의료법·생안법과 충돌, 과학적 연구 불분명, 과도한 데이터 처리 등
대한의료인공지능학회서 정책가·의사·변호사 한 목소리
정보·용어 표준화, 전용 담당 기관 마련도 필요

(사진=셔터스톡)
(사진=셔터스톡)

의료AI 산업을 활성화할 열쇠로 큰 기대를 받으며 금년 초 통과된 데이터 3법에 아직 개선점이 많은 것으로 보인다. 데이터 3법 중 하나인 개인정보보호법(이하 개보법) 개정으로 의료계에서도 가명정보 활용이 가능해졌지만 현장 적용을 위해서는 추가로 명시해야 할 부분이 있다는 것이 전문가들의 주장이다.

먼저 의료계 개인 데이터 활용에 관여하는 기존 법인 의료법과 생명윤리안전법(이하 생안법)에 충돌 요소가 있다는 점이 문제로 제기됐다. 의료계에서의 가명정보 활용 주요 이유인 ‘과학적 연구’에 대한 법적 정의와 범위가 명백하지 않아 법 위반 소지도 있다. 주 활용 데이터인 의료영상정보에 대해서는 종류를 가리지 않고 강한 제재를 가해 의료행위에 지장을 줄 가능성을 염려하는 상황이다.

대한의료인공지능학회서 등장한 개인정보보호법 핵심 개선점
대한의료인공지능학회서 언급된 개인정보보호법 핵심 개선점

법무법인 율촌 정상태 대표변호사는 24일 대한의료인공지능학회 학술대회에서 “가명처리한 의료기록에는 의료법이 적용되지 않는다는 명시적 입법이 필요하다”고 주장했다. 지난 9월 25일 공개된 ‘보건의료 데이터 활용 가이드라인’에서는 개보법을 적용하는 가명정보에는 의료법을 적용하지 않는다고 기재돼있는데, 법으로서 직접적인 영향력을 발휘하는 개보법에도 해당 내용을 분명히 언급해야 한다는 것이다.

일반 개인정보와 다른 가명정보 대상 생명윤리심의위원회(IRB) 심의 방법도 명시적 입법이 필요하다는 의견이다. 앞서 언급한 의료 데이터 가이드라인에서는 의료기관에서 진료 목적으로 수집한 데이터를 개보법 상 가명처리로 연구에 이용하는 경우 IRB 심의와 동의를 면제할 수 있다고 언급했다. 해당 내용이 개보법에 정식 입법화되지 않을 경우 생안법과 충돌할 가능성이 있다.

박정환 전 보건복지부 의료정보정책과 데이터AI팀 사무관도 “가명정보를 활용하는 연구는 생안법에 따른 동의 관련 사항의 IRB 심의는 면제받는 것이 맞다”고 강조했다. 의료 데이터 가이드라인에서는 “개정 개보법의 가명처리는 생명윤리법의 익명화에 포함되는 것으로 해석된다”고 판단한 바 있다.

동시에 박 전 사무관은 “가명정보를 사용한다고 해서 IRB 심의를 통째로 면제받는다는 의미는 아니다. 동의 부분만 면제받을 수 있으며 연구 취지, 방법, 윤리성 심의는 그대로 진행한다”고 설명했다.

서준범 대한의료인공지능학회장도 현행법과 개정 개보법의 충돌을 주요 문제점으로 꼽았다. 서 회장은 “데이터 3법 통과가 의료데이터 활용을 위한 진일보인 것은 분명하다. 하지만 의료법, 생안법과 같은 현행법과의 충돌 문제를 해결해야 한다. 각 법마다 용어와 규정이 달라 혼선을 빚는데 법리적 충돌을 막기 위해서는 통일할 필요가 있다”고 강조했다.
 

◇불분명한 ‘과학적 연구’ 정의와 사례...처벌은 5년 징역

의료계에서 가명 정보를 사용하는 주요 목적인 ‘과학적 연구’에 대한 정의가 불분명해 사용 기관 혹은 기업이 의도치 않은 위법을 행할 수 있다는 문제도 있다. 개정 개보법과 의료 데이터 가이드라인 어디에도 과학적 연구를 충분히 설명하는 정의와 예시가 없다는 것이다.

박정환 전 복지부 사무관은 “가이드라인에서 과학적 연구에 대한 법적 정의와 예시를 언급했지만 충분치 않다고 본다. 앞으로 과학적 연구 범위에 대해 법적으로 추가적 논의가 예상된다. 가이드라인에서 제시한 예시 연구들의 범위에서 벗어나는 연구를 수행할 경우에는 적법성에 대한 심도있는 검토가 필요할 것”이라고 말했다.

정상태 변호사도 “가이드라인에 따르면 과학적 연구는 매우 포괄적으로 정의, 예시돼 있다”고 꼬집었다.

9월 발표된 보건의료 데이터 활용 가이드라인 속 과학적 연구 정의와 예시
9월 발표된 보건의료 데이터 활용 가이드라인 속 과학적 연구 정의와 예시

반면 과학적 연구 정의에서 벗어나는 연구에 가명정보를 활용할 경우 강력한 처벌을 받는다. 개보법 제71조 벌칙에 따르면 과학적 연구 규정을 위반해 가명정보를 이용하는 경우 5년 이하 징역 또는 5000만원 이하 벌금형에 처한다.

처벌 대상 또한 데이터 1차 가공자인지 가공 후 데이터를 활용하는 연구자인지 명확하지 않다. 의료 데이터 가이드라인에서는 과학적 연구 판단 주체가 누구인지에 대한 질문에 “가명정보를 처리할 자가 자신의 처리 목적이 과학적 연구인지 여부에 대한 입증 책임을 지되, 원 개인정보처리자가 가명정보 활용 여부를 최종 결정해야 한다”고 언급했다. 결국 과학적 연구 여부 판단에 정보이용자와 원정보처리자가 함께 책임을 지닌다는 것으로 해석되는데, 과학적 연구 판단이 잘못됐을 시 책임은 분명히 알 수 없다.

보건의료 데이터 활용 가이드라인 속 가명정보 제3자 제공과 활용 과정
보건의료 데이터 활용 가이드라인 속 가명정보 제3자 제공과 활용 과정

개인정보보호위윈회가 이달 발표한 개정 개보법 해설서는 관점이 또 다르다. 이 해설서에서는 “가명정보를 합법적인 목적으로 처리하는지와 가명정보가 재식별되지 않는지에 대한 책임은 기본적으로 (처리한 가명정보를 전달받는) 제3자에게 있다”고 언급했다.
 

◇의료영상 표면 정보 삭제, 모든 데이터에 사용 불필요

의료계 AI 연구개발에 가장 많이 쓰이며 주요 가명정보 처리 대상인 의료영상데이터에 대한 보안 처리가 과도하다는 지적도 나왔다. 신원 확인으로 이어지기 어려운 장기를 촬영한 영상정보를 가명정보로 처리하기 위해 일부 정보를 삭제하는 조치가 의학적 판단을 흐를 수 있다는 의미다.

서준범 학회장은 “신체 표면 부분을 식별 불가능하게 뭉개는 작업은 모든 의료 영상에 반드시 필요하다고 볼 수 없다. 얼굴과 같이 식별가능성이 큰 부위에 대해서만 진행하면 될 것으로 판단된다”고 주장했다.

그는 “문제는 이것이 진단, 의학적 판단에 문제가 될 가능성이 있다는 것이다. 예를 들어 방사선 치료 계획을 세울 때 피하지방 두께와 같은 정보가 필요한데 피부를 뭉개면 정확도가 떨어질 것”이라고 설명했다.

개정 개보법과 의료 데이터 가이드라인에 따르면 영상단층촬영자료에는 모두 신체 표면 가장자리(surface boundary)를 삭제하는 소프트웨어를 적용해 가명정보로 사용해야 한다.

반면 박정환 전 복지부 사무관은 과도한 조치라도 필요하다는 입장이다. 그는 “일반적인 체내 영상은 그 자체로 개인 식별이 어려우나 신체 내외부를 함께 촬영한 단층촬영, 3차원 이미지의 경우 3차원 재건 기술을 활용해 체외 실루엣을 복구할 수 있다. 이 과정에서 얼굴 사진이나 신체 모양 등이 특별한 추가정보 없이도 노출될 가능성이 있다”며 “이미 시중에 단층촬영영상 비식별화 솔루션이 다수 판매 중”이라고 말했다.

개보법과 관련 가이드라인에 명시된 바 없는 필요사항에 대해 박 사무관은 표준화 강화와 데이터 심의위원회 운영규정 별도 마련을 제안했다.

박 사무관은 “표준적인 익명정보 생산, 유통, 활용 체계가 필요하다. 보고서 표준화, 지표 표준화 같은 익명정보 해석이 갖춰야 할 표준을 의미한다. 용어, EHR, PHR 표준화도 포함한다”고 말했다.

의료 데이터 가이드라인에 명시된 데이터 심의위원회 설치와 운영에 대해서는 심의위원회 운영규정을 별도로 만들거나 제대로 된 위탁체계를 구축할 것을 강력히 권장했다. 이 위원회는 데이터 활용 관련 총체적인 관리운영기구가 될 것이므로 별도 규정을 만들고 담당부서를 지정해야 한다는 것이다. 데이터 활용이 잦지 않고 여건이 어려울 경우 외부 위탁업체와의 계약을 통해 심의위원회 운영을 위탁할 것을 추천했다.

그는 “이렇게 위탁할 경우 정보시스템 안전성 검토, 처리과정의 안전성 검토, 윤리적 측면 평가, 정보공개, 안건 및 회의록 작성과 공개, 옵아웃(Opt-out) 처리 등 일체 정보보호 활동을 일괄 위탁하는 것을 권장한다. 또한 정보시스템 운영, 데이터 관리와 활용, 분석 등 활용 측면의 활동을 함께 위탁하지 않도록 주의해야 한다”고 말했다.

 

[관련기사] 데이터 3법 시행 2개월...'마이데이터' 확대하고 '가명ㆍ익명 정보'활용 활성화하자

[관련기사] 과기정통부, AI 데이터 표준안 제작...국내 단체 표준 등록 추진

키워드 관련기사
  • 일반인들이 본 의료AI의 희망과 공포...'사악한 로봇과 프라이버시 보호'에 대해 우려
  • 변화무쌍 AI 의료기기, 허가 전후 맞춤 정책 필요
  • 식약처, '복제약 품목' 등 바이오헬스 데이터 152종 공개...내년에는 포털 운영