- 건강과 사회
- 2018/03 제38호
개인정보 이용해 민간기업 밀어주겠다고?
보건의료 빅데이터 추진계획 비판
지난 1월 22일 ‘신산업·신기술 규제혁신’을 위한 대통령 주재 토론회가 열렸다. 토론회에서 문재인 대통령은 기존의 네거티브 방식(원칙적으로 허용하며 예외적으로 금지하는 방식)에서 포괄적 네거티브 방식(우선 모두 허용하고 사후에 규제하는 방식)으로 규제 방침을 전환할 것을 약속했다. 이와 함께 주요 혁신성장 사업에 대한 규제혁신도 발표했다. 그중 하나로, ‘비식별화된 빅데이터’를 적극 활용할 수 있도록 하겠다고 재차 약속했다.
얼마 후 정부는 ‘헬스케어 빅데이터 구축’을 핵심 프로젝트로 선정했다. 이 프로젝트의 골자는 민간이 주도해 빅데이터를 사용한 개인별 질병예측 및 건강상담 사업을 할 수 있게 하는 것이다. 이를 위해 병원에 축적된 의료정보와 유전체·생체정보를 포함한 ‘바이오 빅데이터’를 구축하고, 신약개발 및 질병예측에 사용할 수 있는 ‘바이오·헬스 산업 발전전략’을 발표하기도 했다. 유전체(genome) 정보란, 한 개체의 완전한 유전 정보, 쉽게 말해 ‘DNA 정보’를 뜻한다. 즉, 지문·얼굴·홍채 등 개인을 식별할 수 있는 신체적·행동적 특징에 대한 정보의 데이터를 구축하겠다는 것이다.
정부는 심지어 규제 없는 ‘규제 샌드박스’(신산업·신기술분야에서 새로운 제품과 서비스를 내놓을 때 일정기간 기존 규제를 면제·유예시켜주는 제도)를 적용하여 개인 건강정보를 포함한 모든 생활정보를 활용하는 ‘헬스케어 스마트시티 시범사업’을 2020년부터 추진하겠다고도 밝혔다.
이와 같은 보건의료 빅데이터 추진계획은 2015년 발표된 한국보건사회연구원의 〈보건의료 빅데이터 활용을 위한 기본계획 수립 연구〉에서 시작됐다. 이 보고서는 미국과 영국 등의 보건의료 빅데이터 사례를 소개하며, 국내에도 보건의료 빅데이터 구축이 필요하다고 주장한다. 빅데이터를 활용한 질병 예방이나 개인화된 의료, 건강관리서비스 육성, 신약개발 등을 기획했고, 건강관리서비스와 관련해서는 웨어러블 기기(스마트폰을 연동해 사용하는 안경이나 손목시계 등 기기)를 사용한 ‘모바일 헬스케어’ 산업과 연계할 것을 언급하기도 했다.
그러나 개인정보보호법상 개인정보를 산업적 목적을 위해 마음껏 이용할 수 없다. 때문에 정부는 2016년 ‘개인정보 비식별화 가이드라인’을 발표해 개인정보보호법을 우회할 길을 열어주려 했다. 이 가이드라인에서 정부는 비식별화된 개인정보를 동의 없이 자유롭게 활용할 수 있도록 했다. ‘비식별화’란, 개인정보 중 전화번호나 이름·주소 등 일부 정보를 삭제하거나 혹은 가명 처리하는 것을 말한다. 하지만 이를 다른 비식별 정보와 결합할 경우, 특정 개인을 지목할 수 있다는 점에서 완전한 익명화라고 볼 수 없다.
사전 동의 없이 공개된 개인정보
정부는 비식별화된 정보를 개인정보가 아닌 ‘익명화된 정보’로 간주하겠다고 말한다. 한술 더 떠 개인에게 사전 동의를 받지 않고 우선 공개하겠다는 게 정부 방침이다. 만약 반대 의사를 표시한 사람이 있을 경우, 그에 한해서만 정보를 비공개 처리하겠다는 것이다(이를 ‘옵트아웃’이라고 한다). 심지어 시장조사와 상품 개발 등 상업 목적으로 사용하는 경우에도 정보 주체의 동의 없이 제공하겠다는 계획이다.
하지만 개인정보보호법에 따르면 개인정보는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 결합하여 알아볼 수 있는 것도 포함한다. 보건의료 데이터는 하나의 데이터묶음에 다양한 항목을 포함하고 있다. 모든 데이터값이 완전히 같은 개인이란 존재하기 어렵다. 그러니 다른 정보와 쉽게 결합해 개인을 재식별할 수 있을 것이다.
특히 보건의료 빅데이터에 포함되는 유전체 정보는 그 자체가 연구 대상이므로 암호화할 수 없다. 따라서 그 자체로도 개인 식별의 위험이 있다. 보건의료 빅데이터는 비식별화 과정을 거쳤더라도 개인정보에 해당한다고 보아야 한다. 이를 사용하는 경우 개인정보보호법에 의해 사전에 동의를 받아 적법하게 사용해야 옳다.
이렇듯 비식별 데이터의 가장 핵심적인 문제는 개인정보의 재식별 위험과 관련되어 있다. 개인정보의 비식별화는 ‘익명화’와는 다른 ‘가명화’일 뿐이다. 앞서 설명한 것처럼, 비식별 정보들을 조합해 특정 개인을 알아볼 수 있다는 위험이 있다. 실제 삼성생명과 삼성카드가 양사에 동시 가입한 240만여 고객의 개인정보를 13회에 걸쳐 결합했음이 드러난 바 있다(정의당 추혜선 국회의원 발표). 이처럼 민간 기업이 공공데이터를 입수하게 되면, 공공데이터·자사데이터·계열사데이터를 비교·결합해 개인정보를 재식별할 가능성이 얼마든지 존재한다.
사회적 요인 무시한 ‘유전자결정론’
정부의 ‘바이오·헬스 산업 발전전략’의 목표 중 하나는 유전체·생체정보를 활용해 질병을 예측하고 ‘정복’하는 것이다. 현재는 개인의 모든 염기서열을 분석하려면 과정도 길고 비용도 많이 든다. 그러나 유전자 분석 기술이 발전하면 그 과정은 점점 더 간소화되고 비용도 저렴해질 것이다. 머지않아 대부분 사람들이 개인의 모든 유전자 서열을 알 수 있게 되는 것이다. 이러한 정보를 이용해 질병을 예측하고 예방 및 치료하겠다는 것이 정부 계획이다.
그런데 만성질환, 특히 암 발생에 있어서 유전자의 영향은 크지 않다. 유전자의 발현 과정에서는 단일한 유전자만 작용하는 것이 아니다. 다양한 유전자들이 복잡하게 상호작용하며 외부 환경 또한 발현과정에 관여한다. 유전자보다는 환경적·사회적 요인이 훨씬 중요하다.
국제암연구소(IARC)가 분류한 1군 발암물질에는 방사선·미세먼지·벤젠·석면이 있으며, 2군 발암요인에는 야간 교대근무가 포함된다. 모두 노동 현장에서의 요인들이다. 장시간 노동과 야간노동, 직업성 유해물질 등 사회적·환경적 요인에 대한 통제 없는 정밀의료는 질병 정복과는 거리가 멀다.
정부는 개인 의뢰 유전자검사(DTC)의 광고는 의료광고 심의를 받지 않게 한다는 방침을 추가로 발표하기도 했다. 이는 유전자 검사기관을 의료기관이 아니라고 보겠다는 의미이다. 그렇게 되면 이들 기관은 유전자 검사를 감시·감독 없이 자유롭게 할 수 있게 된다.
유전정보가 데이터베이스에 저장되고, 역으로 특정 유전정보가 누구의 것인지 식별이 가능해지는 날이 올 수 있다. 그러면 개개인을 ‘좋은 유전자’를 갖고 있거나, 혹은 ‘나쁜 유전자’를 갖고 있는 사람으로 분류하게 될 것이다. 이는 마치 과거의 우생학처럼 유전자가 모든 것을 결정한다는 유전자 결정론적 사고를 확산시켜 생물학적 권력관계를 만들어낼 수밖에 없다.
건강에 대한 책임을 개인화하는 건강증진형 보험
물론 정부는 유전자뿐 아니라 교정 가능한 요인에도 관심이 있는 것처럼 보인다. 그러나 사회적 요인은 배제한 채 생활습관 교정에만 집중해 ‘건강’에 대한 책임을 개인에게 지우려 하고 있다.
금융위원회와 금융감독원은 2017년 11월 ‘건강증진형 보험상품 개발·판매 가이드라인’을 발표했다. ‘건강증진형 보험’은 가입자가 건강해질수록 보험료를 할인해 주거나 보험금을 올려주는 등의 인센티브를 주는 보험이다.
이와 같은 맥락의 건강증진형 보험은 가입자가 건강해질수록 가입자도 이익이고 보험사도 손해율이 하락하면서 이익을 볼 수 있다는 전제에서 출발한다. 하지만 정부는 각종 바이오센서나 웨어러블 기기 등의 구입 비용 지원을 인센티브의 예시로 제시하고 있다. 여기서도 헬스케어 산업을 접목하겠다는 의도다.
건강증진형 보험 도입이 이뤄지면, 가입자의 운동량·식단 등을 평가하기 위해 웨어러블 기기를 사용하게 할 것이다. 그러나 고강도 장시간 노동과 야간노동에 시달리는 사람들은 웨어러블 기기 구입은커녕 꾸준한 운동, 건강한 식단을 유지할 여유조차 없다. 노동자들은 건강관리는 하지 못하고 높은 보험료에 시달릴 것이다. 건강불평등이 심화되는 것이다. 이는 건강하지 못한 신체를 사회적으로 해결하는 게 아니라 ‘개인화’하는 것에 불과하다.
나아가 정부는 보험 가이드라인을 통해 민간 기업이 생활습관 정보를 합법적으로 수집하고 사업에 이용할 수 있는 길을 열어 주겠다는 의지를 드러내고 있다. 기업이 수집한 개인 건강정보를 보험료 갱신에 반영할 가능성도 있다. 또 건강정보가 외부 기업으로 유출되는 경우 고용 계약 과정에서 부당하게 이용될 수도 있다.
개인정보를 4차산업의 수단으로 삼는 빅데이터 정책
정부는 민감정보 유출 위험을 안고 있는 빅데이터 사업을 국민적 합의도 없이 ‘우선 동의’ 방식으로 추진하고 있다. 보건복지부는 영국의 빅데이터 플랫폼인 ‘케어닷데이터(care.data)’를 해외 모범사례로 소개하기도 했다. 하지만 영국은 사회적 합의 없이 이 사업을 무리하게 진행하다가 2016년 7월 결국 개인정보 보호 문제로 중단해 막대한 예산 손실을 입은 바 있다. 이런 현실을 무시하는 걸까? 정부는 충분한 사회적 합의를 거치겠다고 약속하면서도 ‘혁신적 규제완화’, ‘규제 샌드박스’ 등의 신규 용어를 사용해 가며 개인정보를 통한 민간 주도의 산업 육성을 계획하고 있다.
하지만 이처럼 무분별하게 추진된 보건의료 빅데이터 정책은 우리의 건강을 증진하지 못할 것이다. 개인화된 맞춤형 의료를 실현하겠다는 명목 하에 불건강 요인을 관리할 책임은 개인이 떠안게 될 수밖에 없다. 이렇게 건강이 개인이 관리해야 할 문제가 되면서 민중들은 건강을 점수화하는 시스템에 스스로를 적응시켜야 할 것이다. 이는 사회적·경제적 능력에 따라 건강불평등이 심화되는 결과를 낳을 것이다. 정밀의료의 발전을 위해 개인정보를 제공한 환자들은 정작 신약을 얻기 위해서는 막대한 비용을 지불해야 한다. 그럼에도 환경적 영향이 통제되지 않는다면 막대한 건강비용을 지출하면서도 여전히 건강한 삶을 영위하기 어렵다.
정부는 방향을 수정해야 한다. 개인정보를 공공의 목적으로만 안전하게 사용할 수 있는 계획이 마련되기 전까지는 가이드라인과 같은 졸속적인 우회로를 열어주어선 안 된다. 또 개인건강정보를 산업적으로 이용하게 해서도 안 된다. 현재 논의 중인 빅데이터 정책을 중단하고, 개인정보 보호를 최우선으로 하는 보건의료 빅데이터 구축을 위해 충분한 사회적 합의를 거치는 게 우선이다.
기업이 개인건강정보를 수집·활용할 수 있게 하면서, 한편으론 건강의 책임을 개인에게 전가하는 건강증진형 보험 가이드라인은 폐기해야 한다. ●