MEDI:GATE NEWS 정부·여당, 의료AI 활성화 속 디지털헬스케어법 추진…“해킹·재식별 위험부터 막아야”

기사입력시간 26.06.23 07:16최종 업데이트 26.06.23 07:16

22일 국회에서 ‘디지털 헬스케어 및 보건의료정보 활용 지원에 관한 법률안’ 공청회가 열렸다. [메디게이트뉴스 조운 기자] 현 정부가 여당과 손잡고 디지털헬스케어법안을 본격 추진하고 있는 가운데, 의료계가 데이터 전송 이후 책임소재와 AI 학습에 따른 재식별 위험, 의료기관 비용 부담, 민간기업의 상업적 활용 가능성 등을 문제로 제기했다. 정부는 법안을 자세히 보면 이전 국회에서 발의된 법안과 달리 상당수 우려가 해소돼 있고, 안전한 활용을 중심으로 설계됐다는 입장을 밝혔다. 하지만 의료계와 시민사회는 민감한 보건의료정보가 한 번 외부로 이전되면 회수와 통제가 어렵다며 우려를 쏟아냈다. 더불어민주당 서영석 의원이 대표발의한 ‘디지털 헬스케어 및 보건의료정보 활용 지원에 관한 법률안’ 공청회가 22일 국회의원회관 제2세미나실에서 열렸다. 이날 공청회에는 다양한 보건의료직역과 환자단체, 소비자단체, 산업계, 시민사회 관계자 등 11명의 패널이 참석해 법안에 대한 의견을 밝혔다. 의료계 “책임은 의료기관에, 통제권은 외부로?”…전송 이후 관리 공백 지적 이날 의료계 대표 참석자들은 보건의료데이터 활용 필요성 자체는 인정하면서도, 데이터 전송 이후 책임소재와 통제권, 산업적 활용에 따른 부작용을 우려했다. 보건의료정책연대 박시온 대변인은 “보건의료데이터는 의사만 또는 특정 직역만 생산하는 정보가 아니라 119구급대원, 행정요원, 간호사, 응급구조사, 의료기사, 의사 등 수많은 보건의료인이 함께 만들어내는 특수한 데이터”라며 “수많은 보건의료인의 손을 거쳐 만들어진 데이터의 주인은 누구인지, 의무와 권한은 누구에게 있는지, 활용할 때 비용은 누가 지불해야 하는지 등 다양한 의문이 제기된다”고 지적했다. 박 대변인은 “의료법상 진료기록과 영상정보를 안전하게 보존·관리할 의무는 의료인과 의료기관에 있지만, 데이터가 전송된 이후 보안·오남용을 통제할 권한은 충분하지 않다”며 “사고 발생 시 책임은 원자료 관리자나 의료기관에 남을 수 있는데, 통제권은 없는 구조가 문제”라고 말했다. 대한의사협회 김형갑 정보통신이사도 법안이 데이터 수집과 유통에 집중돼 있는 반면, AI 학습과 활용에 대한 규율은 부족하다고 지적했다. 김 이사는 “의료데이터는 한 번 AI 학습에 들어가면 다시 분리하거나 제거하기 어렵고, 가명정보라도 향후 재식별 가능성에 대한 우려가 있다”고 말했다. 김 이사는 프라이버시 보호 장치도 더 구체화돼야 한다고 했다. 그는 “환자 본인이 원해 의료정보 전송을 요청하는 것은 필요하지만, 현실에서는 제3자 업체가 사실상 데이터를 대량으로 가져가는 방식으로 작동할 수 있다”며 “내 데이터가 어디로 유통되는지 확인할 수 있는 체계와 옵트아웃 등 적극적 관리권이 필요하다”고 밝혔다. 나아가 간호기록지, 병력, 사정자료 등 내밀한 정보가 포함된 의료기록은 전송 범위에 대한 의료기관 또는 자료관리자의 확인·선별 권한이 필요하다고 봤다. 대한병원협회 양금술 제2정책위원장 역시 의료기관의 비용 부담과 책임소재 문제를 제기했다. 병원협회는 앞서 해당 법안이 환자 자기결정권 강화보다 데이터 개방과 산업 활성화 중심으로 설계돼 있다는 이유로 반대 의견을 낸 바 있다. 양 위원장은 “의료기관이 데이터를 생성·관리·추출·전송하는 과정에서 인력, 시설, 장비, 행정비용을 부담하는 만큼 이에 대한 보상체계가 필요하다”며 “개인정보 대량 유출, 상업적 이용, 분쟁 책임소재, 정책심의위원회 내 의료단체 참여 보장 등에 대한 우려도 해소되지 않았다”고 밝혔다. 그는 “데이터 활용으로 발생하는 경제적 가치가 의료기관과 환자에게 어떻게 돌아갈지가 의문”이라며 “핀란드처럼 데이터 제공기관에 대한 비용 보상체계를 마련할지, 한국처럼 민간의료기관 중심이고 EMR이 분절된 체계에서 동일한 수준의 데이터 연계가 가능한지, 환자가 정보 활용을 포괄적으로 거부할 수 있는 권리가 충분한지 등을 검토해야 한다”고 말했다. 노동·시민사회 “공공 활용보다 산업 활용에 치중”…개인정보 유출 우려 노동계와 시민사회는 법안이 보건의료정보의 공공적 활용보다 산업적 활용에 치우쳐 있다고 비판했다. 전국의료산업노동조합연맹 김옥란 정책국장은 “이번 법안은 디지털 헬스케어라는 포괄적 명칭과 달리 보건의료정보의 공공적 활용보다 산업적 활용에 치중돼 있다”며 관리전문기관을 통한 데이터 집중과 민간 사업자의 상업적 활용 가능성을 우려했다. 김 국장은 환자가 한 번 약관에 동의하면 진료기록, 처방내역 등을 기반으로 한 상업적 건강관리 사업이 포괄적으로 정당화될 수 있어 목적별·범위별 재동의와 사후 통제 장치가 필요하다고 봤다. 그는 “한 번 외부기관으로 이전된 데이터는 사실상 회수가 어렵다”며 “환자가 자신의 정보가 어디에 어떤 목적으로 제공되는지 알 수 있고 통제할 수 있어야 한다”고 강조했다. 참여연대 사회복지위원회 김진환 실행위원도 보건의료데이터 법체계 정비와 공적 인프라 구축 필요성에는 동의하면서도, 그 전제는 공공성 보장이어야 한다고 밝혔다. 김 실행위원은 “개인정보보호법의 목적은 개인의 자유와 권리 보호”라며 “이번 법안은 보호보다 활용을 앞세우는 방식으로 구성돼 있다”고 지적했다. 그는 “보건의료체계가 국민 건강을 위한 서비스 체계가 아니라 산업 데이터를 생산하는 장으로 전락해서는 안 된다”고 말했다. 특히 유전체 정보는 개인을 넘어 가족과 가계 전체에 영향을 미치는 정보이므로 일반적인 가명처리 예외로 다루기 어렵다고 지적했다. 김 실행위원은 “보건의료데이터를 별도 법으로 다루겠다면 개인정보보호법보다 완화된 보호가 아니라 더 두꺼운 보호 체계를 약속해야 한다”고 강조했다. 복지부 “법안 보면 우려 상당 부분 해소…표준화된 정보만 대상” 보건복지부 최경일 의료정보정책과장은 패널들이 제기한 개인정보 보호, 관리전문기관, 정보주체 권리, 산업적 활용 우려 등에 대해 “다양한 이해관계자가 있다는 점을 다시 느꼈다”면서도 “다만 안타까운 것은 이 안을 잘 읽어보면 지금 말씀하신 부분들이 거의 해소돼 있다”고 밝혔다. 최 과장은 “법안은 논쟁적인 부분들을 거의 담지 않았다. 논쟁에서 당장 결론이 나지 않을 내용들은 대부분 안 담았고, 현재 우리가 갈 수 있는 내용들로 법안을 구성했다”고 설명했다. 이어 “개인정보보호위원회와 이미 협의가 끝난 내용으로, 개인정보 보호 규정도 현행 규정에 부합한다”며 “보건의료정보를 가능한 안전하게 활용할 수 있도록 안전에 방점을 두고 법률 규정을 만들었다”고 말했다. 의료계가 우려한 전송 대상 정보 범위에 대해서도 최 과장은 “임상에서 환자를 보고 의료인이 판단하고 진단해 개인적으로 쓰는 정보들이 올라가는 것이 아니다”라고 선을 그었다. 그는 “건강정보 고속도로, 진료정보교류시스템, 심평원의 진료 청구 기록, 국민건강보험공단의 건강검진 기록처럼 규격화되고 표준화돼 올라가는 정보들을 이 법에서 다루고 있다”며 “우려하는 부분들은 이 법에서 다루고 있는 정보가 아니다”라고 강조했다. 해킹 우려에 “어디가 안전한가”…현장서 “위험한 인식” 질타 최 과장은 시민사회가 제기한 정보 유출과 해킹 우려에 대해 “해킹에 대해서 어디가 안전한가라고 역으로 말씀드릴 수 있을 것 같다”며 “물론 해킹을 막아야 하는 것은 당연하지만, 해킹 문제는 이 정보뿐만 아니라 세상의 모든 정보가 다 마찬가지”라고 말했다. 이어 “현재 보건의료정보 시스템을 지원하는 건강정보 고속도로는 해킹이 한 번도 일어나지 않았고, 해킹이 일어날 가능성이 굉장히 낮다”며 “100%라고 말할 수는 없지만 95% 이상 정도로 본다”고 밝혔다. 이에 현장 질의에서는 정부의 인식이 안이하다는 비판이 제기됐다. 인도주의실천의사협의회 전진한 정책국장은 “한 곳에 집적되고 집중될수록 해킹 가능성이 늘어난다는 것은 상식”이라며 “이 법안은 단순히 데이터를 집적하는 것이 아니라 비식별 자료를 기업들에 제공하는 구조를 담고 있다”고 지적했다. 전 정책국장은 “비식별 정보가 재식별돼도 문제지만, 재식별이나 해킹이 일어나지 않더라도 비식별 정보 자체가 더 많은 기업에 이전될수록 유출과 오남용 위험은 커진다”고 말했다. 그는 “알츠하이머나 우울증 같은 정신질환 진단기록, 임신·분만, HIV 감염, 성폭력 피해 정보 등도 의무기록상 데이터베이스화되지 않느냐”며 “이런 정보가 기업으로 넘어갈 수 있는 것 아닌지에 대해 문제가 없다고 말하는 것은 큰 문제”라고 질타했다. 의료민영화 저지와 무상의료 실현을 위한 운동본부 김재헌 사무국장도 “전문가로 나와서 ‘그러지 않도록 하겠다’, ‘막겠다’고 해도 부족한데 ‘안전하지 않은 곳이 어디 있느냐’고 말하는 것은 위험한 발언”이라고 비판했다. 이어 “진료기록과 의료정보 같은 민감데이터는 쌓아서 연계·결합하고 산업적으로 활용하게 하지 말자는 것”이라며 “디지털헬스케어법은 정확히 그것을 가능하게 하는 법이기 때문에 위험하다”고 주장했다. 김 사무국장은 “정신질환, 유전질환 외에도 병원 기록과 검진 기록이 유출돼도 상관없느냐. 산업계가 가져가도 상관없느냐. 보이스피싱이나 범죄에 활용돼도 상관없느냐”며 “절대 그렇지 않을 것”이라고 말했다. 그는 “이 법안은 가명처리 외에는 사실상 정보를 확실하게 보호할 장치가 없다”며 “보호는 사전에 하는 것이고, 처벌은 이미 일이 벌어진 다음에 하는 것이다. 3년 이하 징역이나 3000만원 이하 벌금이 수십억, 수백억원을 버는 기업에 얼마나 무섭겠느냐”고 지적했다.

제보 공유

정부·여당, 의료AI 활성화 속 디지털헬스케어법 추진…“해킹·재식별 위험부터 막아야”

디지털헬스케어법 공청회서 의료계…의료계 “활용은 기업이 책임은 의료기관이?” 반발

복지부 “표준화된 정보만 대상, 건강정보 고속도로 해킹 없었다”…현장선 “집적 자체가 위험” 질타

22일 국회에서 ‘디지털 헬스케어 및 보건의료정보 활용 지원에 관한 법률안’ 공청회가 열렸다.

[메디게이트뉴스 조운 기자] 현 정부가 여당과 손잡고 디지털헬스케어법안을 본격 추진하고 있는 가운데, 의료계가 데이터 전송 이후 책임소재와 AI 학습에 따른 재식별 위험, 의료기관 비용 부담, 민간기업의 상업적 활용 가능성 등을 문제로 제기했다.

정부는 법안을 자세히 보면 이전 국회에서 발의된 법안과 달리 상당수 우려가 해소돼 있고, 안전한 활용을 중심으로 설계됐다는 입장을 밝혔다. 하지만 의료계와 시민사회는 민감한 보건의료정보가 한 번 외부로 이전되면 회수와 통제가 어렵다며 우려를 쏟아냈다.

더불어민주당 서영석 의원이 대표발의한 ‘디지털 헬스케어 및 보건의료정보 활용 지원에 관한 법률안’ 공청회가 22일 국회의원회관 제2세미나실에서 열렸다. 이날 공청회에는 다양한 보건의료직역과 환자단체, 소비자단체, 산업계, 시민사회 관계자 등 11명의 패널이 참석해 법안에 대한 의견을 밝혔다.

의료계 “책임은 의료기관에, 통제권은 외부로?”…전송 이후 관리 공백 지적

이날 의료계 대표 참석자들은 보건의료데이터 활용 필요성 자체는 인정하면서도, 데이터 전송 이후 책임소재와 통제권, 산업적 활용에 따른 부작용을 우려했다.

보건의료정책연대 박시온 대변인은 “보건의료데이터는 의사만 또는 특정 직역만 생산하는 정보가 아니라 119구급대원, 행정요원, 간호사, 응급구조사, 의료기사, 의사 등 수많은 보건의료인이 함께 만들어내는 특수한 데이터”라며 “수많은 보건의료인의 손을 거쳐 만들어진 데이터의 주인은 누구인지, 의무와 권한은 누구에게 있는지, 활용할 때 비용은 누가 지불해야 하는지 등 다양한 의문이 제기된다”고 지적했다.

박 대변인은 “의료법상 진료기록과 영상정보를 안전하게 보존·관리할 의무는 의료인과 의료기관에 있지만, 데이터가 전송된 이후 보안·오남용을 통제할 권한은 충분하지 않다”며 “사고 발생 시 책임은 원자료 관리자나 의료기관에 남을 수 있는데, 통제권은 없는 구조가 문제”라고 말했다.

대한의사협회 김형갑 정보통신이사도 법안이 데이터 수집과 유통에 집중돼 있는 반면, AI 학습과 활용에 대한 규율은 부족하다고 지적했다.

김 이사는 “의료데이터는 한 번 AI 학습에 들어가면 다시 분리하거나 제거하기 어렵고, 가명정보라도 향후 재식별 가능성에 대한 우려가 있다”고 말했다.

김 이사는 프라이버시 보호 장치도 더 구체화돼야 한다고 했다. 그는 “환자 본인이 원해 의료정보 전송을 요청하는 것은 필요하지만, 현실에서는 제3자 업체가 사실상 데이터를 대량으로 가져가는 방식으로 작동할 수 있다”며 “내 데이터가 어디로 유통되는지 확인할 수 있는 체계와 옵트아웃 등 적극적 관리권이 필요하다”고 밝혔다.

나아가 간호기록지, 병력, 사정자료 등 내밀한 정보가 포함된 의료기록은 전송 범위에 대한 의료기관 또는 자료관리자의 확인·선별 권한이 필요하다고 봤다.

대한병원협회 양금술 제2정책위원장 역시 의료기관의 비용 부담과 책임소재 문제를 제기했다. 병원협회는 앞서 해당 법안이 환자 자기결정권 강화보다 데이터 개방과 산업 활성화 중심으로 설계돼 있다는 이유로 반대 의견을 낸 바 있다.

양 위원장은 “의료기관이 데이터를 생성·관리·추출·전송하는 과정에서 인력, 시설, 장비, 행정비용을 부담하는 만큼 이에 대한 보상체계가 필요하다”며 “개인정보 대량 유출, 상업적 이용, 분쟁 책임소재, 정책심의위원회 내 의료단체 참여 보장 등에 대한 우려도 해소되지 않았다”고 밝혔다.

그는 “데이터 활용으로 발생하는 경제적 가치가 의료기관과 환자에게 어떻게 돌아갈지가 의문”이라며 “핀란드처럼 데이터 제공기관에 대한 비용 보상체계를 마련할지, 한국처럼 민간의료기관 중심이고 EMR이 분절된 체계에서 동일한 수준의 데이터 연계가 가능한지, 환자가 정보 활용을 포괄적으로 거부할 수 있는 권리가 충분한지 등을 검토해야 한다”고 말했다.

노동·시민사회 “공공 활용보다 산업 활용에 치중”…개인정보 유출 우려

노동계와 시민사회는 법안이 보건의료정보의 공공적 활용보다 산업적 활용에 치우쳐 있다고 비판했다.

전국의료산업노동조합연맹 김옥란 정책국장은 “이번 법안은 디지털 헬스케어라는 포괄적 명칭과 달리 보건의료정보의 공공적 활용보다 산업적 활용에 치중돼 있다”며 관리전문기관을 통한 데이터 집중과 민간 사업자의 상업적 활용 가능성을 우려했다.

김 국장은 환자가 한 번 약관에 동의하면 진료기록, 처방내역 등을 기반으로 한 상업적 건강관리 사업이 포괄적으로 정당화될 수 있어 목적별·범위별 재동의와 사후 통제 장치가 필요하다고 봤다.

그는 “한 번 외부기관으로 이전된 데이터는 사실상 회수가 어렵다”며 “환자가 자신의 정보가 어디에 어떤 목적으로 제공되는지 알 수 있고 통제할 수 있어야 한다”고 강조했다.

참여연대 사회복지위원회 김진환 실행위원도 보건의료데이터 법체계 정비와 공적 인프라 구축 필요성에는 동의하면서도, 그 전제는 공공성 보장이어야 한다고 밝혔다.

김 실행위원은 “개인정보보호법의 목적은 개인의 자유와 권리 보호”라며 “이번 법안은 보호보다 활용을 앞세우는 방식으로 구성돼 있다”고 지적했다.

그는 “보건의료체계가 국민 건강을 위한 서비스 체계가 아니라 산업 데이터를 생산하는 장으로 전락해서는 안 된다”고 말했다.

특히 유전체 정보는 개인을 넘어 가족과 가계 전체에 영향을 미치는 정보이므로 일반적인 가명처리 예외로 다루기 어렵다고 지적했다.

김 실행위원은 “보건의료데이터를 별도 법으로 다루겠다면 개인정보보호법보다 완화된 보호가 아니라 더 두꺼운 보호 체계를 약속해야 한다”고 강조했다.

복지부 “법안 보면 우려 상당 부분 해소…표준화된 정보만 대상”

보건복지부 최경일 의료정보정책과장은 패널들이 제기한 개인정보 보호, 관리전문기관, 정보주체 권리, 산업적 활용 우려 등에 대해 “다양한 이해관계자가 있다는 점을 다시 느꼈다”면서도 “다만 안타까운 것은 이 안을 잘 읽어보면 지금 말씀하신 부분들이 거의 해소돼 있다”고 밝혔다.

최 과장은 “법안은 논쟁적인 부분들을 거의 담지 않았다. 논쟁에서 당장 결론이 나지 않을 내용들은 대부분 안 담았고, 현재 우리가 갈 수 있는 내용들로 법안을 구성했다”고 설명했다.

이어 “개인정보보호위원회와 이미 협의가 끝난 내용으로, 개인정보 보호 규정도 현행 규정에 부합한다”며 “보건의료정보를 가능한 안전하게 활용할 수 있도록 안전에 방점을 두고 법률 규정을 만들었다”고 말했다.

의료계가 우려한 전송 대상 정보 범위에 대해서도 최 과장은 “임상에서 환자를 보고 의료인이 판단하고 진단해 개인적으로 쓰는 정보들이 올라가는 것이 아니다”라고 선을 그었다.

그는 “건강정보 고속도로, 진료정보교류시스템, 심평원의 진료 청구 기록, 국민건강보험공단의 건강검진 기록처럼 규격화되고 표준화돼 올라가는 정보들을 이 법에서 다루고 있다”며 “우려하는 부분들은 이 법에서 다루고 있는 정보가 아니다”라고 강조했다.

해킹 우려에 “어디가 안전한가”…현장서 “위험한 인식” 질타

최 과장은 시민사회가 제기한 정보 유출과 해킹 우려에 대해 “해킹에 대해서 어디가 안전한가라고 역으로 말씀드릴 수 있을 것 같다”며 “물론 해킹을 막아야 하는 것은 당연하지만, 해킹 문제는 이 정보뿐만 아니라 세상의 모든 정보가 다 마찬가지”라고 말했다.

이어 “현재 보건의료정보 시스템을 지원하는 건강정보 고속도로는 해킹이 한 번도 일어나지 않았고, 해킹이 일어날 가능성이 굉장히 낮다”며 “100%라고 말할 수는 없지만 95% 이상 정도로 본다”고 밝혔다.

이에 현장 질의에서는 정부의 인식이 안이하다는 비판이 제기됐다.

인도주의실천의사협의회 전진한 정책국장은 “한 곳에 집적되고 집중될수록 해킹 가능성이 늘어난다는 것은 상식”이라며 “이 법안은 단순히 데이터를 집적하는 것이 아니라 비식별 자료를 기업들에 제공하는 구조를 담고 있다”고 지적했다.

전 정책국장은 “비식별 정보가 재식별돼도 문제지만, 재식별이나 해킹이 일어나지 않더라도 비식별 정보 자체가 더 많은 기업에 이전될수록 유출과 오남용 위험은 커진다”고 말했다.

그는 “알츠하이머나 우울증 같은 정신질환 진단기록, 임신·분만, HIV 감염, 성폭력 피해 정보 등도 의무기록상 데이터베이스화되지 않느냐”며 “이런 정보가 기업으로 넘어갈 수 있는 것 아닌지에 대해 문제가 없다고 말하는 것은 큰 문제”라고 질타했다.

의료민영화 저지와 무상의료 실현을 위한 운동본부 김재헌 사무국장도 “전문가로 나와서 ‘그러지 않도록 하겠다’, ‘막겠다’고 해도 부족한데 ‘안전하지 않은 곳이 어디 있느냐’고 말하는 것은 위험한 발언”이라고 비판했다.

이어 “진료기록과 의료정보 같은 민감데이터는 쌓아서 연계·결합하고 산업적으로 활용하게 하지 말자는 것”이라며 “디지털헬스케어법은 정확히 그것을 가능하게 하는 법이기 때문에 위험하다”고 주장했다.

김 사무국장은 “정신질환, 유전질환 외에도 병원 기록과 검진 기록이 유출돼도 상관없느냐. 산업계가 가져가도 상관없느냐. 보이스피싱이나 범죄에 활용돼도 상관없느냐”며 “절대 그렇지 않을 것”이라고 말했다.

그는 “이 법안은 가명처리 외에는 사실상 정보를 확실하게 보호할 장치가 없다”며 “보호는 사전에 하는 것이고, 처벌은 이미 일이 벌어진 다음에 하는 것이다. 3년 이하 징역이나 3000만원 이하 벌금이 수십억, 수백억원을 버는 기업에 얼마나 무섭겠느냐”고 지적했다.

오탈자 신고 스크랩 인쇄 제보 공유

조운 기자 (wjo@medigatenews.com)

이 기자의 다른 기사 보기