정밀의학 발전을 위해서는 수많은 의료데이터 분석이 우선돼야 하지만, 의료정보 활용에 대한 사회적 논의가 충분히 이뤄지지 않고 있으며 개인의료정보 활용의 법적 근거가 불확실하다는 지적이 제기됐다.

지난 4일 오후 2시 국회의원회관 제9간담회실에서 '4차산업혁명 시대, 의료정보의 활용과 보호 개선방안' 주제로 개최된 정책토론회에서 가톨릭의대 최인영 교수가 발제를 맡았다.

미국임상종양학회(ASCO) 자료(2014)에 의하면, 인공지능 프로그램 왓슨(Watson)의 실력이 전문의사를 능가하는 것으로 나타났다. 왓슨이 제시한 암 치료법의 정확도는 대장암 98%, 방광암 91%, 췌장암 94%, 신장암 91%, 난소암 95%, 자궁경부암 100%이다.

최인영 교수는 "왓슨 포 온콜로지(Watson for Oncology)는 국내의 많은 병원에서 도입할 예정의 프로그램으로, 환자의 동의를 받은 데이터들을 익명화 작업을 거쳐 입력하면 왓슨 알고리즘이 환자에게 알맞은 치료 방법을 제시한다. 이를 바탕으로 의사는 환자와 의견을 주고받게 된다."라면서, "환자들도 '왓슨도 그렇게 얘기했냐'면서 컴퓨터가 뭐라 했는지를 궁금해한다. 이제 의료는 컴퓨터에서 벗어날 수 없는 환경으로 변화했다."라고 말했다.

최 교수는 "예전에는 동일 질병의 환자들에게 동일한 약을 처방한 후에 효과가 없으면 약을 바꾸는 방법으로 치료를 했다. 그런데 앞으로는 정밀의료로 변화하면서 환자 유전체 정보, 병력 · 가족력, 생활습관 · 환경, 질병 증상 등의 개인 데이터를 고려해 환자를 카테고리별로 분류하여 맞춤약과 치료법을 처방하게 된다."라면서, "이를 실현하기 위해 갖춰야 할 전제조건이 있다. 충분한 양의 데이터를 확보해야 한다는 거다. 또 하나는 단일 기관의 데이터만 쓸 수 없다는 것이다. 다기관 데이터가 필요하다."라고 말했다.

정밀의학이 성공하기 위해서는 충분한 양의 데이터 확보, 개방적 데이터 플랫폼 구축, 유전체 분석 비용 절감, 일관된 정책 지원, 적정 수준 규제 형성, 검사 정확도 향상 등이 필요하다.

인공지능(AI, Artificial Intelligence)과 데이터 마이닝(Data mining)이 필요한 이유에 대해 최 교수는 "기존 통계 방법으로는 많은 양의 데이터를 처리하기 어렵다. 인공지능은 정확도가 훨씬 높다."라면서, 대용량의 데이터로부터 유용한 정보를 추출해 이해하기 쉬운 형태로 변환하고, 저장된 데이터에서 정보, 지식, 규칙, 패턴, 특성을 추출하며, 이들로 인해 이전에 알지 못했던 패턴의 자동 인식이 이뤄진다고 설명했다.

최 교수는 "4차산업혁명 시대에서 의료서비스가 변화하기 위해서는 다기관 빅데이터가 필수적으로 필요하다. 병원과 국가에 저장된 다양한 의료 데이터의 연계와 활용이 필요하다."라면서, "그런데 개인정보보호법, 정보통신망법 등 여러 법에서 개인정보 정의 등이 모호하고 정확하지 않기 때문에 혹여나 문젯거리가 될까봐 연구를 주저하는 전문가들도 있다. 산업적 측면을 활성화하기 위해 관련 법규에 대해 다시 고민할 필요가 있겠다고 생각했다."라고 말했다.

최 교수는 토론 주제를 ▲'모든 의료 정보는 개인정보인가?', ▲'의료정보 중 어떤 정보를 어떻게 비식별화해야 하는가?', ▲'의료정보의 익명화는 누가 수행하고 어떻게 승인할 것인가?'로 정리했다. 

개인정보보호법 제2조 제1호에서 개인정보는 '살아있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보를 포함한다'라고 규정돼 있다. 정보통신망법 제2조에서 개인정보는 '생존하는 개인에 관한 정보로서 성명 · 주민등록번호 등에 의해 특정한 개인을 알아볼 수 있는 부호 · 문자 · 음성 · 음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합해 알아볼 수 있는 경우에는 그 정보를 포함한다)'라고 규정돼 있다.

최 교수는 "개인정보의 정의가 모호하다. 이게 마치 개인정보가 아니라 개인식별정보를 의미하는 것 같다는 생각이 들었다."라고 말했다.

생명윤리 및 안전에 관한 법률에서는 개인식별정보를 '연구대상자와 배아 · 난자 · 정자 또는 인체유래물의 기중자의 성명 · 주민등록번호 등 개인을 식별할 수 있는 정보를 말한다'로, 개인정보를 '개인식별정보, 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보'로 분리해서 규정하고 있다.

상기 법안들을 기초로 보건복지부에서 2012년 9월에 발표 · 보급한 '의료기관 개인정보보호 가이드라인'에는 개인 식별자(개인정보의 범위)가 '이름, 주민등록번호 등과 같이 하나의 특정된 사항으로 개인식별을 가능하게 하는 정보'로 정의돼 있다. 최 교수는 "개인식별정보와 개인식별자가 거의 같은 의미로 쓰인다. 개인에 관한 모든 정보가 개인정보라 나와 있는데, 개인식별정보인지 아니면 개인정보인지 개념이 모호하다."라면서, 개인식별정보와 개인정보를 분리해야 한다고 했다.

미국의 경우 의료기관 개인정보 보호의 필요성을 느끼고 1996년에 제정해 2003년에 발효한 'HIPAA Privacy Rule'이 있다. 최 교수는 "우리나라에서 개인정보보호법이 나오기 전에 HIPAA 참조를 많이 해야 했다. 이 법에서는 의료정보 사용 기관이 민감건강정보(Protected Health Information, PHI)를 무단으로 공개 · 사용 · 접근하는 것을 방지하기 위해 개인정보의 범위, 취급방법, 사용 절차와 방법론에 대해 상세하게 기술하고 있으며, 보건의료 연구를 수행하기 위해 익명화돼야 할 정보들에 관해 규정하고 있다."라고 설명했다.

HIPAA에서는 PHI(Personal Health Information, 개인건강정보)를 이름, 주소 등 18개 항목으로 정확히 정의하고 있다. 최 교수는 "PHI 중 주소와 날짜를 주의 깊게 봐야 한다. 나머지 항목은 기관에서 정의한 다른 식별자를 쓰면 상관없게 되는데, 주소의 경우 인구 2만 명을 기준으로 할 경우 그 이하는 삭제하고, 그 이상은 쓸 수 있다. 날짜의 경우 연월일은 PHI에 해당돼 쓸 수 없지만, 년도 단위는 쓸 수 있다."라고 설명했다.

최 교수는 의료정보 중 식별이 가능한 정보를 HIPAA PHI 수준으로 정의하고, 나머지 의료정보는 개인정보가 아닌 것으로 정의하는 등 개인식별정보와 의료정보를 구분해야 한다고 했다. 

의료법에서 의료정보는 '의사 또는 그 지휘감독하에 있는 의료종사자가 취득한 환자의 신체상황, 상병, 치료 등에 관한 정보'로 정의돼 있다. 이를 좀 더 구체적으로 살펴보면 의료정보에는 이름 · 환자번호 · 생년월일 등의 개인정보, 성별 · 나이 · 주소 등의 인구학적 정보, 키 · 몸무게 · 처방 등의 의료정보가 포함돼 있다.

한편, 익명 · 가명 · 비식별화와 관련된 법률 중 EU GDPR 제4조를 살펴보면, 가명처리를 '어떠한 정보(개인정보)가 추가적인 정보를 사용하지 않고서는 더 이상 개인정보 주체를 특정할 수 없도록, 그 개인정보를 처리하는 것으로서, 개인정보가 식별되거나 식별될 수 있는 자연인을 특정하지 않도록, 추가적인 정보를 별도로 보관하고 기술적 · 관리적 안전조치를 취하는 것'으로, 익명 정보를 '이 원칙은 식별됐거나 식별될 수 있는 개인과 관련되지 않는 정보 또는 그런 방식으로 익명 처리돼 더 이상 식별될 수 없는 정보 주체에는 적용되지 않는다. 따라서 이 법은 통계목적 및 연구목적 등을 위한 익명정보 처리에는 적용되지 않는다'고 정의하고 있다.

최 교수는 "국내법을 살펴보다가 EU GDPR을 가져왔는데 이 법에는 가명 및 익명 용어가 있다. 최근에는 비식별화를 가명화 정도로 봐야 한다고 얘기가 나오고 있다. 가명처리보다 더 극단으로 하는 게 익명화인데 이 부분은 기술적으로 가능하다고 확실히 얘기하는 분들이 없다."라고 했다.

국내법 중 생명윤리 및 안전에 관한 법률 제2조에서는 익명화를 '개인식별정보를 영구적으로 삭제하거나, 개인식별정보의 전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것'으로 정의하고 있으며, 의료기기법 시행규칙 제24조(임상시험 실시기준 등)에서도 익명화라는 표현을 사용하고 있다. 최 교수는 "익명화와 가명화를 구분 안 하고 익명화라고 하고 있다. 그런데 개인정보보호법은 가명화 수준을 얘기하고 있다."라고 말했다.

비식별화된 의료정보란 의료정보에 대해 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는 일부를 임의 식별기호로 대체하는 것으로, 식별자를 임의대체키를 사용하거나 삭제해 가명화처리를 하고 정보관리를 위한 기술적 · 관리적 조치를 강화하는 경우 새로운 임상 가이드라인 개발에 활용해도 개인식별 가능성이 작아진다. 

HIPAA Privacy rule §164.514에 따르면 익명화 방법에는 2가지가 있다. 하나는 PHI 18개 항목을 전부 삭제해서 사용하는 것, 또 하나는 항목이 조금 들어있다면 전문가들이 개입하고 절차 승인받아서 활용하는 것이다. 최 교수는 "이러한 규정을 우리가 차용한다면 익명화, 가명화, 비식별화 가이드라인을 만들 수 있다."라고 덧붙였다.

HIPAA에서 추가한 것이 LDS(Limited Data Set, 제한된 데이터 셋)이다. 직접적 식별자 16개를 삭제해 LDS라는 데이터 셋을 생성했다. 최 교수는 "18가지 항목에서 16가지 항목을 삭제해서 개인 동의 없이 활용할 수 있다. 그런데 무작정 사용할 수는 없고 위원회의 승인을 받아야 한다."라고 설명했다.

최 교수는 의료정보 중 어떤 정보를 어떻게 비식별화해야 하는지에 대해 의료 정보의 임상 연구 활용을 위한 비식별화 조치를 가명화 조치로 변경해야 한다고 주장했다.

의료정보의 익명화를 누가 수행해야 하는지에 대해 최 교수는 "전문가에 의해 PHI 데이터 수행이 이뤄져야 한다. HIPAA에서는 가명화 기술은 전문가가 결정하고 재식별 가능성에 대한 평가 절차를 포함하고 있다. 여기에는 정보의 익명화가 제대로 수행됐다는 전문가 소견서나 그에 준하는 분석결과가 존재해야 한다. 익명화 조치를 수행한 정보는 연구윤리위원회(IRB) 또는 정보보호위원회 허가를 받은 경우만 정보주체 동의 없이 개인정보 목적 외의 용도로 이용을 허용해야 한다. 그리고 De-identification certification form을 제출해 승인받아야 한다."라고 말했다.

HIPAA에서는 익명화된 의료정보의 활용을 IRB 또는 개인정보보호위원회가 승인하고 있다. 또한, 익명화된 의료정보에 대한 허가 및 보호 장치를 규정하고 있다. 규정에 따르면, 익명화된 정보를 받은 경우 재식별을 금지해야 하고, 익명화된 정보 처리자는 가명 정보가 분실 · 도난 · 유출 · 위조 · 변조 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 해야 한다.

최 교수는 "HIPAA에서는 PHI를 삭제한 경우 공중보건 · 보건의료연구 또는 의료업무를 주목적으로 할 때에만 LDS 활용을 허용해주고 있다. 여기에는 개인서면동의를 필요로 하지 않으나 그냥 사용하는 게 아니라 데이터사용계약을 반드시 체결해야 한다."라고 설명했다.

국내 비식별화 조치 가이드라인에서는 비식별조치를 '정보의 집합물에서 개인을 식별할 수 있는 요소를 전부 또는 일부 삭제하거나 대체 등의 방법을 통해 개인을 알아볼 수 없도록 하는 조치'로 정의했는데 이는 EU의 익명화와 동일하다. 비식별 조치 및 사후관리 절차는 총 4단계로 1단계에서 개인정보를 사전 검토하고 2단계에서 비식별 조치가 이뤄진다. 3단계에서는 비식별 적정성 평가인 'K-익명성'이 진행되는데 최 교수는 "'K-익명성' 단계를 거쳐야만 비식별 됐다고 하는데 하나의 방법에 의해서만 평가하는 건 부적절하다고 생각한다."라고 말했다.

국내 비식별화 조치는 사회보장정보원이 수행한다. 그런데 모든 병원 데이터를 EU GDPR의 익명화 수준으로 비식별화하는 것은 불가능하다. 또, 민간과 공공 데이터 연계를 수행하려면 개인 식별자를 이용해야 해서 리스크가 증가한다. K-익명성 적용 가능성의 경우 CT/MRI 영상은 전부 다른 이미지이기 때문에 K-익명성 적용이 불가능하다. 그리고 검사 결과들의 숫자가 많아질수록 적용이 어렵다.

최 교수는 "의료정보의 익명화는 현재의 비식별화 조치와 별개의 비식별화 및 비식별 의료정보 보호장치에 대한 가이드라인이 필요하다. 병원 데이터를 식별 상태로 보내는 건 리스크가 증가하기 때문이다. 또 하나는 K-익명성인데 어디까지 적용할 것인지가 불명확하다. 식별 수준 정도로 하는 게 어떨까 생각한다."라고 말했다.

한국 의료 정보 산업 경쟁력 강화를 위해 최 교수는 의료 정보를 리스크 기반으로 민감의료정보 재정의, 의료정보의 비식별 조치 가이드라인 제정, 비식별 의료정보 활용을 위한 가이드라인 제정 등을 제안했다.

또한, 의료정보 보호법 제정 방향에 대해 최 교수는 "의료정보에 있어서 개인식별의료정보 정의는 HIPAA의 PHI 정의를, 개인식별정보의 비식별화 절차는 HIPAA의 §164.514를 따라야 한다. 개인식별의료정보의 비식별화 절차 및 적정성은 병원의 의료정보보호위원회 또는 IRB에서 심의해야 한다. 또, 위원회 심의의 공정성 · 객관성 확보를 위한 보호 조치가 필요하다."라면서, "1안은 외부전문가가 과반이나 동수로 참가하는 것이고, 2안은 내부의 의료보안 전문가가 반드시 참가해 심의하고 국가에서는 정기적으로 감사하는 거다."라고 제안했다.

끝으로 최 교수는 "비식별화된 의료정보는 위 기관의 승인을 받은 경우 개별 동의 없이 사용을 허가하지만, 보건의료연구용으로 목적을 제한해야 한다. 그리고 정보보호 관리 절차, DB 논리적 · 물리적 접근 제어 등 비식별화된 의료정보의 정보 보호 조치를 구성해야 한다. 끝으로 비식별화된 의료정보를 병원에서 레지스트리로 생성해 타 기관과 공유를 허용해야 한다. 다기관 간 데이터 공유는 공중보건과 보건의료연구용으로 목적을 제한해야 하고 기관 간 사용 계약을 체결하는 한에서 허용해야 한다."라고 주장했다.

한편, 이날 지정 토론에는 고려대학교 기술경영대학원 이성엽 교수를 좌장으로, 서울대학교 법학전문대학원 허성욱 교수, 국립암센터 암빅데이터 정승현 센터장, 한국보건의료연구원 이영성 원장, 라이프 시멘틱스 송승재 대표이사, C&I소비자연구소 조윤미 대표, 보건복지부 의료정보정책과 박정환 사무관, 개인정보보호위원회 분쟁조정과 배상호 과장, 경제정의실천시민연합 윤철환 국장 등이 참석했다.

서울대 법학전문대학원 허성욱 교수는 "빠르게 변화하는 시대적 환경에 적응해서 적정한 개인정보보호법이 그 기능적 목적을 실효적으로 수행하기 위해서는 개인정보보호법의 목적이 명확하게 재설정돼야 하고, 개인정보에 대해 기본권 주체에서 국민들이 가지는 권리의 법적 성격이 규명돼야 하며, 개인정보의 개념과 범위가 정리돼야 한다. 그리고 개인정보의 활용을 위한 비식별화 혹은 익명화의 기준과 방법에 관한 논의들이 보다 구체화될 필요가 있다."라고 했다.

허 교수는 "또한, 현행 개인정보보호법이 채택하고 있는 엄격한 사전동의 제도가 실효적으로 기능할 수 있도록 하는 제도개선이 필요하고, 개인정보보호와 활용이라는 규제목적의 달성을 위한 공법적 수단과 사법상 구제수단 사이의 기능적 보완이 이뤄져야 한다. 그리고 개인정보보호 관련 법률들의 체계 적합성 확보와 법집행기관들 사이의 역할분담 조정이 필요하고, 빠르게 변화하는 기술적 환경에 대응하기 위한 능동적이고 유연한 관점의 확립이 필수적이다."라고 했다.

라이프 시멘틱스 송승재 대표이사는 "4차 산업혁명 시대에서 다루게 되는 의료 데이터는 유전체 데이터, 진료기록, 라이프로그 등이다. 라이프로그는 최근 생성되기 시작한 데이터로 몇 년 동안 축적된 데이터로 패턴을 통해 의미를 찾아낼 수 있다. 그런데 최근 국민의 개인 건강정보를 민간 보험사에 팔아넘긴 심평원 사건 같은 경우도 그렇고 어느 시점에 구축된 데이터를 어떻게 비식별 해서 활용할 것인가의 논의에서 데이터 활용 논의가 멈춰져 있다. 그런 식으로는 라이프로그에 전혀 접근하지 못하는 상황이 만들어진다. 오랜 기간 축적된 데이터 활용 방법과 이제부터 구축되기 시작한 데이터 활용으로 논의를 나눠 살펴볼 필요가 있다."라고 말했다.

송 이사는 "회사에서 온 사람이라서 데이터 활용을 찬성할 수밖에 없는 입장이다. 그럼에도 바꿔야 한다. 개인정보 자기결정권과 재산권을 행사할 수 있는 환경 구축과 구축된 환경을 유지하기 위한 정부 차원의 지원책이 논의돼야 한다. 개인정보 자체를 일종의 무형자산으로 국민이 인식하고 재산권을 행사할 수 있는 권리를 만들어주는 게 산업계에서도 현실성 있는 접근이 아닐까 생각하고 있다."라고 말했다.

국립암센터 암빅데이터 정승현 센터장은 "나는 의사이자 의료정보전문가로 암센터를 기획 · 구축해왔다. 기획자이자 실행자 입장에서 설명하고자 한다."라면서, "활용하는 측에서는 '의료기관 내 진료정보, 연구정보 등이 있는데 이런 정보를 잘 활용하게 해주면 좋은 일에 쓸 수 있다. 그런데 법적 규제가 너무 심해서 쓰기가 힘들다. 쓰게 해달라'는 입장이다. 이런 이야기를 들으면서 이해가 안됐다. 그 사람들은 '좋은 연구 해서 좋은 논문을 쓸 거다. 그 논문을 산업계에 갖다 주면 좋은 프로그램을 만들 거다'라고 했다. 그런데 좋은 논문 쓴다고 내 가치가 안 올라가고 좋은 프로그램 만든다고 내가 잘 사는 거 아니다."라고 말했다.

정 센터장은 "중요한 건 가치와 신뢰 쌓기이다. 영국과 스웨덴은 모범적으로 빅데이터를 수집했고 정부 차원에서 관리했다. 가치기반 의료 실현에 앞장서고 있다."라면서, "지금까지는 병원 중심 의료가 이뤄졌는데, 앞으로는 개인 중심으로 의료가 이뤄져야 할 것이다. 지금까지는 병원이 시키는 대로 하고, 국가가 시키는 대로 하는 상황이었다. 이제 개개인이 스스로 의료 주인으로 전환될 때가 됐다."라고 말했다.

정 센터장은 "우리나라 의료정보 수준은 30년 전 수준이다. 1G밖에 안 되는 병원진료기록 데이터를 USB에 담아주면 자기가 데이터의 주인이 되어서 자기 기반의 헬스케어를 기획할 수 있다. 그런데 지금까지는 그런 일이 이뤄지지 않고 있다. 강조하고 싶은 것은 '데이터 민주화'이다. 활용은 공익적 목적과 민주적 절차에 따라 이뤄져야 한다. 투명한 공개가 이뤄져야 할 것이고 이러한 과정이 이뤄지기 위해 근본적인 고민이 필요할 것이다."라고 말했다.

한국보건의료연구원 이영성 원장은 "개인의료정보란 개인 식별성을 갖춘 정보로 국한하되 굳이 개인 식별과 관련 없는 공통적인 정보들에 대해서는 보다 명확한 정의 및 범주화해 개인정보가 아님을 알려주는 가이드라인 작업이 필요하다. 그리고 의료정보 분야에 대해 개별적으로 규율하는 의료정보보호법을 제정하는 것이 바람직하다고 판단되며, 관련 입법을 추진하면서 국내 의료 환경과 프라이버시에 대한 인식 수준 등을 고려해 의료 현장엘서 현실적으로 수용 가능한 법률이 제정돼야 한다."라고 말했다.

이 원장은 "의료정보 익명화의 주체와 관련해 IRB 또는 정보보호위원회보다는 독립된 제3기관이 전문적으로 맡아서 수행 또는 명확한 익명화 가이드라인을 정해놓고 연구자가 익명화할 수 있도록 길을 열어준 다음 해당 기관에서 최종 검토해 재식별이 우려되는 경우 교정방향을 전문적으로 알려주는 게 필요하다고 생각한다."라고 말했다.

경제정의실천시민연합 윤철환 국장은 "일차적으로 빅데이터라는 말을 많이 쓰고 전지전능한 말로 사용하고 있다. 우리나라는 해외와 비교하면 개인정보가 잘 보호되고 있지 않다. 구글이 엄청난 정보를 수집한다지만 가상의 개인정보 수집에 그친다. 반면 우리나라의 금융사, 통신사 등은 명확한 개인정보를 수집해 각종 마케팅에 이용하고 있다. 우리나라는 그 자체가 빅데이터다. 사회문화적 배경도 외국과 다르다. 외국에서는 개인정보를 함부로 활용할 경우 기업 망하는데, 우리나라는 기껏 소송해봤자 10만 원도 받기 어렵다. 외국이 하니까 우리도 하자는 논리는 위험한 발상이다."라고 말했다.

윤 국장은 "기업은 활용 얘기하고 시민은 보호 얘기하는데, 현재 보호도 안 되고 활용도 안 된다. 정부 소통과 신뢰 문제이다."라면서, "우리나라 기업은 투명하지 못하다. 소비자들은 저 기업을 어떻게 믿고 신뢰하냐면서 불안해할 수밖에 없다. 그런 면에서 신뢰 기반 제도가 정착해야 한다. 공적 가치를 가지고 공공이익 목적으로 개인정보, 의료정보 활용한다고 하면 아무도 반대 안 한다."라면서, "마지막으로 제도가 재세팅돼야 한다. 복지부에서 빅데이터특별법을 제정한다고 이미 발표했다. 이런 행동 자체가 신뢰 얻기 힘들다. 사회적으로 토론해서 제대로 세팅해보자 이건데 정부에서는 이미 법을 만들어서 발표했다."라고 지적했다.

보건복지부 의료정보정책과 박정환 사무관은 "두세 차례 작은 회의를 진행하면서 시민들이 공통으로 법제 필요성을 말했다. 법제가 필요하다는 점을 인지하고 논의를 통해 추진해나가겠다. 그리고 이 내용이 알다시피 매우 어렵다. 일상용어로서 명확하게 정의가 규정되기 어렵다. 그런데도 기술적으로 명확하게 규정할 것이고, 불변 아니라 했던 부분을 한계 인지하는 형태로 법률 규정할 필요가 있다."라고 말했다.

박 사무관은 "구체성 부분에서 문제가 발생하는 이유는 문제가 정확히 규정 안 됐기 때문이다. 보호와 활용, 개방을 이야기하는 사람들이 줄 하나 놓고 줄다리기하는 상황이다. 심판도 어느 쪽을 이겼다고 하기 어려우며, 법률 만들기도 어렵다. 구체성을 띤다면 문제가 달라질 거로 생각한다. 국가 보유 데이터를 안전하게 처리해서 잘 활용하면 누구도 반대하지 않는다."라면서, "공익적 활용이 첫 단추라 생각하고, 성과, 활용, 비식별화, 구체성 등이 확보된다면 성과가 가시적으로 드러날 것이며 다음 단추를 시작하는데 단초가 될 수 있을 거로 생각한다."라고 말했다.

법률과 관련하여 박 사무관은 "국민 개인권리 부분의 가치를 정확히 명시할 것이다. 권리는 법률적으로 중복이고 경제적이지 않은 비판을 들을지라도 법제 안에서 구체적으로 다룰 예정이다. 그다음으로 목적이다. 어떤 목적으로 이를 활용하는지를 명확히 정하고 세부적 내용으로 풀어갈 예정이다. 잠재적으로는 개인 권익 침해 여부에 대해 어떻게 처벌할 것인지를 법에서 다룰 예정이다."라면서, "다음으로 주체이다. 어떤 식으로 누가 행동할 것인지의 행위자를 규정할 것이다. 악의적 사용자와 일반 사용자가 동일하게 대우받아서는 안 된다. 끝으로 어떤 데이터를 다루고 있는지를 규정할 것이다. 체중, 신장 등의 의료정보들이 뭉뚱그려져서 건강정보 네 글자로 논의된다면 한 걸음도 나갈 수 없다."라고 말했다.

끝으로 박 사무관은 "매 단계 시민사회, 법조계, 전문가 함께 있는 자리에서 심의 거쳐서 매번 할 것이다. 가장 중요한 건 거버넌스 운영이다. 그 부분을 열심히 하려 한다. 시범사업을 안전하고 효과 있게 할 것이고 데이터를 잘 활용해서 보건의료정책을 잘 펼쳐나가고 국민건강증진을 실현할 것이다."라고 말했다.