월간복지동향 2020 2020-04-01   2038

[동향2] IMS헬스 사건 무죄판결로 본, 개인정보보호법 개악과 의료정보 상업적 활용의 문제점

IMS헬스 사건 무죄판결로 본,
개인정보보호법 개악과 의료정보 상업적 활용의 문제점

 

전진한 보건의료단체연합 정책국장

  

지난 2월, 거의 전 국민의 의료정보를 유출·판매한 IMS헬스 사건 피고인들에 무죄가 선고된 판결이 우리를 충격에 빠뜨렸다. ‘한국IMS헬스’는 2011년부터 2014년까지 국민의 88%인 4399만 명의 의료정보 47억 건을 약 20억 원에 사들여 이를 미국에 있는 본사 ‘IMS헬스’에 보낸 바 있었다. IMS헬스는 이를 재가공해 국내 제약회사에 약 100억 원에 되팔았다. 한국 IMS에 의료정보를 판매한 곳은 각각 ‘피닉스’와 ‘PM2000’이라는 건강보험 청구 프로그램을 운영하던 ‘지누스’와 ‘약학정보원’이었다. 약학정보원은 이렇게 수집한 정보 중 주민등록번호, 처방일, 질병 이름, 약값 등 최소 23가지를, 지누스는 환자 이름, 주민번호, 의료보험증번호, 진료 정보, 처방 내역 등 최소 13가지를 판매했다. 우리도 모르는 사이 가장 민감한 의료정보가 외국계 기업에 팔려나간 것이다. 

 

이런 사건이 어떻게 무죄를 받았을까? 한국IMS, 약학정보원, 지누스 등은 재판 내내 ‘식별정보를 암호화하였으므로 개인정보가 아니다’라고 주장했다. 하지만 암호화 처리한 정보들은 충분히 다시 식별이 가능하다고 이미 알려져 있었다. 단적으로 2015년 하버드대학교 연구팀이 IMS에 제공된 것과 유사한 방식으로 암호화된 한국인 처방전 데이터의 주민번호를 손쉽게 전부 해제해서 논문으로 발표해버린 일이 있었다. 그런데 법원은 이들 기업이 암호화된 개인정보를 재식별(복호화)하려는 ‘고의성’이 없었다며 무죄를 선고했다. 약학정보원과 한국IMS는 서로 암호화 치환규칙을 공유했기 때문에 충분히 복호화가 가능한 상황이었다. 의료정보가 가지는 엄청난 상업적 가치를 고려할 때, 영리추구에 혈안이 된 기업들이 이를 식별해 활용하지 않는다는 보장을 누가 할 수 있을까? 상식적인 판결이 아니었다. 

 

개인정보 도둑법

사실 1심 판결에 영향을 미친 결정적 논리가 있었다. ‘본 사안은 21세기의 원유라 할 수 있는 빅데이터 산업과 직결된 것이고, 정부가 추진하는 개인정보 비식별 활용 정책과 맞닿아 있으므로 현명하게 판단하기 바란다’는 것이 피고인들의 주장이었다. 정부가 뒷배를 봐주는 사업이니 건드리지 말라는 협박이나 다름없었다. 마침 재판이 한창이던 2016년 말은 박근혜 정부가 ‘개인정보 비식별 조치 가이드라인’을 내놓은 직후였다. 암호화 조치를 하면 개인정보가 아닌 것으로 간주해 개인들의 동의 없이 기업에 상업적 목적으로 활용할 수 있게 해준다는 내용이었다. 개인정보를 보호하기는커녕 아예 더욱 이를 널리 팔고 유출시키라고 내놓은 가이드라인이었다.

 

그러나 곧 박근혜 대통령은 탄핵됐고 새로 출범한 정부가 이 가이드라인을 폐기하면서 재판도 오리무중이 됐다. 하지만 촛불 여파에 따른 개혁 동력은 오래 가지 못했다. 곧 문재인 정부도 ‘혁신성장’이 필요하다며 의료상업화와 개인정보 규제완화를 밀어붙이기 시작했다. 정부는 더 나아가 아예 개인정보보호법 개정을 추진했다. 박근혜 가이드라인과 동일한 내용을 법제화하는 것이었다. 개인정보 도둑법이라 불린 이 개정법안은 시민사회의 거센 반대에도 불구하고 1월 국회를 통과했다. IMS헬스 무죄판결이 이뤄진 것은 그 후 한 달이 지난 뒤다. 재판부가 선고만을 앞뒀던 판결을 3년 이상이나 지연시켰던 것은 법 개정여부를 눈여겨봤기 때문이었을 것이다. 시민사회는 이 개악법이 통과되면 IMS헬스 같은 정보유출 행위가 합법화돼 향후 수많은 같은 일이 생길 거라며 반대해 왔다. 결국 개악이 이뤄지면서 기존 개인정보 유출·판매자들도 면죄부를 받게 됐다. 

 

의료정보 유출이 초래할 미래

오늘날 문제가 되는 기업 개인정보 수집은 표면상 우리가 동의하기 때문에 일어난다. 물론 우리가 충분히 잘 알고 통제할 수 있는 상황에서의 동의가 아니라, 포괄적이거나 서비스 제공을 위해 선택권이 없는 상황에서의 동의다. 하지만 어쨌든 ‘거래’긴 거래다. 하지만 기업은 거래보다 아예 훔치고 싶어 한다. 동의에는 시간과 자원이 든다. 예컨대 카카오는 서울아산병원과, 네이버는 서울대병원과 데이터 합작회사를 만들어 수많은 내원환자 정보를 이용해 돈벌이를 하려 했지만 현행법 상 환자의 동의를 각각 받아야 해 사업을 벌이지 못해왔다. 이제 개정법이 발효돼 동의 없이 정보를 마음껏 활용한다면 땅 짚고 헤엄치는 장사를 할 수 있다. 땅 짚고 헤엄치는 대표적 기업이 바로 IMS헬스를 비롯한 데이터브로커다. 한국 정부는 개인정보 보호 수준을 낮춤으로써 국민 의료정보를 활용한 데이터브로커 합법적 육성에 나선 셈이다. 

 

그럼 우리의 의료데이터는 누가 재식별하고 어디에 쓰일까? 2015년 미국배우 찰리 쉰은 자신이 에이즈 진단을 받았다는 것을 공개하겠다는 협박을 받고 이를 입막음하기 위해 수백만달러를 지불했지만 비밀은 지켜지지 않았다고 밝힌 바 있다. 이런 일은 유명인에게만 일어나지 않을 것이다. 알츠하이머병, 심장질환, 요실금, 우울증, 과민성 대장증후군, 임신과 분만, 자연유산과 인공유산, 성폭력 피해 정보 등이 사고 팔린다고 생각해 보자. 예컨대 발기부전으로 비아그라를 복용중이라면 결혼 중매업체는 그 정보를 적극 활용할 것이다. 위장에 문제가 있다는 사실을 보험사가 알게 된다면 보험에 가입시키지 않으려 할 수 있다. 우울증이 있다는 것을 안다면 기업은 채용을 거부할 수 있다. 미국에서 데이트 상대를 주선하는 ‘엘리트메이트’라는 웹사이트는 마케팅이나 광고 업체에 수집한 정보를 재판매하는데, 여기에는 에이즈 환자 리스트도 있었다. 한국에서도 에이즈 같이 여전히 사회적 차별이 심각한 질환에 걸렸다는 사실이 공개되거나 기업에 활용될 경우 일상생활 자체가 어려워질 수 있다. 

 

유전자정보도 활용될 것이다. 최근 정부가 개인의뢰 상업 유전자검사(DTC) 규제를 풀고 있어 유전자정보는 점점 더 영리기업에 손쉽게 넘어갈 수 있게 되고 있다. 세계적으로 DTC업체들의 가장 큰 목적은 상품판매보다 유전자정보 획득 그 자체다. 대표적으로 미국 23앤미가 5백만 명 고객의 정보를 판매한 것이 폭로된 바도 있다. 유전자정보는 개인에 대한 근본적 정보를 담고 있어서 가장 민감할 뿐 아니라 내 부모와 자손과도 관계있는 정보다. 내 DNA에 들어 있는 정보 때문에 나와 내 가족들이 보험가입이나 취업에서 차별을 겪을 수 있다.

 

보이스피싱 같은 범죄 집단에 의료정보가 흘러들어가도 심각하다. 미국 인포유에스에이(infoUSA)라는 데이터 판매 업체는 ‘어려운 처지의 노인들’ 리스트를 광고해 범법자들에게 판매했는데, 범죄자들은 이 정보를 이용해 보이스피싱 등으로 노인들이 평생 모든 저축을 훔쳤다. 광고 리스트에는 암이나 알츠하이머를 가진 ‘병을 앓는 고령자’ 470만 명의 정보가 포함돼 있었다. 리스트에는 다음과 같이 적혀있다고 한다. “이 사람들은 잘 속는다. 그들은 운이 바뀔 수 있다고 믿고 싶어 한다.” 

데이터 판매기업들은 SNS도 의료정보로 활용한다. IMS헬스는 2013년에 이 분야를 전문으로 하는 분석 회사를 인수한 바 있다. 보험사들이 SNS 정보를 이용해 보험의 내용을 바꾸거나 보험료를 인상한다면 심각한 문제가 될 것이다. 한국 정부도 1월에 신용정보보호법을 함께 개정해 기업들이 소비자의 SNS 기록을 활용할 수 있도록 했다. 

 

제약회사는 의료정보로 맞춤형 광고를 시도할 것이다. 그런데 신발이나 오디오 맞춤형 광고는 큰 문제가 아니겠지만 의료광고는 폭력적으로 다가올 수 있다. 예컨대 정신질환이나 비뇨기 질환, 성병에 대한 맞춤형 광고가 제공된다면 소비자들은 당혹감을 느낄 수 있다. 

 

데이터 기반 의료 혁신?

의료정보 상업화론자들은 그럼에도 불구하고 미래 의료를 위해 정보활용이 필수라고 주장한다. IMS헬스도 미국에서 데이터 판매로 소송에 휩싸일 때마다 자신들이 공중보건 감시나 치료결과에 대한 연구 등 공익에 기여한다고 주장한다. 하지만 과장에도 불구하고 데이터의료로 혁신이 나타나지 않고 있다. 데이터 기반 연구가 잘 설계된 임상시험만큼 효과가 있다는 증거가 없다. 게다가 연구자들은 빅데이터라 하더라도 공공기관이나 비영리기관을 통해 연구 데이터를 공유하는 것이 훨씬 낫다고 주장한다. 영리기업이 판매하는 환자 정보는 구하기 어렵고 비용이 많이 드는 반면, 전세계적으로 중요한 연구들이 정부가 보유한 데이터베이스로부터 나왔다고 알려져 있다. 

 

공익성을 강조하는 영리기업들의 이런 주장은 대체로 이들의 실제 목적이 홍보와 마케팅이라는 사실을 은폐하기 위한 것이다. 막상 IMS헬스 같은 기업들이 방대한 의료정보를 수집해 주로 하고 있는 일은 의사 리베이트다. 공익은커녕 의사들에게 효과적으로 뒷돈을 줘 기존의 값싼 약 대신 신약을 처방하게 만드는 방식으로 의료비를 상승시키는 데 기여하고 있을 뿐이다. 

 

이들이 말하는 소위 ‘혁신’이란 무엇인지도 볼 필요가 있다. 정보 활용론자들은 예컨대 스마트폰 사용패턴을 분석해 얼마나 다양한 장소를 방문하고 규칙적으로 생활하는지 감시함으로써 우울증이 있는지 알아낼 수 있다고 한다. 또는 트위터에 ‘잠을 잘 수 없다’거나 ‘나 혼자 깨어 있다’는 포스팅을 감시해 불면증이 있는지 파악할 수 있다고 한다. 이런 활용은 별 의미 없는 질병과의 상관관계만을 보여줄 뿐 새로운 진단과 치료를 제공하는 것도 아니다. 오히려 개인에 대한 기업 감시와 통제 위험이 높아질 미래를 경고하는 사례다. 

 

정부가 추진하는 민간보험사 건강관리서비스 역시 마찬가지다. 웨어러블 기기를 착용한 개인에게 건강관리 책임이 내맡겨질 것이고 기업은 개인의 신체를 통제하며 과잉의료로 이익을 볼 것이다. 애초에 건강생활을 실천할 수 없는 사람들은 사회적 원인교정이라는 정책적 혜택을 보기는커녕 보험사의 손해율을 높인 죄로 보험료 인상이라는 패널티를 부과 받게 될 것이다. 

상업적 정보활용이 의료에 미칠 결정적 영향은 오히려 이런 것이다. 환자가 의료기관의 정보보호에 대한 신뢰를 상실하게 되는 것이다. 이는 생각보다 심각한 문제다. Patient Privacy Rights의 창시자인 데보라 필 박사는 매년 수백만 명의 사람들이 건강 데이터 유출을 우려하며 치료를 기피한다고 말한다. 미국 보건복지부에 따르면 이런 이유로 20만 명의 미국인들이 정신질환에 대한 치료를 받지 않았고, 58만 여 명의 미국인들이 조기 암 치료를 받지 않았고 한다. 또 성병을 앓는 수백만의 미국 젊은이들이 치료를 받지 않았고 PTSD를 앓는 15만 명의 병사가 프라이버시 문제로 치료를 받지 않았다. 환자가 자신의 건강 상태가 외부에 알려질 수도 있다는 두려움 없이 의료인을 믿고 모든 것을 털어놓을 수 있어야 한다는 것은 보건의료체계 성립의 기본 전제다. 정보유출 우려가 높아지는 것은 보건의료체계 전체를 흔들 수 있다. 

 

존엄과 자유를 지키는 정보보호와 공적 이용

이런 우려와 반대에도 불구하고 정부는 정보인권에 대한 조금의 전향적 인식도 없는 태도를 고수하고 있다. 개인정보보호법 개악안을 통과시킨 지 일주일 만에 ‘바이오헬스 핵심규제 개선방안’을 내놓고 의료데이터를 민간기업에 개방·활용하겠다는 계획을 발표했다. 하지만 이는 결코 쉽지만은 않을 것이다. 개인정보보호법 상 ‘건강, 성생활에 관한 정보’는 별도의 동의를 얻어야 처리할 수 있는 민감정보다. 따라서 가명처리를 허용했다고 민감정보를 함부로 유출·판매하기는 어려울 수 있다. 게다가 개인정보보호법보다 특별법 지위를 갖는 의료법과 국민건강보험법 상 의료기관에서 발생한 정보와 청구데이터는 누설하거나 부당한 목적으로 사용하거나 제3자에게 제공할 수 없다. 따라서 개인의료정보를 영리기업에 공유하겠다는 정부 계획은 법적 근거를 따져봐야 할 일방적 발표다. 

 

한국은 국민 모두에게 주민등록번호라는 고유식별번호가 존재해 개인정보 보호가 어렵고 카드사 대량 정부유출사고 등이 벌어진 나라다. 개인정보를 더 손쉽게 기업에 넘길 것이 아니라 거꾸로 보호를 강화해야 한다. 21대 국회에서 개인정보보호법은 재개정되어야 한다. 특히 의료정보 상업화는 국민들에게 잘 알리지도 않은 채 추진되었고, 대다수 국민들이 반대하는 사안임이 확인되었으므로 전면 폐기돼야 한다. 지난 11월 노동시민사회단체가 실시한 설문조사에서 81.9%가 이러한 개악 추진 자체를 몰랐고, 가명정보를 동의 없이 기업 간 제공하는 데 80.3%가 반대했다. 경제발전을 명분으로 하더라도 66.7%가 정보인권을 포기할 수 없다고 답한 바가 있다. 정보의 자기결정권 강화를 위해 국민 개개인이 자신의 정보를 공유할지의 여부와 방법을 결정할 수 있어야 하고, 정보 제공 여부에 대한 선택지는 법률적·의학적 전문지식이 없더라도 이해할 수 있을 정도로 명확한 언어로 제공되어야 한다. 

 

이런 정보보호가 학문을 위축시킬 것이라는 일각의 주장은 근거 없는 것이다. 시민사회는 사회공공성 강화를 위한 학문연구를 반대하지 않는다. 실제로 많은 사람들이 기업 이윤이 아니라 사회적 이익을 위해 자신의 정보를 공유하는 데에는 동의할 것이다. 

 

지난 해 산업연구원(KIET)이 펴낸 ‘바이오데이터 공유에 대한 한국의 사회적 수용성 현황과 과제’ 보고서에서도 이를 확인할 수 있다. 설문결과에 따르면 난치병 치료제 개발 등 사회공공의 이익을 위해서 국가가 나서 개인의 의료정보를 활용하는 것에 61.8%가 찬성했고, 이를 위해 78%의 응답자가 자신의 의료정보를 허락할 의사가 있다고 밝혔다. 다만 기업이나 개인이 이익을 편취했을 때 징벌적 손해배상을 하는 정책적 보완이 필요하다는 의견이 압도적이었다. 불과 5.5%만이 개인 의료정보를 활용한 이익이 특정 기업이나 개인에게 편중되고 사회공공의 이익으로 공유되지 못하는 상황을 긍정적으로 용인하겠다고 밝혔다. 즉 경제발전 논리와 기업 이익편취가 아니라 연구 과정이 투명하고 그 결과를 공공재로 누리는 것에 대해서는 많은 국민들이 찬성하고 있는 것이다. 시민들은 이미 답을 알고 있다. 우리는 이러한 뜻을 모아나가야 한다. 

 

데이터기반 사회에서 개인정보를 활용한 기업의 영리행위와 통제력 강화는 불가피한 흐름인 것처럼 인식되는 경향이 있다. 하지만 이는 정해진 선택지가 아니다. 점차 노골화되는 기업 감시와 이와 맞물린 신체와 의료에 대한 통제에 맞서 인간의 존엄을 지키기 위한 싸움이 우리의 미래를 결정할 것이다. 정보기술의 발전이 진정 모두의 자유와 행복을 증진시키는 데 기여할 수 있는 사회로 향하도록 끈질긴 행동이 요구되고 있다. 

 

참고문헌

브루스 슈나이어, <당신은 데이터의 주인이 아니다>, 반비, 2016

애덤 태너, <보건의료 빅데이터로 영리를 추구하는 기업들>, 따비, 2019

최윤섭, <디지털헬스케어>, 클라우드나인, 2020

최윤희, <데이터 AI 기반 바이오경제에 대한 한국의 사회적 수용성 현황과 과제>, 산업연구원, 2019

Charles Duhigg, Bilking the elderly, with a corporate assist, nytimes, 2007

Rick Kam, Top 3 issues facing patient privacy, HealthcareITNews, 2012

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입


참여연대 NOW

실시간 활동 SNS

텔레그램 채널에 가장 빠르게 게시되고,

더 많은 채널로 소통합니다. 지금 팔로우하세요!