보건의료데이터 - 공유·활용과 정보주체 보호의 문제

디지털헬스케어의 시대를 맞이하여 보건의료데이터를 이용하여 만들어질 새로운 제품이나 서비스가 인류를 이롭게 할 것이라는 기대를 누구나 갖고 있을 것이다. 기본적으로는 이를 기술적으로 가능하게 만드는 것이 중요하다. 최근 ICT·생명공학·의료기술의 눈부신 발전상을 보고 있노라면 이 측면에서는 낙관적인 기대를 해도 좋을 것 같다. 그렇다면 연구대상자의 보호를 위해 어떤 윤리적 원칙을 지켜야 할 것인가? 정준호·김옥주의 2017년 논문 '미국 연구대상자 보호 정책의 최신 동향 - 개정된 커먼룰(Common Rule)을 중심으로-'(링크) 앞부분에서는 다음과 같이 1979년 「벨몬트 보고서: 인간 피험자 보호를 위한 윤리 원칙과 지침」(국가생명윤리정책원 링크)가 제시한 생명윤리에 대한 대원칙을 소개하였다. 현실 세계에서는 이러한 보편적인 원칙에 입각한 법제를 마련하고 있으므로 연구자들에게는 이를 준수할 의무가 지워진다.

• 인간 존중(respect for persons): 자율성 존중의 원칙을 기반으로 연구대상자에게 충분한 정보에 근거한 동의(informed consent)를 받아야 하며, 아동이나 수감자 등 자율성이 제한되는 연구대상자는 보호받아야 함
• 선행(beneficence): 연구에서 해를 입히지 말고 가능한 이익을 극대화하고 해악을 최소화해야 함
• 정의(justice): 연구에서 생기는 이익과 부담을 누가 받아야 하는가에 대한 분배의 정의에 관한 원칙

생명윤리법 제2조에서는 사람을 대상으로 물리적으로 개입하거나 의사소통, 대인 접촉 등의 상호작용을 통하여 수행하는 연구 또는 개인을 식별할 수 있는 정보를 이용하는 연구를 인간대상연구로 정의하였고, 보다 자세하게는 동법 시행규칙 제2조에서 상세하게 그 요건을 나열하였다. 이에 따르면 개인을 식별할 수 있는 정보를 이용하는 연구(연구대상자를 직접·간접적으로 식별할 수 있는 정보를 이용하는 연구) 또한 인간대상연구의 범위에 속한다. 따라서 연구대상자 보호를 위해 법으로 강제하는 규정을 똑같이 지켜야 한다. 보건의료데이터 역시 민감정보로서 개인 식별이 가능하므로 예외가 될 수 없다.

그러나 조금만 생각해 보면 인간대상연구와 오늘 논의하는 보건의료데이터 활용 연구는 성격이 매우 다름을 알 수 있다. 보건의료데이터는 이미 연구대상자로부터 분리되어 나온 것이기 때문에, 데이터 수집 과정, 연구 과정, 그리고 최종 결과물이 대상자에게 직접적으로 미칠 위험성은 거의 없거나 극히 낮다고 볼 수 있다. 물론 이에 대해서는 시민 단체의 우려가 늘 있었다. 구글에서 '보건의료데이터 시민단체 반대'를 입력하여 검색하면 다음과 같은 정보가 나온다(검색일: 2022년 12월 23일, 상위 10개 검색결과만 나열). 사회적 분위기를 알아보기 위하여 읽어봄직하다. 나는 이러한 우려가 과장된 것이라고 믿는 사람이다.

• 의료 빅데이터 사업 막아선 시민단체 | 한경닷컴 - 한국경제
• 의료 데이터, 기업 줄까 말까 - 지디넷코리아
• 보건의료 빅데이터 악용 위험이 활용 가치보다 클 수 있다 - 지디넷코리아
• 국가의료정보 보험사에 넘긴다...시민단체 철회 촉구
• 의료계, 디지털헬스케어법 반대...건강보다 산업에 무게 - 데일리팜
• '의료데이터' 손에 쥔 보험사, 심평원과 건보공단의 엇갈린 판단
• [기자회견] 개인의료정보 상업화에 반대한다! - 정보인권
• 의료기록 등 공공데이터 민간제공 임박, 보건의료시민단체 반발
• 공공의료데이터 민간사업자 제공 이슈 | Digital 365
• 의료데이터, '활용'보다 '정보보호' 더 중요하다 - 의협신문

마침 어제(2022.12.21.) 열린 제14회 헬스케어 미래포럼「디지털헬스케어 산업 활성화 방안」(포럼 소개 사이트 링크, 제14회 포럼 안내문 링크, 유튜브 다시보기는 무슨 사정이 있는지 현재 비공개 상태임)에서 주제발표를 했던 건양대 의과대학 김종엽 교수의 발표자료 가운데 내가 격하게 공감하는 슬라이드가 있어서 인용하고자 한다.

생각해 볼 수 있는 위험성은 민감한 건강관련 정보가 고의 또는 실수로 유출되었을 때 사생활이 침해될 수 있다는 것, 그리고 아무리 정보를 사전에 비식별처리를 했다 하여도 최신의 기술을 이용하면 그 데이터가 누구의 것인지를 있다는 점이다. 이러한 종류의 위험성이 갓 개발되어 인체를 직접 대상으로 하여 쓰이는 약물이나 의료기기의 위험성보다 월등히 클까? ICT 기술을 잘 갖춘 범죄집단이 있어서 유출된 데이터를 활용, 특정인을 대상으로 범죄를 도모하는 공상과학영화와 같은 상황이 벌어질 가능성이 없지는 않을 것이다. 그러나 이를 막기 위해서 보건의료데이터의 활용 자체를 막는다면 그로 인하여 얻는 것보다 잃을 것이 더 많을 것이다.

내 데이터를 이용하여 무슨 일을 할 것인지를 구체적으로 구속하는 방법은 동의서를 작성하는 것이다. 가끔씩 특정 정보 서비스를 이용하기 위해 약관을 읽고 동의서를 작성하는 것과 크게 다르지 않은 과정이다. 그런데 설명문이 너무 길어서 어떤 내용을 담고 있는지 상세히 읽지 않고 대충 스크롤해 넘긴 뒤 동의 버튼을 클릭하거나 서면 동의서에 서명을 하는 경우가 많다. 이른바 '동의 피로' 현상을 겪게 되는 것이다. 어차피 받을 서비스라면 동의를 해야 하고, 고민은 혜택을 늦출 뿐이니 말이다.

국내법에서 건강 관련 정보는 개인정보의 한 종류인 '민감정보'로 간주한다. 따라서 개인정보 보호 관련 규제를 따라야 하는데, 우리나라의 개인정보보호법제는 까다롭기로 따지자면 전 세계에서 1위권에 든다 해도 과언은 아닐 것이다. 이에 대해서는 김송옥의 2019년 논문 '유럽연합 GDPR의 동의제도 분석 및 우리 개인정보보호법제에 주는 시사점'(링크)에 다음과 같이 소개하였다.

• 사전동의의 원칙: 정보주체로부터 사전에 동의를 받아야 함
• 개별적 동의방식: 수집·이용·제공에 대한 포괄동의(또는 일괄동의)를 금지하고 각 동의사항을 분리해서 별도로 받아야 함
• 선택적 동의방식: 처리목적에 필요한 최소정보만을 수집하게 하면서 최소정보 외에는 '선택'으로 동의를 받도록 하는 방식
• 김송옥의 논문에서 언급하지는 않았지만 최소한의 정보만을 수집하여 제공자가 동의한 활용 기간이 종료되는 즉시 파기해야 함은 상식이다.

두 번째 사항은 어떠한 부작용을 낳는가? 포괄동의를 금지하므로 각각의 동의항목을 매우 작은 단위로 세분화하게 되어 동의서식이 매우 길어지고 복잡해지며, 이는 동의를 더욱 형식화한다. 반면 유럽연합의 GDPR은 처리 목적 중심의 동의를 받도록 한다. 따라서 동의 항목을 세분화할 필요가 없고, 처리목적이 바뀌거나 추가되지 않는다면 별도의 동의를 받을 필요가 없다고 김송옥은 적고 있다. GDPR이 갖는 중요한 특징 중 다른 하나는 언제든지 사후에 동의의 철회가 가능하다는 점이다. 개인정보 보호법이 아닌 생명윤리법에서 인체유래물연구의 동의에 관한 사항은 제37조에서 규정하고 있다("다음 각 호의 사항이 포함된 서면동의를 받아야 한다"). 인간대상연구의 동의에 관한 사항은 동법 제16조에 있다.

1. 인체유래물연구의 목적
2. 개인정보의 보호 및 폐기에 관한 사항
3. 인체유래물의 보존 및 폐기 등에 관한 사항
4. 인체유래물과 그로부터 얻은 유전정보(이하 "인체유래물등"이라 한다)의 제공에 관한 사항
5. 동의의 철회, 동의 철회 시 인체유래물의 처리, 인체유래물 기증자의 권리, 연구 목적의 변경, 그 밖에 보건복지부령으로 정하는 사항(이하 생략)

그러나 데이터를 이용한 연구는 동의를 받는 시점에 이를 구체적으로 어떻게 쓰겠다는 것을 정의하기 어려울 수 있다. 일단 데이터를 모아 놓고 이러저러한 방법으로 주무르다가 갑자기 문제 해결의 돌파구가 나올 수도 있다. 또한 A와 B라는 데이터를 동의에 의해서 받아서 연구하다가 보니 C라는 데이터를 추가하면 더 합리적인 결과가 나올 것임을 깨닫게 될 수도 있다. 그러므로 서명을 받는 날짜로 모든 것이 확정되어 버리는 현재의 동의 방식은 걸림돌이 될 것이다. 김종엽 교수가 또 내가 하고 싶은 말을 이렇게 해 주었다.

미국의 개정 커먼룰(Common Rule)에서 도입된 '포괄적 동의'를 우리도 생각해 볼 때가 되었다. 커먼룰에서는 인체유래물(정보 포함)의 2차적 활용에 대해서 포괄적 동의를 받을 수 있고, 이 경우 연구자는 IRB 심사를 거쳐 연구대상자의 추가적 동의 없이 이를 이용할 수 있다. 다만 이때 IRB는 수행대상 이차연구가 포괄적 동의의 범위에 속하는지만을 중심으로 실시할 수 있다. 다만, 연구자가 포괄적 동의를 거부하는 경우에는 IRB는 2차이용에 대한 동의면제를 받을 수 없다. 이 단락은 김재선의 2021년 논문 '미국의 보건의료데이터 보호 및 활용을 위한 주요 법적 쟁점 - 미국 HIPAA/HITECH, 21세기 치료법, 공통규칙, 민간 가이드라인을 중심으로-'(링크)에서 인용한 것이다.

중간 정리를 해 보자. 우리나라 국내법에서 보건의료데이터를 이용한 연구를 할 때 대상자를 보호하는 규제는 생명윤리법에서 규정한 '서면 동의'와 'IRB 심의'로 가닥을 잡을 수 있다. 다른 의미로 말한다면 연구자를 다소 힘들게 하는 규제에 해당한다. 그러나 내가 알기로 데이터 활용 연구와 약물 또는 침습적 의료기기(기술)과 같이 인체를 직접 대상으로 삼는 연구 사이에 이러한 규제 적용의 차이는 거의 없다. 나는 현 국내 규제에 손질을 가해서 데이터 활용 연구를 더 수월하게 실시할 수 있도록 만들어야 한다고 믿는다. 예를 들어 보건의료데이터 제공자(즉 '정보주체')가 어떤 정보를 수집하여 어떤 목적으로 활용할지 충분히 숙지하고 동의했다면, IRB 심의를 과감하게 면제할 수도 있는 것 아닐까? 개정 커먼룰에서 제시하는 동의 양식은 이 연구에 참여함으로써 얻는 혜택과 위험 등을 서식 앞쪽에 몰아서 소개하도록 하였다. 연구의 구체적인 내용을 100% 이해하지 않아도(어차피 이 분야의 전문가가 아니라면 이는 불가능하다) 정보주체가 자율적인 판단을 할 수 있게 만든 것이다.

"왜 그렇게 IRB 심의를 받으려고 하는지 모르겠어요. 인간/인체유래물 대상 연구 결과를 논문으로 투고할 때 학술지 측에서 이를 요구하기 때문에 그런 거 아닌가요? 연구가 아니라면 IRB 심의를 받을 필요가 없지 않을까요?"

지난주에 누군가와 이런 대화를 나눈 적이 있다. 마치 기업에서 제품 및 서비스 개발을 위해서 하는 행위는 '연구'가 아니므로 IRB 심의 대상이 아니라는 듯한 뉘앙스였다. 하지만 실제로 기업 연구실 현장에서 이렇게 생각하는 사람은 아무도 없을 것이다. 

글을 쓰다가 새로운 문제점을 발견하였다. 보건의료데이터를 이용한 연구는 인간대상연구인가, 또는 인체유래물연구인가? 일반 의료기록을 이용한 연구라면 인간대상연구이고, 생화학검사 또는 유전자검사 결과를 이용한 연구라면 인체유래물연구이다. 그러나 유전자(유전체)를 이용한 연구는 개인을 식별할 수 있는 정보를 이용하는 연구에 해당하므로 인간대상연구로 봐야 한다(생명윤리법 시행규칙 제2조제1항제3호). 그런데 기관위원회의 심의를 면제할 수 있는 인간대상연구(생명윤리법 시행규칙 제13조)는 기관위원회의 심의를 면제할 수 있는 인체유래물연구(생명윤리법 시행규칙 제33조)와 별도로 규정되어 있다. 위에서 이미 살펴 보았듯이 두 종류의 연구는 생명윤리법에서도 제3장(인간대상연구)과 제5장(인체유래물연구 및 인체유래물은행)에서 별도로 규정한다.

오늘은 일단 여기까지...