<디지털 헬스케어 및 보건의료데이터 활용에 관한 법률안(신현영 의원 대표발의)>, <디지털 헬스케어 진흥 및 보건의료데이터 활용 촉진에 관한 법률안(강기윤 의원 대표발의)>(이하 약칭 ‘디지털 헬스케어법안’)이 국회 보건복지위 법안심사 소위에 상정되었습니다.
이 법은 ‘의료·건강정보 민영화법’입니다. 기업이 개인 건강정보와 의료정보를 환자의 동의 없이 가명처리해서 활용할 수 있도록 허용하고, 개인의 건강정보와 의료정보를 기업 등 제3자에게 전송할 수 있도록 하는 내용 등을 담고 있습니다. 이는 시민사회가 반대했던 데이터 3법 등 ‘개인정보 도둑법’의 적용 범위를 보건의료 영역으로까지 확장하는 것입니다.
개인정보보호법이 개정되었지만 여전히 기업들이 개인의 건강‧의료정보를 상업적으로 마음껏 활용하기 어려운 이유는, 건강‧의료정보는 여전히 보건의료 관련 특별법의 적용 대상이고 개인정보보호법에 우선하기 때문입니다. 현행 의료법, 약사법, 국민건강보험법은 의료기관과 약국, 건강보험공단과 심평원 등에 있는 환자의 의료·건강정보를 누군가 함부로 유출하거나 목적 외로 제3자에게 제공하거나 열람하게 하지 못하도록 금하고 있습니다. 이는 최소한의 안전과 인권을 위한 규제입니다. 이를 허물려는 것이 디지털헬스케어법안입니다.
또 강기윤 의원 법안에는 규제샌드박스 관련 조항들이 있습니다. 규제샌드박스는 충분한 검증 없이 의료기술을 환자에게 적용하는 것으로 생명과 안전에 대한 책임 포기입니다. 안전보다 이윤을 우선하는 이런 규제완화는 보건의료 영역에서는 특히나 적용되어선 안 됩니다.
각각이 모두 심각한 이와 같은 내용들을 한 법에 담고 있는 디지털헬스케어법안은 결코 통과되어서는 안 됩니다. 노동‧시민사회단체들은 심각한 이 의료민영화 법안 폐기를 요구하는 의견을 제출합니다.
2023. 11. 17.
의료민영화 저지와 무상의료 실현을 위한 운동본부
1. 개인 동의 없는 가명처리 의료·건강정보의 활용의 문제점
가명정보는 “추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는” 정보로, 다시 말하면 추가 정보가 있으면 재식별이 가능한 정보임. 특히 의료·건강정보는 다른 정보와 결합될 경우 그가 누구인지 찾아내기가 쉬운 정보이며, 가장 민감한 정보에 해당함. 이런 의료·건강정보를 개인 동의도 없이 기업들이 주고 받고, 사고 팔고, 결합해 활용할 수 있도록 하면 심각한 문제를 일으킬 수밖에 없음.
알츠하이머나 우울증 같은 정신질환, 성매개 감염, 임신과 분만, 자연유산과 인공유산, 성폭력 피해 정보 등이 사고 팔린다면? 이런 의료·건강정보는 치명적일 수 있고, 예컨대 보이스피싱 등 범죄에 활용될 때도 그 어느 정보보다도 문제를 일으킬 수 있음. 특히 유전자 정보는 개인에 대한 근본적 정보이고 내 부모와 자손과도 관계가 있음.
IMS헬스 사건은 디지털헬스케어법의 단적으로 보여줌. ‘한국 IMS헬스’라는 회사는 2011년부터 2014년까지 국민의 88%인 4399만 명의 가명 의료정보 47억 건을 사들여 재가공한 후 국내 제약사에 되팔아 80억원을 챙겼음. 그들은 가명처리를 해서 안전하다고 주장했으나, 2015년 하버드대학교 연구팀이 IMS에 제공된 것과 유사한 방식으로 암호화된 한국인 처방전 데이터의 주민번호를 손쉽게 전부 해제해서 논문으로 발표하기도 했음. 한국 IMS에 의료정보를 판매한 곳은 각각 건강보험 청구 프로그램을 운영하던 ‘지누스’와 ‘약학정보원’이었음. 약학정보원은 이렇게 수집한 정보 중 주민등록번호, 처방일, 질병 이름, 약값 등 최소 23가지를, 지누스는 환자 이름, 주민번호, 의료보험증번호, 진료 정보, 처방 내역 등 최소 13가지를 판매했음. 우리도 모르는 사이 가장 민감한 의료정보가 외국계 기업에 팔려나간 것임. 이 사건은 당시엔 큰 파장을 불러왔고 오랜 법정 공방이 이어졌으나, 만약 앞으로 디지털헬스케어법이 통과되면 이런 일은 합법적으로 쉽게 일어날 것임.
의료·건강정보를 가장 탐내는 기업은 바로 민간보험사임. 지금도 민간보험사들은 데이터 3법 통과를 법적근거로 건강보험심사평가원에 있는 국민의 의료·건강정보를 제공받아 왔음. 공공기관인 심평원은 지난해 국정감사에서 드러난 바, 지난 몇 년간 10개의 민간보험사에게 10년치의 전체 환자 표본(최소 100만명)의 데이터를 전송했음. 공보험인 건강보험 업무를 위해 환자가 제공한 정보를 사보험의 돈벌이를 위해 팔아넘긴 것임. 이는 지금까지는 법적 근거가 미흡한 것이지만, 디지털헬스케어법안이 통과되면 이는 완전히 합법이 됨.
보험연구원은 이처럼 보험사가 가명정보를 수집하면 ‘언더라이팅’에 활용하기 쉬워진다며 반색하고 있음. 언더라이팅은 가입자를 선택하고 등급을 매기는 것임. 예를 들어 고혈압이 있어 심혈관계 주요 합병증 위험이 높은 사람이 있으면 보험사는 그의 보험료를 인상하거나, 위험이 높은 질환에 대해선 보장을 거부하거나, 보험가입 자체를 거절하는 것임. 미국 보험사들은 진료・처방 정보 뿐 아니라 신용카드 개수, 연체기록, 부채기록, 부동산 및 기타 대출기록, 중죄 및 유죄판결 기록, 전문 라이선스 등을 담은 공공기록, 그리고 사고기록, 속도위반이나 음주운전 이력 등의 운동기록 데이터를 결합해 개개인의 사망률을 계층화함. 한국의 보험사들도 이런 일을 하려는 것임.
이처럼 의료·건강정보를 가명화해서 기업들이 서로 공유하는 것은 이들이 부추기는 환상인 ‘디지털 기술 혁신’ 등과는 관계가 없음. IMS헬스 사건에서 팔려나간 개인정보는 결국 제약사가 의사 리베이트에 활용하는 근거가 됐고, 민간보험사들도 수집한 환자 정보를 이용해 국민 개개인을 감시해서 점수를 매기고 건강과 사망 위험을 계층화해 더 많은 이윤을 뽑아내려는 의도가 있을 뿐임. 민감한 보건의료 정보를 기업에 넘기는 것은 그것이 제아무리 안전하게 활용된다 해도 개인에 대한 기업의 통제권과 권력 격차만을 심화시키는 것으로 시민의 권리와 인권을 현저히 침해하는 것임.
2. 개인의료정보 기업 등 제3자 전송 허용(‘마이데이터’)의 문제점
이는 의료 분야 ‘마이데이터’를 허용하는 내용임. 의료기관에 쌓여있는 진료기록·상담기록·의료영상 등의 진료정보, 웨어러블 기기를 통해 수집되는 개인건강정보, 건강보험공단과 심평원 등 공공기관 정보를 민간 기업에 넘길 수 있도록 허용하는 것임.
물론 동의에 기반한다고 하지만, 기업과 개인 간 정보와 권력 격차가 큰 사회에서 ‘개인의 동의’라는 것은 매우 취약할 수밖에 없다는 것은 주지의 사실임. 정보 처분을 단순히 시장의 개인에게 맡겨버리는 것은 대안이 될 수 없고 공적 보호와 규제가 필요한 이유임. 정부는 클릭 한 번에 수많은 민감정보들이 기업에 넘어가는 것을 막아야 하고 오히려 정보를 잘 보호할 수 있도록 제도적 장치를 만들어야 함. 그러나 거꾸로 디지털헬스케어법이 통과된다면 그런 최소한의 보호장치들은 무너지게 됨. 현행 의료 관련 법률들은 아무리 동의해도 민간기업이 건강‧의료정보를 바로 건네받지 못하도록 금지하고 있는데, 디지털헬스케어법은 이런 법률들을 무력화는 것임.
실손보험 청구간소화로 알려진 보험업법 개정안은 민간보험금 청구 편의를 빌미로 의료기관 개인정보를 민간보험사에게 데이터베이스화된 형태로 자동전송하는 내용이었음. 이는 많은 환자들과 시민들이 반대했던 사안임. 그런데 이 ‘마이데이터’는 실손보험금 청구 하나에 그치지 않는 문제임. 모든 의료와 건강 관련 정보들을 클릭 한번에 기업에 자동전송 가능케 하는 내용으로 훨씬 더 방대한 문제와 정보인권 침해를 낳을 수 있는 문제임. 이미 정부는 ‘건강정보 고속도로’를 뚫겠다고 하면서 각기 흩어진 이런 수많은 정보들을 한 데 모을 수 있는 플랫폼도 만들고 있음.
정부는 환자 편의를 앞세우지만, 실제로는 ‘건강관리’ 앱을 운영하는 기업들, 특히 민간보험사들에 정보를 넘기기 위한 것임. 정부는 시민들의 정보를 기업에 넘기기 위한 이런 플랫폼 마련에 우리의 막대한 세금도 들이고 있음. 민간보험사가 건강관리서비스 상품을 판매하는 것은 미국식 의료민영화인 를 위한 초석임. 정부는 ‘비의료 건강관리서비스’를 민간보험사들에게 허용하려고 시범사업을 하고 있는데, 이것의 핵심은 민간보험사가 직접 만성질환 관리와 치료를 할 수 있도록 허용하는 것임. 영리기업의 의료행위를 사실상 합법화하는 것으로 영리병원 허용과 비슷한 결과를 낳을 정책임. 민간보험사들이 건강관리부터 시작해 치료까지 직접 하는 것은 미국에서 민간보험사가 주도하는 민영화의 핵심 경로임.
3. 규제샌드박스의 문제점 (강기윤 의원 법안에 해당)
규제샌드박스는 제품 출시 전 기존 법규에 따른 충분한 검증을 거치지 않고, 우선 출시를 허용하고 사후에 규제하겠다는 정책을 일컫는 것임. 이는 생명과 안전에 대한 책임 포기로, 전 시민사회가 오랫동안 규탄해왔던 것임.
이 법안은 이를 ‘디지털 헬스케어 서비스’에 적용하겠다는 것임. 이 법에서 디지털 헬스케어 서비스는 의료법에 따른 의료행위, 약사법에 따른 조제 판매 및 복약지도행위, 국민건강증진법에 따른 건강관리, 생명윤리법에 따른 유전자검사 등을 망라하는 것임. 가장 충분히 검증되고 신중히 적용되어야 할 의료기술에 이런 규제완화를 적용하는 것은 매우 위험천만한 일임.
기업이 스스로 판단해서 허가법령에 기준·규격·요건이 없거나 적용하는 것이 맞지 않다고 보면 ‘임시허가’를 신청할 수 있고, 임시허가가 되면 정식 허가절차 없이 최대 4년간 제품을 의료현장에 적용할 수 있게 됨. 또 기업이 현장 직접 성능 검증을 하기 위해서 규제의 전부나 일부를 적용하지 않는 ‘실증특례’를 신청할 수 있고 이 역시 최대 4년간 할 수 있음.
인공지능과 빅데이터 등을 활용한 디지털 헬스 기술들은 대체로 연구가 충분치 않아 전통적 규제장벽을 통과하지 못하고 있음. 해결책은 기업들이 더 많이 연구해서 안전과 효용을 증명하는 것임. 그런데 많은 기업들은 디지털 헬스의 예외성을 강조하면서 기존 규제를 회피해 돈벌이를 하려고 함. 하지만 디지털 헬스 기술은 다른 의료기술과 근본적으로 다르지 않음. 제대로 된 안전과 효과를 입증해야 환자에게 쓸 수 있다는 것은 모든 의료기술에 적용되어야 할 근거중심 의학의 근간임.
규제샌드박스 같은 시도들이 성공한다면 검증되지 않은 의료기술이 ‘진료’의 이름으로 환자에게 쓰이고, 환자들은 실험대상이 되면서도 비용을 부담하게 될 것임.