데이터심의위 등 법적 근거 명확성 확보 및 환자 선택권 보장 등 제언
[의학신문·일간보사=이승덕 기자]의료데이터 활용에 있어 아직까지 의료법과 개인정보보호법, 생명윤리법 등 다양한 관련법이 법령간 모순이 발생하는 것으로 지적됐다.
이를 위해 해석상 혼동이 발생하지 않도록 법적 근거를 명확히 하고, 현재 부재중인 환자 동의에 관한 규정도 보장해야 한다는 주장이다.
인벤티지랩 최미연 변호사<사진>는 9일 보건복지부‧한국보건의료정보원 주최로 열린 제4차 보건의료데이터 혁신 토론회에서 보건의료데이터 국내 법제도 현황을 설명하면서 문제점을 분석했다.
최미연 변호사는 “보건의료데이터와 관련해 많은 개별법령들이 산재한 상황으로 각 법령간 문제가 발생하고 있다”라며 “데이터심의위원회에 대한 법적 근거, 환자의 개인정보자기결정권 등 보장의 문제도 있다”라고 짚었다.
발표에서는 의료데이터 관련 다양한 법령 중 의료법과 개인정보보호법, 생명윤리법 간 부딪히는 부분을 확인했다.
주요 내용을 보면, 과학적 연구 등 목적의 가명처리를 위해 의료정보를 교부할 때는 의료법과 개인정보보호법이 충돌한다.
의료법에서는 연구 목적의 의료정보 제공 규정은 존재하지 않기 때문에 가명처리에서 개인정보호법(가명처리 특례)이 적용되는 경우 의료법을 배제하게 된다. 반면, 여전히 의료법이 우선 적용된다면 사실상 의료정보에 대한 가명처리가 불가능해지는 문제가 발생한다.
보건의료데이터 활용가이드라인에 따르면, 이 경우 의료법이 우선 적용되는데, 가명처리 해 환자식별력이 없는 진료기록정보에는 예외적으로 정보활용이 가능해진다.
그러나 가이드라인에도 불구하고 두 법상 해석상 모호한 점은 여전하다. 가명처리를 위해 실명 환자 기록을 의료기관내 데이터 부서에 제공 또는 의료기관 외 제3자에 가명처리 위탁을 하는 경우 어느 법이 우선 적용되는지, 가명처리 과정(또는 전처리 과정)에서 실명정보와 가명정보가 혼합돼 보관되는 경우는 법적 근거가 없다.
의료정보에 대한 제3자 제공 항목에 대해서는 생명윤리법과 개인정보보호법이 부딪혀 해석이 어려운 부분이 발생한다.
유권해석을 통해 인간대상연구에 이용된 의료정보의 경우 IRB 심의와 연구대상자의 동의를 면제할 수 있게 됐지만, 실제로는 생명윤리법 제15조와 같은 법 시행규칙 제13조는 IRB 면제의 근거가 될 수 있을 뿐 동의 면제의 근거가 되기 어려운 한계가 존재해 유권해석만으로는 충분한 근거가 될 수 없다는 것이다.
최미연 변호사는 “보건의료데이터 영역의 경우, 민감정보라는 특성을 고려하면서도 민간 데이터 플랫폼을 위한 준비 또는 현행 공공 데이터 플랫폼 제도의 안착을 위한 법령 체계분석 및 정합성 확보 방안 마련이 필요하다“라고 말했다.
이어 “유권해석에 의존해 문제를 해결한다면 개별 해석례에 따라 모순된 결과가 발생해 행정 낭비를 초래한다”라며 “유권해석과 사법부 해석이 불일치할 경우 법을 지켜야하는 수범자(受範者)에게 혼란을 주고 관련 제도 시행 어려움을 유발할 수 있기 때문에 ‘의료정보 보호‧활용을 위한 법령이 마련돼야 한다”고 진단했다.
데이터심의위원회의 경우, 위원회 설치‧운영의 의무가 가이드라인에 규정돼 있지만 권고사항에 불구해 법규적 효력이 미비해 법령상 근거가 필요하다고 지적됐다.
또한 심의기준이 의료기관마다 달라질 가능성이 있어 데이터 제공에 일관성이 없고, 예측가능성 낮아질 우려가 있어 일관성 있는 심의기준 마련을 위한 심의기준 규정이 요구되는 상황이다.
환자 개인정보자기결정권에서는 의료데이터 가명처리 이전에 환자에게 정보동의를 거부하는 옵트아웃(Opt-out) 권리를 부여하는 규정은 존재하지 않는 상황인데, 일본, 영국, 호주 등 외국에서는 이러한 규정이 존재하고 있어 법제도를 검토해 도입해야 한다는 입장이다.
일본은 의료정보 제공 시 본인 또는 유족에게 사전통지하고 제공중단을 요구할 권리가 있으며, 호주의 경우에는 정보 주체가 데이터 내용의 범위와 열람대상자를 설정할 수 있도록 규정하고 있다.
최미연 변호사는 “보건의료데이터 특성을 고려하면서도 각 개별 법령간 모순과 모호함을 제거하는 방향의 입법조치가 필요하다”라며 “데이터심의위원회의 법적 근거와 성격도 명확히 정립해야 한다”고 제언했다.
이어 “합법적 테두리안에서 데이터 활용이 이뤄질 것이라는 신뢰 확보를 위해서는 법적 근거의 명확성을 확보하고, 옵트아웃 권리 등 환자의 선택권을 보장해야 한다”고 덧붙였다.