보건의료 빅데이터 활용에 관한 법적 검토 - 개인정보보호를 중심으로 -

Abstract

본 연구는 보건의료 빅데이터의 활용에 있어 제기되는 법적 쟁점을 개인정보보호의 측면에서 검토하였다. 구체적으로 보건의료 빅데이터의 정의와 특성을 살펴보고, 보건의료 빅데이터의 활용에 있어서 개인정보보호법과의 쟁점을 검토하고, 외국의 관련 법률 및 사례 연구를 통해 보건의료 빅데이터의 활용에 있어서 개인정보보호법의 개정 방향에 대해 논의하였다. 먼저, 보건의료 빅데이터는 개인정보보호법 상에서 쟁점을 살펴보면 다음과 같다. 우리의 개인정보보호법에서 정의하는 개인정보의 정의가 모호하다. 개인정보의 판단기준이 식별가능성이라는 추상적이고 포괄적인 기준으로 판단하고 있어 보건의료 분야 뿐 아니라 향후 타 분야의 빅데이터 활용을 위해서도 개인정보 개념에 대한 재정립이 필요한 것으로 보인다. 다음으로, 보건의료정보는 개인정보이자 민감정보에 해당하므로 개인정보보호법에 따라 수집되어야 하는데, 그 수집방법에 있어서는 정보주체의 사전 동의가 필수적이다. 그러나 보건의료 빅데이터의 경우 모든 개인정보의 대해 사전의 동의를 구하는 것이 현실적으로 불가능하다고 볼 수 있다. 따라서 개인정보보호원칙의 기본이 되는 통지 및 동의(notice and consent)의 원칙이 지켜지기 어려운 문제가 발생한다. 또한 보건의료 빅데이터 중 장기간 축적되는 시계열이 존재하며, 빅데이터 분석을 통한 새로운 결과를 도출해 낼 수 있는 특성으로 인하여 개인정보 최소화 및 목적 명확성의 원칙이 지켜지기 어려운 측면이 있다. 이외에도 비식별화를 통해 개인정보를 활용할 수 있으나, 비식별화 방안에 대한 구체적인 법적 근거가 없으며, 비식별화 조치를 수행한 보건의료 정보라도 이 정보가 일정한 분석 또는 결합 등에 의해 재식별 가능성이 존재할 수 있다. 이러한 상황하에서 보건의료 빅데이터의 경우 기존의 개인정보보호 원칙을 고수하기 보다는 상황에 맞게 융통적·합리적으로 적용하는 것이 필요하다. 미국 백악관 보고서에 의하면 전후사정 내지 맥락(context)의 중요성을 고려하여 빅데이터 활용을 통해 데이터 수집시에는 예상할 수 없었던 방식으로 변할 수 있다는 것을 인정하며 데이터를 전후 사정에 적절하게 사용함으로써 소비자에게 혜택을 제공하여 혁신의 원천을 제공하며, 기업에게는 융통성을 제공할 수 있다고 제안하고 있다. 뿐만 아니라 개인정보보호법 내 비식별화 및 재식별에 대한 명확한 기준이 필요할 것으로 보인다. EU GDPR처럼 개인정보보호원칙이 배제되는 익명정보와 일정한 조치하에 공익적 목적으로 사용가능한 가명정보의 구분, 미국의 HIPPA의 전문가 결정방식과 세이프하버(Safe Harbor)처럼 비식별화 방식의 구체적인 제시가 필요하다. 결국 보건의료 빅데이터의 활용에 있어서는 개인정보 주체를 보호하고 기술활용에 따른 보건의료 기술 발전 및 치료법 개발 등의 공공적 혜택을 누릴 수 있도록 하는 것은 개인정보보호원칙이 어떻게 적절하게 적용할 것인가 여부에 달려있으며, 에스토니아 사례에서 보듯이 정부 주도의 효율적 시스템 도입과 법제 개정을 통하여 투명성이 보장된 시스템을 기반으로 블록체인 등의 신기술을 활용하여 국민의 의료정보를 보호함과 동시에 보건의료 빅데이터의 효율적 활용을 고려할 필요가 있다.