의료민영화저지와무상의료실현을위한운동본부(이하 본부)는 지난달 28일 개인정보보호위원회(이하 보호위원회)와 보건복지부가 공고한 「보건의료 데이터 활용 가이드라인」이 개인 의료정보를 상품화 한다며 이를 즉각 철회할 것을 촉구했다.
본부는 오늘(2일) 성명을 내고, 이 가이드라인(안)의 문제점을 조목조목 지적하는 한편, 개인정보보호법 및 의료법 위반 소지가 크다며 폐기할 것을 재차 강조했다.
본부는 “개인 의료정보는 개인정보보호법 제23조에서 ‘민감정보’로 규정돼 있으며, 이에 대한 처리를 엄격히 제한하고 있다”며 “산업계는 가명정보의 처리에 관한 특례가 민감정보에도 적용된다고 주장하는데, 이럴 경우 민감정보 보호를 별도 조항으로 보호하는 취지자체를 훼손하게 된다”고 비판했다.
이어 이들은 “만일 공공적 의료연구를 목적으로 개인정보를 활용할 필요가 있다면 법에서 그 허용범위와 절차를 명확히 규정하고, 그 규정이 없다면 보호위원회와 복지부가 정보주체 권리 보호 바향으로 해석하는 것이 합당하다”고 주장했다.
또 본부는 개인 의료정보가 개인정보보호법과 더불어 의료법으로도, 이중으로 보호다는 점을 지적하며, ‘가명처리해 환자식별이 없는 진료기록(정보)’를 의료법 적용이 안된다고 해석한 가이드라인은 전혀 근거가 없다고 꼬집었다.
이들은 “가이드라인에서는 ‘정보주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에 대해서는 본인 동의를 받아 활용을 원칙’으로 한다며 의료정보를 민감정보로 인지하고 있다”고 지적하면서 “그럼에도 환자 정보를 가명처리하면 의료법에 적용되지 않는다고 해석하는 것은 자기모순이고, 환자 정보주체 보호라는 부처의 의무를 외면하는 처사”라고 맹비난했다.
아울러 본부는 법령으로 규정할 사항들을 이 가이드라인으로 처리하고 있다며 비판을 이어갔다. 이들은 “정신질화 및 처방약 정보 등 정보 주체 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에 대해서는 본인 동의를 받아야 하고, 기관 내 ‘데이터 심의위원회’ 설치‧운영 등 개인정보를 민감정보로 정부는 인지하고 있다”며 “그러므로 법령에서 이를 명확히 규정해야 하는데 법령에 근거 없는 가이드라인만으로 민감 개인 의료정보 남용을 막기 힘들다”고 비판했다.
특히 본부는 정부가 개인 의료정보를 상업적으로 활용할 수 있도록 교묘히 원칙을 가이드라인 수준으로 격하시키고 있다고 규탄했다.
이들은 “당초 가명 정보 활용 목적외로 사용할 경우 원 개인정보처리자에게 고지할 것을 권고하고 있는데, 이는 권고사항이 아니라 준수해야할 원칙”이라며 “데이터분석 대행 또는 협력연구 등을 통해 익명정보 반출만으로 목적을 달성할 수 있을 경우 원 정보처리자가 이 작업을 수행할 것을 권장한다는 말 사실 당연한 원칙”이라고 비판했다.
이어 이들은 “가명정보 제공에 대한 대가 요구 금지 역시 권장 사항이 아니라 원칙”이라며 “이는 권장 형태를 취하고 있지만 시민사회가 지금까지 주장해온 바와 같이 사실상 개인정보 판매 허용을 고백한 것과 마찬가지”라고 맹비난했다.
또 가이드라인에 명시된 ‘가명정보 활용 예정이므로 동의 여부는 생명윤리법상 기관심사위원회(이하 IRB) 심의 및 동의 명제 대상이 될 수 있으나 면제 여부에 대해 IRB의 확인 필요’에 대해 본부는 “보호위원회와 복지부는 개인 의료정보 활용에 혈안이 돼 있다”며 “인간 대상 연구는 IRB 심사가 원칙이며, 가명/익명 처리는 당연히 취해야할 안전조치일 뿐이며 국제기준에도 부합한다”고 목소리를 높였다.
이 가이드라인에서는 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하면서, 정보주체에게 홈페이지 개시 등 공개적 방법으로 옵트아웃을 접수할 것을 요구하고 있다. 이에 본부는 “정보주체 권리는 당연히 보장받아야 하지만, 이는 동 가이드라인이 아닌 일반적인 ‘가명처리 가이드라인’에서 규정할 부분”이라며 “보건의료정보에만 정보주체의 옵트아웃 권리가 보장되는 것은 아니므로 보호위원회는 정보주체의 권리를 보호하지 않는 개인정보처리자를 강력히 규제해야 한다”고 촉구했다.
아래는 성명서 전문이다.
|
<공동성명> 개인 의료정보까지 상품화하나? 보건의료 데이터 활용 가이드라인 철회하라!
지난 8월 28일, 개인정보보호위원회와 보건복지부는 보건의료 데이터 활용 가이드라인(안)을 공개하고 의견수렴을 받고 있다. 그러나 이 가이드라인(안)은 개인 의료정보를 불법적으로 활용, 공유, 결합, 판매하는 것을 허용하는 문제가 있다. 국민의 민감한 의료정보를 보호해야 할 개인정보보호위원회와 보건복지부가 오히려 의료정보의 상업적 활용을 부추기는 가이드라인(안)을 만든 것을 규탄하며 이를 즉각 철회할 것을 촉구한다. 첫째, 개인 의료정보는 개인정보보호법 제23조에서 규정하고 있는 ‘민감정보’이며, 민감정보는 정보주체의 별도의 동의를 받거나 법령에서 허용하는 경우 외에는 그 처리를 엄격하게 제한하고 있다. 가명처리는 ‘개인정보’의 처리이며, 가명정보 역시 개인정보라는 점에서 가명처리를 했다고 제23조를 적용하지 않을 이유가 없다. 산업계는 제3절 가명정보의 처리에 관한 특례가 민감정보에도 적용된다고 주장하나 이렇게 될 경우 민감정보의 보호를 별도의 조항으로 두어 보호하고 있는 취지 자체를 훼손하게 된다. 만일 공공적인 의료 연구를 목적으로 개인정보를 활용할 필요가 있다면 법에서 그 허용범위와 절차를 명확하게 규정할 필요가 있다. 현재 명확한 규정이 없는 상황에서는 보호위원회와 보건복지부는 정보주체의 권리를 보호하는 방향으로 해석하는 것이 합당하다. 둘째, 개인정보보호법에 대한 해석과 별개로, 개인 의료정보의 경우 의료법으로도 보호되고 있다. 의료법에서는 환자들의 개인 의료정보를 환자가 아닌 다른 사람에게 열람하게 하거나 제공하지 못하도록 하고 있다(21조). 그런데 가이드라인(안)은 ‘가명처리하여 환자식별력이 없는 진료기록(정보)’에는 의료법이 적용되지 않는다고 해석하고 있다. 그러나 가명정보 역시 개인정보라는 점에서 이러한 가명처리된 진료기록에는 의료법이 적용되지 않는다는 해석은 아무런 근거가 없다. 그러면서도 가이드라인(안)은 “정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에 대해서는 본인 동의를 받아 활용을 원칙”으로 한다고 하고 있다. 보호위원회와 보건복지부 역시 개인 의료정보가 환자들의 인권을 위협할 수 있는 민감한 개인정보로 인지하고 있다. 그럼에도 불구하고 가명처리하면 의료법이 적용되지 않는다고 해석하는 것은 자기모순일 뿐만 아니라 환자 정보주체 보호라는 부처의 의무를 외면하는 처사이다. 셋째, 가이드라인(안)은 법령에서 규정해야 할 사항들을 가이드라인으로 처리하고 있다. 예를 들어, △ 정신질환 및 처방약 정보 등 정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에 대해서는 본인 동의를 받아 활용을 원칙으로 하고 있고, △ 기관 내에 「데이터 심의위원회」를 설치・운영하도록 하고 있다. 개인 의료정보의 경우 정보주체의 인권에 치명적인 영향을 줄 수 있음을 보호위원회 및 보건복지부 역시 인지하고 있는 것으로 보인다. 그렇기 때문에 법령에서 명확하게 규정해야 한다. 법령에 근거없는 가이드라인만으로는 민감한 개인 의료정보의 남용을 막기 힘들다. 넷째, 가이드라인(안)은 개인정보 보호원칙을 권고 수준으로 격하하고 있다. 예를 들어, “가명정보를 최초 제공받을 당시 원 개인정보처리자에게 밝힌 목적(X) 외의 목적(Y)으로 처리할 경우 원 개인정보처리자에게 고지할 것을 권장”하고 있는데, 개인정보의 목적 내 처리는 권고 사항이 아니라 준수해야 할 원칙이다. 또한, “데이터 분석 대행 또는 협력연구 등을 통해 익명정보 반출 만으로도 목적을 달성할 수 있을 경우 원 개인정보처리자가 이러한 작업을 수행할 것을 권장”하고 있는데, 익명정보로 목적을 달성할 수 있는 경우 익명정보를 활용해야 하는 것 역시 권장 사항이 아니라 반드시 준수해야 할 원칙이다. 한편, “가명정보 제공에 대응되는 대가를 받는 것은 금지되지 않으나, 사회적인 통념 등을 고려할 때 과도한 데이터 활용 대가는 지양 할 것을 권장”하고 있는데, 이는 권장의 형태를 취하고 있지만 시민사회가 지금까지 주장해온 바와 같이, 사실상 개인정보의 판매를 허용하고 있음을 고백한 것이나 다름없다. 다섯째, 가이드라인(안)은 “가명정보를 활용할 예정이므로 동의 여부는 생명윤리법상 기관심사위원회(IRB) 심의 및 동의 면제 대상이 될 수 있으나 면제 여부에 대해 IRB의 확인 필요”라고 하고 있는데, 이를 보더라도 보호위원회와 보건복지부는 개인 의료정보의 활용에 혈안이 되어 있는 듯하다. 인간대상 연구는 기관심사위원회의 심사가 원칙이며, 가명/익명처리는 당연히 취해야 할 안전조치일 뿐이다. 이것이 국제적인 원칙에도 부합한다. 여섯째, 가이드라인(안)은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하면서, 정보주체에게 홈페이지 개시 등 공개적인 방법으로 가명처리정지요구를 접수해야 하고, 요구를 받은 정보주체의 정보는 가명처리의 대상에 포함시키지 말아야 한다고 규정하고 있다. 정보주체의 권리는 당연히 보장받아야 하지만, 이는 동 가이드라인이 아니라, 일반적인 ‘가명처리 가이드라인’에서 규정해야 할 부분이다. 보건의료 정보에만 정보주체의 이 권리가 보장되는 것은 아니기 때문이다. 보호위원회는 정보주체의 권리를 보호하지 않는 개인정보처리자를 강력하게 규제해야 한다. 이번 가이드라인(안)은 개인 의료정보를 비롯한 민감정보 역시 가명처리하면 기업들이 판매, 공유, 결합할 수 있도록 허용하고 있으며, 이는 개인정보보호법 및 의료법 위반의 소지가 큰 만큼 폐기되어야 마땅하다. 또한 정보주체의 권리 보호를 최우선 원칙으로 정책을 수립할 것을 보호위원회와 보건복지부에 촉구한다.
2020년 9월 2일 건강과대안, 경실련, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹 의료민영화 저지와 무상의료 실현을 위한 운동본부 가난한이들의 건강권확보를 위한 연대회의, 건강권실현을 위한 보건의료단체연합(건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 건강세상네트워크, 대전시립병원 설립운동본부, 한국의료복지사회적협동조합연합회, 건강보험하나로시민회의, 전국민주노동조합총연맹, 한국노동조합총연맹, 전국보건의료산업노동조합, 전국공공운수노조, 국민건강보험노동조합, 전국의료산업노동조합연맹, 전국농민회총연맹, 한국농업경영인중앙연합회, 전국여성농민회총연합, 전국여성연대, 빈민해방실천연대(민노련, 전철연), 전국빈민연합(전노련, 빈철련), 노점노동연대, 참여연대, 서울YMCA 시민중계실, 천주교빈민사목위원회, 참교육을 위한 전국학부모회, 평등교육 실현을 위한 전국학부모회, 사회진보연대, 노동자연대, 장애인배움터 너른마당, 일산병원노동조합, 학교급식전국네트워크, 약사의미래를준비하는모임, 성남무상의료운동본부, 건강보험심사평가원노동조합, 전국정보경제서비스노동조합연맹 |
