우려하던 사태가 터졌다. 개인의 질병정보 및 건강정보를 취급하는 기업들이 이를 활용해 불법적인 이득을 취한 사실이 밝혀졌다. 개인정보범죄 정부합동수사단은 지난 2015년 7월 23일 환자 개인정보 및 질병정보를 병원과 약국으로부터 불법 수집해 판매한 ‘SK텔레콤’, ‘지누스’, ‘약학정보원’, ‘IMS헬스코리아’ 네 곳의 관계자 24명을 기소했다고 밝혔다. 검찰 발표에 따르면, 이들 네 곳은 약 4,400만 명, 약 47억 건에 달하는 환자 개인정보 및 질병정보를 병원과 약국으로부터 불법으로 수집해 판매함으로써 122억 3천만 원의 이익을 챙겼다고 한다.
이와 같은 사태는 충분히 예견되던 것이다. 이명박, 박근혜 정부가 신성장 동력으로 정보통신산업과 의료 혹은 건강산업과의 융합을 거론한 이후, 이와 관련된 시장은 빠르게 커져 갔고 부작용을 막기 위한 관련 규제는 더디거나 뒷걸음질 쳐 왔다. 의료와 정보통신기술의 융합이 국민들에게 해만 끼치는 것은 아니다. 하지만 적절히 규제되지 않을 경우 크나큰 손실과 해악이 있을 수 있다. 가장 대표적인 것이 관련 서비스의 안전성, 개인의 질병/건강 정보 유출로 인한 개인의 프라이버시 침해, 정보의 상업적 오남용이다. 제대로 된 정부라면 이런 부분을 우선적으로 검토하며 정책을 추진해야 한다. 그런데 현 정부는 관련 산업을 키우는 데에만 혈안이 되어있고, 개인 질병/건강 정보 보호보다는 활용에 중점을 둔 정책이 추진되고 있다. 그 결과 SK 텔레콤 등의 불법적 개인 질병/건강 정보 활용 사건이 발생했다. 향후 재발 방지와 근본적 문제 해결을 위해서는 의료와 정보통신기술의 융합의 경제적 측면에 대한 고려에 앞서, 개인의 프라이버시와 인권, 안전을 먼저 고려하여야 한다.
질병/건강 정보 활용의 아킬레스 건, 정보 보안, 프라이버시 침해 문제
의료와 정보통신기술의 융합을 통해 환자의 건강을 향상시키고 의료 현장의 편의를 도모하며 비용도 절감할 수 있다면 그 방법을 마다할 이유는 없다. 하지만 이러한 시도가 거품에 불과할 뿐, 의료적 효용은 별로 없고 일부 관련 업체의 이윤만을 위한 것이라면 그것은 문제다. 그 과정에서 개인의 질병/건강 정보가 유출되어 프라이버시가 침해되고 본인의 의사와 상관없이 상업적으로 악용된다면 그 피해는 개인적으로나 사회적으로도 엄청나다.
의료와 정보통신기술의 융합에 의해 만들어지는 개인 질병/건강 정보는 매우 민감한 정보들인 경우가 많다. 예를 들어 환자 낙상을 예방하기 위해 가정에 설치된 센서는 환자가 개인적으로 행하는 가정생활 모두를 감시하고 관련 정보를 전송하게 된다. 환자와 가족과의 관계, 환자의 내밀한 내면생활 등이 여과 없이 기록되고 전송되는 것이다. 이러한 정보가 환자의 개인 정보 보호의 의무를 지고 있는 의료기관이 아니라 제3자, 심지어 상업적 이득을 목적으로 하는 회사에 전송된다고 생각해 보자. 이로 인한 부작용이 만만치 않을 것임은 쉽게 미루어 짐작할 수 있다.
더 큰 문제는 대부분 이와 같은 방식으로 생성된 질병/개인 정보에 대해서는 환자 개인이 그 정보에 대한 권리를 주장하기 힘들다는 점이다. 업체들이 다양하고 복잡한 약관이나 동의서의 형태로 개인의 정보 권리를 제약하기 때문이다. 그러므로 의료와 정보통신기술 융합으로 인해 새롭게 생성된 질병/건강 정보에 대한 자기 관리권이 상실될 수 있다는 큰 문제에 봉착한다.
정보의 표준화, 전송, 집적 등의 과정에서 이러한 민감한 개인 질병/건강 정보의 보안이 취약해질 수 있다는 것은 잘 알려진 사실이다. 아무리 데이터를 암호화하고 보안 수준을 높인다고 하여도 정보의 수집, 전송, 집적 과정에서 해킹의 가능성은 무궁무진하다. 소프트웨어나 하드웨어 수준에서도 가능하고 단말기를 다루는 사람을 통한 방식도 가능하다. 보안 수준이 높다는 국가의 정보기관 컴퓨터도 해킹될 수 있는 시대에 의료기관이나 관련 업체의 데이터 보안 수준으로 이러한 범죄를 100% 막을 방법은 없다.
개인 질병/건강 정보가 유출되거나 상업적으로 악용되었을 때, 그것이 개인과 사회에 미치는 영향은 지대하다. 개인의 질병/건강 정보는 가장 가까운 사람에게조차 숨기고 싶은 사생활의 영역이다. 예를 들어 성매개 감염병 치료에 대한 정보, 정신질환 치료에 대한 정보, 여성의 임신, 낙태 경험 등에 대한 정보가 노출되어 가족이나 직장 동료 등에게 알려지면, 그로 인한 개인의 피해는 막대할 수 있다. 특히 그러한 질병/건강 정보일수록 사회적 낙인이나 배제 효과를 동반하는 경우가 많아, 정보 노출로 개인이 고용상의 불이익이나 집단적 왕따를 당할 수 있다는 점에서 치명적이다. 관련 정보가 노출되어 민간의료보험 가입이나 급여 수급시 차별을 받을 가능성도 존재한다.
개인 질병/건강 정보 보안에 대한 신뢰 붕괴는 의료 시스템 전반을 위협할 수 있다는 점에서 이는 큰 사회 문제다. 진료 과정에서 환자와 의사간 솔직한 정보 교환은 효과적 의료를 위한 기본 전제다. 환자는 내가 내밀한 얘기를 해도 이 정보가 노출되지 않을 것이라는 확신이 있기 때문에 의사에게 많은 정보를 털어놓는다. 그런데 이러한 정보가 의료기관이 아닌 다른 곳에 집적되고 유출 위험에 노출되어 있다는 것을 알게 되면 어떻게 될까? 의사-환자간의 신뢰 관계가 무너지고 진료실 안에서 진실한 정보를 얻기 힘들어질 수 있다. 이는 신뢰를 기반으로 하는 의료 시스템의 총체적 붕괴로 이어질 수 있다.
개인의 동의 없이 혹은 형식화된 동의에 기반해 얻은 정보를 가공하고 이용하여 상업적 이득을 취하는 업체들이 많아질 것이라는 점도 문제다. 개인의 질병/건강 정보를 활용하여 새로운 상품을 개발하고 상품 관리의 효율을 높이려는 민간의료보험 회사, 맞춤형 의료기기나 건강관리 기기 등을 판매하려는 의료기기 회사, 건강식품이나 건강 기능 식품을 판매하려는 식품 회사 등은 이러한 정보를 활용하여 부당한 이득을 취하게 될 것이다. 이는 개인에게 속한 질병/건강 정보를 개인의 동의 없이 활용한다는 점에서 강탈이고 도둑질이다.
정부의 의료 정보화 정책은 정보 보안과 개인의 프라이버시 보호 측면에서 재검토돼야
누차 강조하다시피 의료 정보화는 긍정적 면만 있는 것이 아니다. 산업적 측면에서 긍정적 기능이 있을지 모르겠지만, 의료 측면, 인권 측면에서는 부정적인 영향이 적지 않다. 그러므로 이러한 부작용과 부정적 영향을 시뮬레이션하고 모니터링해서 이를 최소화하는 방향으로 정책이 추진되어야 한다. 질병/건강 정보의 특성상 그 부정적 영향이 개인과 사회, 의료 시스템 전반에 미치는 영향이 적지 않으므로 특히 주의가 필요하다.
그런 점에서 개인의 질병/건강 정보를 의료기관이 아닌 제3자가 생성, 취득, 저장, 활용할 수 있도록 하는 것과, 방대한 질병/건강 정보를 한 곳에 집적하려는 시도는 위험하다. 이와 같은 이유로 환자-의료인간 원격 진료 허용 정책은 재고되어야 하고, 클라우드 시스템을 활용한 의료 정보 솔루션 사용은 허용되어서는 안 된다. 기존에 존재하는 빅데이터 활용도 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 질병/건강 정보의 활용에 중점이 두어진 법제가 아니라 보호에 중점이 두어진 새로운 법제가 필요하다.
이상윤(건강과대안 연구위원) / 건치신문 2015년 8월 18일자