직접치료의 영역을 넘어서는 것이라는 주장이 제기된 뒤, 환자의 의료데이터가 제3자에게 전달하기 전 어떠한 암묵적 동의로 갈음될 수 없다는 결론이 이번 결정으로 정해진 것이라 볼 수 있다 하겠다.
일반 시민들로부터 최소 약 1건의 불만사항을 접수한 뒤 지난 5월부터 제휴관련 합법성 여부 조사에 착수한 정보감독위원회는 데이터공유와 관련된 계약에 있어 개인정보에 해당되는 성명, 주소, 우편번호, 보건번호, 생년월일, 전화번호, 이메일주소 등은 Google로 전송되는 동안 암호화되어야 한다고 명시되어있으나 보건서비스지역 이외의 지역에서 암호화되지 않은 데이터의 공유가 금지된다는 명백한 조항이 없다는 불만을 계기로 조사에 착수한 것으로 나타났다.
이번 조사를 담당하고 있는 정보감독위원회의 Elizabeth Denham씨는 Royal Free 국립보건서비스가 개인정보와 관련된 영향력 평가를 수행하였지만, 그 평가 과정이 이미 환자의 데이터를 딥마인드 측에 공유한 뒤의 과정을 평가한 것이기에 정확한 정보영향력 평가가 이루어지지 않다고 본 것이라고 밝혔다.
위와 같은 결정에 대해 딥마인드 측은 지속적인 환자들의 건강관리 서비스 제공이 가능하도록 정보감독위원회 측의 배려를 요청하였고, 자신들이 데이터의 복잡성과 환자들의 데이터 수집 관련 절차를 온전히 지키지 못하였음을 인정하였다고 밝힌 상황이라고 한다.
이처럼 헬스케어 서비스 제공을 위한 환자 데이터 공유에 있어 위반사례가 발견됨에 따라 향후 영국 내 헬스케어 솔루션 제공업체들이 데이터 보호규정을 준수하기 위한 보다 강화된 데이터 보호 절차가 수반되어야 할 것으로 보인다.
관련연구자: Elizabeth Denham
관련기관: Information Commissioner's Office
본문키워드(한글): 딥마인드, 환자 데이터 공유, 데이터 보호법안
본문키워드(영문): DeepMind, patient-data sharing, Data Protection Act
국가: 영국
원문출판일: 2017-07-04