2023년도 사업 예산과 관련해 ‘지역 중심 마이데이터 기술·생태계 실증사업(R&D)’ 예산 배정에 대한 재검토가 필요하다는 지적이 제기됐다.
‘지역 중심 마이데이터 기술·생태계 실증사업’은 보건의료 마이데이터 플랫폼인 마이헬스웨이 시스템이 2023년도 상반기 구축됨에 따라 지역사회 의료기관, 보건소, 기업에 개인건강기록을 제공해 이러한 의료데이터의 제공에 따라 각 주체들의 행태 변화 등이 어떠한지를 실증해 향후 마이헬스웨이 시스템 구축 사업의 성과를 가늠하고, 사업의 개선과제 및 관련 제도의 개선점 등을 찾아내기 위한 사업이다. 2023년도 예산은 60억 원으로 신규 편성됐다.
‘건강정보 고속도로 사업’은 데이터 보유기관에서 본인 또는 데이터 활용기관으로 건강정보가 흘러가는 고속도로 역할(네트워크 허브) 수행하는 정보시스템으로, 의료 마이데이터 플랫폼 운영(정보화) 사업을 통해 구축하고 있으며, 총 사업예산은 약 190억 원으로 2021년도부터 사업을 시작해, 2023년 상반기 기본 시스템을 구축할 예정이다.
국회예산정책처는 이에 대해 “현행 ‘의료법’ 상 의료기관 외에는 데이터의 직접 전송이 금지되고 있어 ‘마이헬스웨이 시스템’을 실증하는 동 사업의 효과가 반감될 수 있으므로, 의료기관 외에도 정보 주체의 동의가 있는 경우 직접 전송이 가능하도록 하는 입법과 연계해 추진하는 것을 검토할 필요가 있다”라는 견해를 밝혔다.
실제로 현행 ‘의료법’ 제21조의 23을 살펴보면, 의료기관·의료인 등 간에는 본인의 동의 하에 개인의료데이터 전송이 가능하도록 규정돼 있지만, 그 외의 민간 기업 등에 대해서는 전송을 금지하고 있다.
즉, ‘지역 바이오 클러스터 기반 실증사업’에 참여하는 헬스케어 산업계의 기업의 경우, 본인의 동의가 있더라도 의료기관 등에 있는 개인의료데이터의 전송이 불가하다는 것이다.
이에 보건복지부는 ‘의료법’ 제21조 제1항 5에 따라 환자 본인은 의료기관이 갖고 있는 본인의 개인의료데이터를 발급받을 수 있으므로 이러한 개인의료데이터를 발급받은 후 실증사그업에 참여하는 기업체에 개인의료데이터의 주체인 본인이 직접 전송하는 형식으로 사업을 추진하겠다는 입장이다.
그러나 국회예산정책처는 “이처럼 실증사업을 추진할 경우 ‘건강정보 고속도로 사업’이 최종적인 목표로 하고 있는 ‘데이터 보유 기관’에서 이를 필요로 하는 ‘활용기관’에 전달하는 ‘고속도로’로서의 기능이 제대로 이루어지지 않을 수 있다”라고 지적했다.
예를 들어 설명하면, 양 기관 사이에 놓여 있는 고속도로에 의료정보의 주체가 검문소를 놓고, 차량을 통과시킬지 말지를 판단해 수동으로 차단기를 여는 상황에서 실증이 이루어지므로 동 사업의 효과성이 다소 떨어질 우려가 있다는 것이다.
따라서 국회예산정책처는 “개인의료데이터에 대해 ‘제3자 전송요구권’의 근거가 법률적으로 마련되고, 이에 따른 안전관리체계가 마련된 이후에 사업을 추진하는 것을 고려해 볼 필요성도 있는 것으로 보이므로 실증사업의 효과성을 높이기 위한 면밀한 사업추진계획을 마련할 필요가 있다”라고 제언했다.
또한, 국회예산정책처는 동 사업이 실증을 추진하는 ‘건강정보 고속도로(마이 헬스웨이 시스템)’ 사업은 개인정보인 의료데이터의 전송·공유가 핵심인 사업인 만큼, 민감한 개인의료데이터에 대한 유출 및 올바르지 않은 활용에 대한 우려에 대해 지적했다.
이에 정부는 이러한 점을 고려해 2023년도 예산안에는 마이헬스웨이 시스템의 본격적인 개통에 앞서 동 사업의 다른 내역사업으로 ‘마이데이터 보호 기술 개발’ 사업을 편성해 민감한 의료 마이데이터를 안전하게 보호할 수 있도록 개인 식별 및 본인 인증 등 의료 마이데이터 보호·보안 기술 연구개발을 추진하고 있다.
그러나 국회예산정책처는 “마이데이터 보호 기술 개발 사업이 완료돼 보호기술이 적용된 상태에서 실증사업을 추진하는 것이 이러한 개인의료데이터의 유출 우려 등을 감소시킴은 물론, 실증사업의 효과성을 높여줄 수도 있다”라면서 사업 추진 시 신중을 기할 필요가 있음을 강조했다.
더불어 국회예산정책처는 개인의료데이터 주체의 ‘동의’ 여부 및 정보활용의 범위에 대한 문제점에 대해서도 지적했다.
실증사업은 ‘의료기관 간 전송’ 시 개인의 동의를 받고 ‘의료기관 외로의 전송’ 시 개인이 데이터를 발급 받은 후 의료기관 외로 직접 전송을 전제로 하고 있다.
문제는 일상생활에서 의료기관 등에 내원하는 환자 등은 일반적으로 개인정보 활용 등에 동의하는 것이 이미 일상화되어 있고, 개인정보활용의 범위에 대해 본인이 세부적으로 결정할 수도 없다는 것에 있다.
특히, 고연령층의 경우에는 디지털화 된 개인정보에 대한 ‘디지털 문해력’이 저연령대에 비해 낮을 수 있고, 해당 사업에 동의한다는 것이 어떤 의미를 가지는지 정확히 이해하기 어려울 수 있다.
이외에도 개인의료데이터 중 특정 부분은 전송에 동의하지만, 다른 부문은 동의하지 않는다던지, 정보활용의 주체 중 특정 기업을 배제하고 특정 기업만 선택한다던지하는 개인의료데이터 활용의 범위에 대한 선택권도 보장되기 어려울 수 있다.
따라서 국회예산정책처는 위와 같은 문제점 등을 고려해 ‘지역 중심 마이데이터 기술·생태계 실증사업’ 등을 추진 시 신중을 기해야 한다고 당부했다.