북아시아의 의료 기술 규제 문제 비교: 일본

일본에서 헬스케어 기술은 큰 주목을 받고 있고, 일본 헬스케어 산업의 시장 규모는 지속적으로 성장할 것으로 예상된다. 일본 경제산업성의 보고서에 따르면, 2025년에는 헬스케어 산업의 가치가 33조 엔(2,300억 달러)에 달할 것으로 전망된다. 또한 일본 특허청에 따르면, 헬스케어 기술에 대한 특허 출원은 꾸준히 증가하고 있으며, 2013년부터 2019년까지 전 세계적으로 두 배로 증가했다. 일본 정부는 헬스테크와 의료 디지털 전환(DX)을 장려하고 있다. 2022년 내각부(內閣府)에 ‘의료 DX 추진 본부’를 설립하여 DX의 진척 상황을 공유하고 검증하고 있다. 이 본부의 역할은 개인건강기록(PHR)의 활용을 촉진하는 것으로 보이며, 국가 신분증이 PHR의 출발점이 될 것으로 기대하고 있다. 어떤 방향이든 개인 정보 보호는 의료 DX를 포함한 헬 테크 분야에서 중요한 법적 문제이다.

정보 공유 문제

의료 DX는 대량의 의료 정보 가용성을 개선하고 개인정보를 적절히 보호해야 하는 상충되는 문제를 동시에 해결해야 한다.

의료 정보는 당연히 ‘개인정보’로 분류되어 일본의 개인정보보호법(APPI)에 따라 보호된다. 또한 의료 정보는 ‘민감한 개인정보’로서 더욱 강력한 보호를 받는다.

원칙적으로, APPI는 정보 주체가 자신의 민감한 개인정보를 제3자에게 제공하는 것에 동의하도록 요구한다. 그러나 연구 등 대량의 의료 정보를 수집하고 분석하고자 하는 의료 기관의 경우에 개별적인 동의는 현실적인 어려움이 있다.

APPI는 의료 정보를 포함한 민감한 개인정보를 개인 식별이 불가능하도록 익명 처리한 경우에는 정보 주체의 동의 없이 제3자에게 제공할 수 있는 대안을 제시한다. 그러나, 이 대안을 이용할 경우 각 의료기관은 데이터를 익명화해야 하는 수고를 부담해야 한다. 또 다른 문제는 익명화된 의료 데이터에 상호 참조 정보가 없기 때문에 익명화된 의료 데이터를 제공받는 연구 기관은 기관 간 분석을 수행할 수 없다는 점이다.

차세대 법

이러한 문제를 해결하기 위해 2018년 5월 11일 차세대 의료 인프라 법(NGMIL, 정식 명칭은 ‘의료 분야 연구 및 개발에 기여하기 위한 익명화된 의료 데이터에 관한 법률’)이 제정되었다.

이것은 건강검진 결과, 진료기록 등 익명화된 개인 의료정보를 의료 분야에서 연구개발에 활용하는 것을 촉진하기 위해 마련된 법이다. 또한 신청 사업자(정보 생산자)가 특정의 기술적 기준을 충족하는지(예를 들면, 높은 수준의 정보 보안을 보장할 수 있는지, 충분한 익명화 기술을 보유하고 있는지 등), 신청 사업자가 의료정보의 관리 및 활용을 위해 익명화 작업을 적절하고 안정적으로 수행할 수 있는지에 대해 정부가 심사하는 인증 제도를 마련하고 있다.

의료기관은 정보 주체가 정보 제공을 거부(옵트아웃)할 때까지 인증된 정보 생산자에게 의료 정보를 제공할 수 있다. 인증된 정보 생산자는 정보를 익명화하고, 이렇게 익명화된 의료 데이터를 의료 연구 및 개발을 위해 연구 기관에 제공할 수 있다.

달리 말하면, 정보 주체가 제공을 거부하지 않는 한 인증된 정보 생산자에게만 의료 정보를 제공할 수 있도록 함으로써 개인의 권익을 보호하고 의료 정보 활용을 촉진하는 메커니즘을 개발하는 것이 NGMIL의 목표였다.

NGMIL 개정

그러나 몇 가지 문제들은 여전히 해결되지 않았다. 인증된 정보 생산자는 익명화된 의료 데이터 형태로만 연구 기관에 데이터를 제공할 수 있는데, 그 의미는 다음과 같다.

1. 연구기관이 소수의 의료 사례와 고유 데이터가 포함된 데이터를 원하더라도 다른 데이터와 결합할 경우에는 특정 개인을 식별할 수 있기 때문에 이러한 데이터는 사실상 사용할 수 없다.
2. 개정 전 NGMIL 하에서는 환자 상태의 시간적 변화를 추적하기 위해 개별 환자의 의료 데이터를 계속 제공하는 것이 거의 불가능하다.
3. 연구기관이 익명화된 의료 데이터를 분석한 후 추가 연구가 필요하다는 사실을 발견하더라도, 정보 주체의 의료 기록에서 익명화된 의료 데이터 형태로 다른 의료 정보를 제공받는 것은 거의 불가능하다.
4. 의료 기록과 같은 최초의 의료 정보를 다시 참조하여 익명화된 특정 의료 데이터의 신뢰성을 검증하는 것이 바람직하지만 이것 또한 가능하지 않다.

이러한 문제들을 해결하기 위해 2023년 5월에 ‘가명 처리된 의료 데이터’라는 새로운 데이터 범주를 포함하도록 NGMIL이 개정되었다. 개정된 법은 공포 후 1년 이내, 즉 2024년 5월부터 시행될 예정이다.

다른 정보와 일치하지 않는 한, 가명 처리된 의료 데이터는 개인을 식별할 수 없도록 처리된 데이터이다. 이러한 새로운 데이터 범주로 분류되기 위해 개인 의료 정보에서 고유 데이터를 삭제할 필요는 없다. 그러나 이름과 기타 식별 정보는 삭제해야 한다.

개정된 법은 다음과 같은 메커니즘을 구축한다:

가명 처리된 의료 데이터를 생성하고 제공할 수 있는 정보 생산자를 인증하고, 인증된 정보 생산자가 안전 관리 등의 기준에 따라 정부가 인증한 사용자에게만 가명 처리된 의료 데이터를 제공할 수 있도록 허용한다.

정부가 가명 처리된 의료 데이터를 생성하고 제공할 수 있는 정보 생산자를 인증하는 첫 번째 메커니즘은 익명 처리된 의료 데이터의 메커니즘과 공통된 구조를 가지고 있다. 반면에 두 번째 메커니즘은 가명 처리된 의료 데이터에만 해당하는 구조이다.

가명 처리된 의료 데이터는 익명 처리된 의료 데이터보다 개인 식별이 가능할 위험성이 훨씬 크기 때문에 정부의 인증을 통해 정보 사용자도 제한을 받는다. 또한, 의약품 시판 허가를 신청할 목적으로 인증된 정보 사용자는 가명 처리된 의료 데이터 메커니즘에 따라 의약품 의료기기 종합기구(PMDA) 및 외국의 규제 당국에 가명 처리된 의료 데이터를 제공할 수 있으며, 인증된 정보 생산자는 원본 데이터를 당국에 제출할 수 있다.

유럽의 경우

개정된 NGMIL은 의료 데이터의 1차 및 2차 사용을 규제하기 위해 유럽연합 집행위원회에서 제안한 유럽 건강 데이터 공간(EHDS)과 공통점이 있는 것으로 보인다. 아래 참고:

1차 사용이란 데이터 주체가 사용하는 것을 말하며, 이를 통해 환자는 의료 기록과 처방전 및 검사 결과를 EU 회원국 간에 호환되는 전자 데이터로 보관할 수 있다. 2차 사용이란 연구개발, 정책 수립 등에 활용하는 것을 말한다.

제안된 EHDS에서, 회원국은 2차 사용을 위해 전자 건강 데이터에 대한 접근 권한을 부여할 책임이 있는 하나 이상의 건강 데이터 접근 기관(HDAB)을 지정해야 한다. 데이터 사용자는 HDAB에 데이터 접근 권한을 신청할 수 있고, 권한이 부여되면 건강 데이터를 사용할 수 있다.

제안된 틀 내에서, 데이터 사용자는 HDAB가 처리한 익명화 또는 가명 처리된 건강 데이터만 사용할 수 있다. 정부가 지정한 특정 기관이 데이터 제공자 및 데이터 처리자 역할을 하면서 익명화 또는 가명 처리된 의료 정보를 이용할 수 있도록 함으로써 의료 정보의 광범위한 활용을 목표로 한다는 점에서 개정된 NGMIL은 EHDS 제안의 2차 활용 메커니즘과 공통점이 있다고 할 수 있다.

일본의 개인정보 보호 시스템은 정보 주체의 동의에 크게 의존하고 있다. 그러나 개정된 NGMIL과 제안된 EHDS 등 정보 주체의 동의 없이 개인정보를 활용할 수 있는 제도 설계가 잇따라 검토되고 있다는 사실은 일본에서도 동의 중심의 개인정보 보호 접근 방식 자체를 재검토해야 한다는 것을 시사하는 것으로 보인다.

전망

NGMIL과 그 개정안은 의료 정보의 활용을 촉진하기 위한 것으로, 의심할 여지없이 몇 가지 실질적인 문제를 해결했다. 그럼에도 불구하고, 시스템 자체에 대한 인식 부족으로 크게 활용되지 못하는 부분도 있다.

물론 이것이 앞으로도 많이 활용되지 않을 것이라는 의미는 아니다. 저자들은 의료 DX의 추진력은 약화되지 않을 것이라고 생각한다. 데이터베이스와 기타 플랫폼이 개발되고 의료 정보 활용이 더욱 활발해지면 의료 분야에 정통한 개인정보 보호법 전문가에 대한 수요 또한 한층 커질 것이다.