의료진 해석, 데이터 관리·보호 수준, 데이터 사이언스 전문성 통해 가치 발현
데이터 분쟁·책임소재 규명 위해 '의료데이터 분쟁조정제도' 도입 검토 필요
의료진 전문성 더한 2차 정보일 경우 개인정보 전송요구권 거부 근거 마련해야
의료 과정에서 발생하는 의료데이터에 대해 의료기관이 적절한 권한을 행사해야 한다는 주장이 나왔다. 의료데이터는 의료진의 진단 등 전문적 해석, 기관의 데이터 관리 및 보호수준, 데이터사이언스의 전문성 등이 종합될 때 가치가 발현되기 때문이다.
의료기관은 의료데이터의 2차적 사용과 제3자 제공 등 다양한 활용에 대비해 정보 주체와 각 처리 주체의 권리와 책무를 다루는 기관 차원의 데이터 거버넌스를 마련해야 한다는 지적도 제기됐다.
의료기관에서 의료데이터를 다른 기관에 제공, 분석, 활용 이후 발생하는 분쟁이나 책임소재 처리방안 등을 조치하는 '의료데이터 분쟁조정제도' 도입을 검토하고, 의료데이터 보유기관인 의료기관과 정보주체 보호를 위해 제공·공유한 데이터의 무단 이용·공개·판매, 부정 경쟁 또는 영업이익 피해 등 다양한 분쟁에 대응할 수 있는 권한도 주체에게 주어져야 한다는 판단이다.
유소영 대한의사협회 정보통신이사(서울아산병원 빅데이터연구센터 연구조교수)는 11월 13일 온라인으로 진행된 제39차 의협 종합학술대회 미래의학 세션에서 '의료정보의 확장과 데이터 거버넌스' 발제를 통해 의료데이터 활용에 대해 다각적으로 진단하고, 향후 예측되는 상황과 쟁점들을 짚었다.
보건의료데이터 활용 가이드라인으로 먼저 데이터심의위원회 운영에 대해 설명했다.
데이터심의위원회는 정보 주체의 동의 없이 가명정보 처리 목적의 적합성, 가명처리 적정성 검토, 가명정보 기관 내 활용, 기관 외 제공, 결합 신청, 가명처리 적정성 검토 등을 실시할 수 있는 독립위원회다.
위원 구성은 5∼15인이다. 해당 기관에 소속되지 않은 인원이 과반수를 차지해야 하며, 정보 주체 대변인(1인 이상), 의료 분야 데이터 활용 전문가(1인 이상), 정보보호 또는 법률 전문가(1인 이상) 등이 포함돼야 한다.
계약도 중요하다. 명확한 책임 관계를 가리기 위해서다.
원 개인정보처리자와 가명정보를 제공받은 자 간 계약 등을 통해 ▲가명정보의 재제공 금지 ▲가명정보 재식별 금지 ▲가명정보의 안전성 확보 조치 ▲가명정보의 처리기록 작성 및 보관 ▲가명 정보의 파기·재식별시 손해 배상 등에 대한 책임 관계 등을 명시해야 한다.
현실적인 한계와 해결 과제도 짚었다.
진료, 연구, 개발, 교육 등 원내 각 분야에 데이터 활용을 증진하면서도 정보주체를 보호하고 관련 법령을 준수하기 위해 기관 차원의 일관된 통합적 시스템이 마련돼야 한다. 관련 법령 및 가이드라인에서 허용 가능 부분과 기관 내 허용 가능 부분이 같지 않을 수 있다는 부분도 대안을 마련해야 한다.
의료데이터를 다루게 되면서 의료기관은 어떤 부담을 감당해야 할까.
데이터 보호·관리, 정보주체 권리 보장, 관련 위원회 심의 등에 대한 의료기관의 책임이 증가하게 된다. 제3자에게 데이터가 전달될 경우 책임과 권한의 주체도 넓어진다.
또 기관 업무 중 수집한 데이터의 소유권에 대한 문제도 발생할 수 있다.
유소영 이사는 "빅데이터 분야의 소유권은 개인데이터에 대한 소유권과 데이터를 이용해 개발한 제품에 대한 소유권으로 나눌 수 있다. 빅데이터 특성상 소유권 개념으로 윤리적·법적 문제를 해결하는 것은 불가능하다"라며 "빅데이터는 '인류를 향한 공동선'의 관점에서 누구나 사용 가능한 인프라를 구축해야 하며, 병행·보완 가능한 서비스나 기부를 통해 경제적 이익을 얻는 새로운 방법이 필요하다"고 설명했다.
의료데이터의 가치에 관한 논점에는 어떤게 있을까.
먼저 데이터의 가치에는 어떤 게 포함돼야 하는지의 문제다. 데이터 생산, 보유·관리, 전처리, 데이터 보호, 거버넌스 운영 등에 어떻게 무게를 실어야 할지 판단해야 한다.
또 경제적 가치만 포함되는지에 대한 문제도 있다. 의료기관 입장에서는 경제적 가치보다 사회적 가치를 더 중요하게 평가할 수 있기 때문이다.
데이터 가치를 판단할 시점에 대한 고민도 있다.
또 다른 쟁점으로는 개인정보 전송요구권도 있다.
정보주체가 제3자 또는 본인에게 데이터 전송을 요구할 경우, 의료인의 전문성이 더해져 생성된 2차 정보일 경우 해당 정보에 대한 지배관리권이 정보주체에게만 있느냐는 지적이다.
지배관리권이 의료인이나 의료기관에 있다면 의료데이터로서 적절한 가치를 부과하고, 전송요구권을 거부할 수 있는 근거도 마련해야 한다는 인식이다.