지난달 건강보험심사평가원이 민간기업에 개인건강정보를 제공한 사실이 확인되면서, 현 정부가 추진하는 보건의료 빅데이터 사업과 관련해 각계각층의 우려가 커지고 있다.

이러한 배경 속에서 지난 27일 오후 1시 30분 국회의원회관 제8간담회실에서 '심평원 및 약학정보원 개인질병정보 판매 행위로 본 현 정부의 보건의료 빅데이터 추진 전략의 문제점' 주제로 토론회가 개최됐다. 

이날 '심평원 사건을 통해 본 보건의료 빅데이터 추진 전략의 문제점'으로 인도주의실천의사협의회 정형준 정책국장(의사)가 발제를 맡았다.

지난 10월 24일 국회 보건복지위원회 소속 정춘숙 의원(더불어민주당)이 건강보험심사평가원으로부터 제출받은 자료에 따르면, 2014년 7월부터 2017년 8월까지 KB생명보험 등 8개 민간보험사 및 2개 민간보험연구기관이 당사 위험률 개발과 보험상품연구 및 개발 등을 위해 요청한 '표본 데이터셋'을 심평원이 1건당 30만 원의 수수료를 받고 총 52건(누적 약 6,420만 명분)이나 제공한 것으로 나타났다.

정형준 정책국장은 "문제는 민간보험사가 영리목적으로 정보를 활용한다는 것을 알고 있었음에도 비식별화된 정보를 지속해서 제공한 것"이라고 했다.

또한, 약학정보원은 지난 2011년부터 2014년까지 미국의 빅데이터 업체 IMS헬스에 우리나라 국민의 약 4천만 명, 약 50억 건의 처방전 정보를 팔았고, IMS는 우리나라 국민의 정보를 전 세계에 되팔고 있는 것으로 드러났다.

정 국장은 "심평원은 박근혜 정부의 보건의료 빅데이터 산업화에 첨병으로 활동했다. 심평원의 빅데이터 추진 · 가공 · 판매는 본 기관 설립목적에 전혀 부합하지 않는다. 또한, 대부분 국가에서 빅데이터를 통해 데이터를 만드는 과정은 제3기관에서 진행한다. 무엇보다 심사평가, 적정요양급여를 위한 정보획득일뿐 이를 가공해서 집적화하는 것에 대한 국민 및 의료공급자들의 동의를 구한 바가 없다."라고 지적했다.

 

정 국장은 "2014년도 4월 17일 심평원 보도자료의 '개원 1년 후 매출 추이 예상' 부분만 보더라도 상당히 영리적 목적이라 할 수 있다. 또한, 지난해 박 대통령이 하야한 시점인데, 심평원은 상관 않고 정부 3.0을 계속해서 추진했다. 아이디어 공모전도 진행했다. 국민건강보험법 5장을 살펴보면, 심평원은 업무와 관련된 것을 해야 한다고 규정돼 있다. 업무와 관련되지 않은 일을 하는 것은 적폐라 생각한다."라고 말했다.

발제문에서 정 국장은 현재 우리나라는 건강정보를 포함한 개인정보가 빈번하게 유출되고 있어 대안 마련이 시급한 상황이나, 정부는 대안 마련 없이 상업적 활용 목적을 골자로 한 보건의료 빅데이터 사업을 비공개로 추진하고 있으며, 이 사업에 대한 타당성 등에 대해 충분한 논의를 거치지 못하고 있다며, 추진 과정도 비공개로 진행돼 정책추진 투명성이 의심된다고 했다.

정 국장은 "특히 개인건강정보와 관련한 활용 · 적용 · 결합 등을 논의할 법률도 없는 상황에서 박근혜 정부 말기에 막무가내로 도입된 가이드라인을 근거로 사용하는 상식 밖의 현상마저 벌어지고 있다."라고 말했다.

정 국장의 발제문에 따르면, 직접적 의료민영화 사안인 영리병원, 부대사업확대, 영리자회사 설립 등은 박근혜 정부의 의료산업화 핵심 계획이었으나, 여론 · 시민사회단체의 역풍을 맞아 의료민영화 사안이 숨겨지고, 다른 의료산업화 사안들이 재배치됐다. 이 사안들은 재생의료(줄기세포, 유전자치료제 등)와 정밀의료(빅데이터, IT-의료연계 등) 등이다.

정 국장은 "박근혜 정부 때 의료민영화 3.0이 시작됐고, 민간 활용하는 것을 중요 쟁점으로 삼았다. 이는 2014년 1월 스위스 다보스에서 열린 세계경제포럼(WEF)에서도 언급됐다."라고 설명했다.

의료산업화, IT기업 연계는 아날로그 방식으로 수행되는 의료를 디지털화하는 데에서 출발할 수밖에 없다. 이는 ▲높은 효율성을 추구하는 경향, ▲기존 아날로그 정보의 디지털화, ▲표준화 등으로 나타났고, 실제 병·의원과 진료현장에서는 EMR(전자의무기록), 처방전달시스템, PACS(디지털영상정보시스템) 개발 · 정착으로 드러났다. 이러한 기반하에 디지털화된 의료를 더욱 큰 시장으로 만들기 위해서는 정보 표준화를 통해 호환 가능성을 높이는 것이 필요해졌고, 이것이 보건의료정보 플랫폼 사업이 됐다.

정 국장은 "보건의료 빅데이터 플랫폼 구축 사업에 115억 원 예산이 신규배정됐다. 또한, 클라우드 기반 정밀의료 병원정보시스템 개발 사업에 5년간 201억 원이 배정됐다."라고 설명했다.

정 국장의 발제문에 따르면, 국내에서도 표준화 시도가 진행됐으나 병·의원마다 시스템이 상이해서 난제가 된 바 있다. 특히, 국내의 경우 의료공급이 전적으로 민간주도여서 상호경쟁적인 표준이 난립해 표준화는 공적의료제도를 가지고 있는 나라에 비해 더 어려운 과제가 됐다. 이는 시장화돼있는 의료공급으로 인해 의료정보산업에서는 뒤처지는 아이러니를 낳게 된 셈이다.

결국, 이런 시스템을 하나로 표준화하는 데 있어 드는 비용문제가 계속 제기되고 있으며, 대기업 중심으로 표준화되는 것에 대한 중소병·의원의 갈등도 초래됐다. 과도한 공급시장화로 표준화 난제가 계속 발생하고 있으며, SK조차 의원급 진료프로그램인 '의사랑' 등에 진출했다가 지분을 매각하고 철수한 상황이다.

2014년이 돼서 정보보안에 대한 대중의 우려를 불식시키겠다는 명목으로 의료 · 건강 정보보안산업 활성화가 주창됐다. 지난해 의료법 개정으로 의료기관 의료정보 보안 업무의 외주화 허용, 클라우드 시스템 활용 등이 추진됐다. 박근혜 정부는 2016년 초 클라우드 서비스 활성화를 천명했으나, 법률 기반은 아니었다.

정 국장은 "보건의료 빅데이터 구축을 위한 기본 전제로 환자 개인정보를 클라우드로 관리하겠다고 했다. 이게 편리해 보이지만 보안이 무너지면 수많은 정보가 유출될 수 있다."라고 말했다.

정 국장의 발제문에 따르면, 박근혜 정부 말기에는 의료기관에서만 생성 · 관리될 수 있는 의료 · 건강 정보를 민간기업도 생성 · 관리할 수 있도록 시도했다고 했다. 이는 원격의료, 건강관리서비스, 의료기관 외 유전자검사 서비스 등의 전제조건이었다.

정 국장은 특히 기존 허가된 유전자 검사로는 키, 몸무게, 혈액형 등 10개 정도의 유용한 정보 검사만이 제공됐지만, 최근 DNA 검사 기계 등의 발전으로 단시간 내 수백 가지 개인정보가 산출된다는 점에서 이런 유전자정보의 민간기업 취급 확대허가는 충분한 사회 검토가 필요하다면서, 정부는 이러한 검사를 맞춤형 의료, 정밀의료라는 이름으로 허용하려 했다고 했다.

또한, 개인건강정보와 의료정보가 결합할 때의 문제, 민간기업의 개인건강정보 수집 · 유통 문제가 제기되는 와중에 지난해 6월에는 개인건강정보 처리에 관해서도 단순한 가이드라인으로 이를 관철하려 했다고 했다.

정 국장은 "가이드라인은 행정 시행규칙 혹은 시행령, 법률 같은 것이 아니다. 어겼을 때 책임 묻는 것도 아닌, 아무것도 아니다."라고 설명했다.

또한, 의료기관에서 생성돼 건보공단, 심평원 등에 보관된 대규모 의료 · 건강 정보를 제약 없이 활용할 수 있게 했다면서, 이는 '빅데이터 산업'으로 불리며, 4차 산업혁명의 신사업으로 포장됐다고 했다. 건보공단 성상철 이사장은 2015년 신년사에서 빅데이터 산업을 공단이 추진할 사업으로 직접 언급한 바 있다.

건강정보의 빅데이터 제공은 제약기업, 민간의료보험 회사, 건강관리서비스 회사 등의 마케팅을 위한 전제조건이다. 이러한 논란에도 보건복지부는 작년 박근혜 정부가 6월 30일 발표한 '개인정보 비식별 조치 가이드라인'에 참여했다. 정 국장은 보건복지부가 건강정보와 관련된 건보공단의 우선권 · 공적이용을 중심으로 이를 방어해야 하는 부서라는 점에서 복지부의 행동은 매우 우려스러웠다고 했다.

보건의료 빅데이터 활용 효과는 아직 검증되지 않았다. 의료 질 · 효과 향상, 질병 예방, 환자 안전 수준 향상, 의료비 절감 등의 효과가 거론되며 최근 논의가 가속화되고 있으나, 기술적 · 사회적으로 아직 미완성의 상태이다. 실제 현실에서 데이터로 입증된 효과를 보이는 보건의료 빅데이터 활용 모델은 매우 적다.

한편, 올해 3월 발족한 보건의료 빅데이터 추진단에 대해서 정 국장은 "구성인원 대부분이 정부소속 산하기관이다. 거버넌스 어떻게 확보될지가 의문이다."라고 말했다.

발제문에 따르면, 올해 9월 5일 정부가 발족한 '정밀의료 산업단'의 첫 사업은 2가지로, ▲암 정밀 진단치료법 개발 사업단, ▲정밀의료 병원정보시스템 개발 산업단 등이며, 이 중 '정밀의료 병원정보시스템 개발 사업단'은 의료정보표준화 · 보안관리를 위한 선결과제사업에 지나지 않는다고 했다.

이는 엄밀히 정밀의료 효과 및 안정성에 대한 논의가 아니라 정밀의료를 위한 선결조건인 표준 데이터 축적을 위한 인프라 개발이다. 즉, '빅데이터'가 제대로 축적되지 못하고 있고, 표준화된 빅데이터셋으로 정밀의료의 가시적 효과를 보이는 것이 현재 수준에서는 요원하다는 의미이다.

'암 정밀 진단치료법 개발 사업단' 경우에도 빅데이터를 이용하는 사업이라고 보기 어렵다. 이 사업은 우선 표적치료제 적용이 가능한 약 2천여 명을 발굴하고 표적치료제 3건 개발을 추진하는 임상시험 프로그램으로서 다양한 유전정보나 개인건강정보를 토대로 신약을 개발하는 정밀의료 광고효과와도 차이가 있다. 이미 표적항암제 효과가 적용된 유전자변이에 대해 타암종에서도 적용이 가능한지 살펴보는 것은 확장된 임상시험에 지나지 않는다.

미국의 경우 건강보험 정보의 이전 및 그 책임에 관한 법률(HIPPA)을 1996년에 제정했다. HIPPA는 일상적인 의료업무 차원에서 수집하는 것 외의 목적으로 이용하는 것을 이차적 이용으로 규정해 원칙적으로 금지하고 있다. HIPPA에 따르면, 건강정보 교환소(Health Care Clearinghouses)는 개인건강정보의 표준화 · 비식별화 · 변환작업 등을 수행하고, 개인을 식별할 수 있는 모든 건강정보를 보호하고 있다. HIPPA 및 건강정보 교환소를 통해 비식별한 건강정보 활용 · 공개에는 제약이 없으나, 비식별화의 방법 · 책임 · 유통 등에는 최소한의 규제가 존재하고 있다.

반면, 국내에는 개인건강정보를 관리 · 유통 · 조합할 수 있는 법률적 근거가 없다. 우리나라는 주민등록번호가 존재하기 때문에 정보 식별성이 매우 높다. 거기에 전 세계에 유례없는 신용카드 보급률, 금융실명제, 휴대폰 · 인터넷 보급, 택배거래 활성화 등은 개인정보유출의 식별화 가능성을 한층 더 높이고 있다.

정 국장은 이러한 상황에서 빅데이터 주창자들은 주민등록번호 · 이름만 삭제한 비식별화 방식의 데이터셋을 광범하게 이용하자는 주장까지 서슴지 않고 꺼낸다면서 이러한 비식별화에 대한 별도 대안이나 보완 방식에 대한 공유, 거버넌스 확보 등도 없고 오로지 근거는 박근혜 정부의 가이드라인일 뿐이라고 했다.

비식별화 가이드라인의 문제점은 비식별화 평가를 해당 기관의 개인정보 보호책임자가 구성하는 부분이다. 보호책임자는 3명 이상의 관련분야 전문가로 명시돼 있다. 

정 국장은 정보집합물 결합을 위해서는 개인별로 부여된 식별자가 매칭키로 사용되는데, 이 매칭키가 주민등록번호를 대체하는 임시 대체키이나 사실상 주민등록번호에 한 차례 매칭된다는 문제가 발생한다고 했다. 또한, 결합을 제공하는 기관은 단일 제3기관이 아닌 '산업 내 기업 간 결합은 해당 분야 전문기관'으로 명시돼 한국인터넷진흥원, 한국정보화진흥원 등이 추천단위이라면서, 가이드라인은 이들 단위가 비식별화된 개인건강정보를 제대로 결합해 문제없이 제공할 수 있는지는 차치하더라도, 결합기관의 난립이 가져올 문제점을 무시하고 있다고 했다. 그렇기 때문에 이미 한화생명, SK텔레콤 등은 4차 산업혁명 기술활용을 광고하며, 개인건강정보 결합사례를 보도까지 하는 상황이라고 했다.

정 국장은 "현재 비식별화 가이드라인은 법적 근거가 전혀 없으며, 잘못된 비식별화 · 재식별화에 대한 법적 처벌 근거도 없다. 또한, 비식별화 평가를 해당 기관에 위임해 사실상 자체평가 후 빅데이터 이용이라는 방임형이다."라면서, "비식별화 정보의 결합도 해당 부분 전문기관으로 공공기관이 아니다. 호주 PHRN 등 해외에서는 공공기관에서 결합서비스를 제공한다. 그리고 최근 밝혀졌듯이 결합서비스는 통신회사 등과 결합해 재식별화 위험성이 더욱 증가한 상태다."라고 설명했다.

국내의 비합리적인 비식별화 정보공유는 개인 의료 · 건강 정보 유출을 유도하며, 신체적 · 정신적 · 물질적 피해가 뒤따르게 된다. 이는 개인의 정신적 · 신체적 피해에 국한하지 않고 빅데이터를 통해 다른 여러 정보와 결합할 경우 구조화된 차별 가능성까지 발생한다.

미국에서는 병원 의료정보 해킹 범죄가 전체 범죄의 2위이다. 병원 의료정보를 해킹하고 이를 외부 유출하겠다는 협박, 돈을 요구하는 경우 등 최근 다양한 범죄로 활용되고 있다.

또한, 빈번한 개인정보 유출로 인해 개인 의료 · 건강 정보의 비밀 보장에 대한 전반적 신뢰도를 저하해 국내 공적 의료 시스템 전반에 대한 신뢰 하락이 발생한다. 건강보험 · 보건의료제도에 대한 불신, 환자 · 의료인 간 불신 등 불필요한 사회 논쟁을 유발하며 보건복지 정책에 악영향을 미치게 된다.

그리고 거품경제 활성화로 국민에게 경제적 부담이 전가된다. 효과나 효용이 입증되지 않은 원격의료, 정밀의료, 건강관리서비스 등 각종 산업의 거품경제가 증가한다. 부수적으로 불필요한 정보 보안 산업의 활성화도 거품경제의 한 측면으로 볼 수 있다. 정보 보안 수준이 아무리 높아지더라도 해킹 위험으로부터 완전히 자유로울 수 없다. 결국, 정보 보안 인플레 의식이 작용해 국가 차원에서 정보 보안 수준을 기술적으로 높이려는 노력이 향상함에 따라 경제적 부담이 증가할 수밖에 없다.

보건의료 빅데이터 정책은 충분한 의사소통 및 공론화를 거쳐 신뢰 바탕으로 거버넌스 체계 정책 추진이 이뤄지지 않는다면, 사회적 논란 · 갈등만 심화시킨 채 언제든지 좌초될 수 있는 성격의 정책임을 영국 Care Data 사업 사례가 극명하게 보여주고 있다. 영국 NHS의 Care Date는 개인건강정보 유출, 재식별화 가능성으로 작년 7월 폐쇄된 상태이다.

당시 CQO(Care Quality Commission)는 보고서를 통해 투명성, 개인정보 보호 및 기밀성 보장, 추후 동의를 철회할 수 있는 Opt-out(개인정보 공유 금지) 권리 부족, 데이터 소유권, 상업화 등을 지목했다. 즉, 투명한 빅데이터 관리가 아니었고, 개인정보축적에 대한 충분한 설명이 없었다는 의미이다. 

정 국장은 "정부가 꾸준히 주장하던 영국 Care Date는 작년 7월 이후 중단 상태인데 이걸 왜 꾸준히 얘기하는지 모르겠다. 정부가 추적을 잘 안 하고 있다."라고 지적했다.

정 국장은 보건의료 빅데이터 사업의 문제점을 ▲의료영리화 및 산업화, ▲법리문제, ▲거버넌스, ▲환자 · 의사 동의 등 사회적 합의, ▲국제 기준, ▲효용성 등으로 제시했다.

정 국장은 우선 가장 시급한 것은 박근혜 정부의 비식별화 가이드라인을 철회하는 것이라고 했다. 최소한 미국 수준의 법률적 장치가 마련되고, 비식별화를 위한 제3 기구 등이 논의돼야 하므로 법률 제정이 요구된다. 이 법률은 빅데이터 산업계의 이익이 아닌, 개인건강정보에 근거한 차별 및 개인의 건강정보 프라이버시를 보호하기 위한 제도적 장치를 만드는 것에 목적을 둬야 한다. 이를 위한 선결조건은 ▲정보소유자 권리 보호, ▲예방대책, 사후대책 등 적절한 보안조치 및 악의적 이용에 대한 대책, ▲정보연계 보호를 위한 거버넌스 문제, ▲기관 및 수용단체 연계 시 정보보호의무 문제 등이다.

다음으로 개인건강정보를 중심으로 만들어지는 생산물 · 결과들은 각종 제약, 치료, 생활수준 및 인구집단에 대한 이익을 통해 철저하게 공적으로 관리 · 이용돼야 한다는 것이다. 이를 위해 공익적 임상시험 프로그램과 이를 통해 얻은 이익이 공공에서 확대되도록 고려돼야 한다.

그리고 장기적으로는 생명현상을 이해하는 새로운 관점이 모색돼야 하며, 개인건강정보의 집적화 · 맞춤형 서비스가 아니라 포괄적인 정치적 · 사회적 · 경제적 접근을 동반한 프로그램이 돼야 한다고 했다. '건강결정요인의 이해'가 있어야 빅데이터의 발전적 활용이 가능할 것이며, 그러한 활용은 단순한 민간기업 이익만을 위한 것이 아니어야 한다.

정 국장은 "빅데이터는 분명히 공공으로만 사용돼야 한다. 민간사업자들에게 돈벌이 수단이 되어서는 안 된다. 그리고 거버넌스가 전혀 확보돼 있지 않다."라면서, "미국같이 민간 민영보험이 설치는 나라에서조차도 기본법률이 다 구축돼 있는데, 우리나라는 제반 하나 없이 산업화로 이용하는 단계로 단숨에 점프하고 있다."라고 지적했다.