AI

의료 클라우드 시장 노리는 AWS “의료법 테두리 안에서 공략”

강민혜

- 국내 데이터 3법 도입 논의, 이제 겨우 시작
- 하이테크 기술 발달 기본법제 안에서 시작하게 한 미국과 너무 달라

(사진=pixabay)
(사진=pixabay)

[디지털데일리 강민혜 기자] “많은 의료 서비스 제공자, 보험사 및 IT 전문가가 AWS(아마존웹서비스)의 유틸리티 기반 클라우드 서비스를 사용하여 개인 건강 정보(PHI)를 처리, 저장 및 전송하고 있으며, 그 수는 계속 늘어나고 있습니다. AWS는 HIPAA(1996년 미국 의료 정보 보호법)에 따라 대상 엔터티 및 비즈니스 관련자가 안전한 AWS 환경을 사용하여 개인 건강 정보를 처리, 유지 관리 및 저장할 수 있도록 지원합니다.”

최근 AWS가 자사의 의료 솔루션을 판매하며 내세운 글이다.

HIPAA(Health Insurance Portability and Accountability Act)는 건강보험 양도 및 책임에 관한 법이다.

미국 HIPAA는 일상적인 의료 업무 목적으로 수집되는 개인건강정보의 2차적 활용은 금하고 있다. 원칙적인 기본법으로 역할한다.

개인식별정보는 연구 목적을 공개했을 때 정보 주체의 승인을 거쳐 전송은 가능하다. 치료, 지불, 의료서비스 관련해서다. 다만 문제가 생기는 부분은 건강 소셜 미디어 앱, 웨어러블 건강제품, PHI(Protected Health Informaion) 중개기관, 운동·칼로리 계산 앱 등은 HIPPA 적용 대상이 아니라는 것이다.

PHI를 직접 사업 목적으로 다루지 않고 저장만 할 뿐인 기업의 경우 HIPPA가 제재할 이유가 없다는 게 미국의 결정이다. HIPPA는 특히 치료 목적으로는 동의 없이 PHI를 활용할 수 있게 한다. 그 외는 전면 불가능하다. 이에 따라 PHI는 반드시 비식별조치 돼야 한다.

우리나라는 어떨까.

디지털 3법 개정에 따라 개인정보보호법, 신용정보보호법, 정보통신망법에서 일부 보건 의료 데이터 활용, 보건 의료 분야 가명정보 결합과 전송 등에 관한 업무 지침이 내려졌다.

가명정보에 한해 통계 작성, 연구, 공익적 기록 보존 목적 등이 있으면 정보 주체의 동의 없이 활용 가능한 것.

익명정보는 개인정보가 아니어서 자유롭게 활용 가능해진다. 이같은 데이터3법 개정 배경은, 국내 EMR(전자의무기록) 도입률이 높다는 현실적 이유에 따른 것이다. EMR은 개인의 진료에 관한 기록으로, 정보를 저장해 치료 또는 연구 목적으로 활용한다.

지난 2002년 전자서명법 제정 이후 의료법 제23조에서 전자문서의 유효성을 인정, 이후 EMR을 도입했다. 이후 2017년 기준 의료기관의 71%에서 EMR을 활용 중이다.

데이터3법은 이 때문에 발생한 보건의료 빅데이터의 활용에 가명, 익명정보화해 제3자가 활용할 수 있는 길을 다소 열어준 것이다.

각 데이터의 소유 주체가 달라 환자가 여러 기관 혹은 병원을 오가며 취합하는 정보들을 이제 한 기관 혹은 병원만을 방문해도 되는, 간소화된 절차를 제공하겠다는 것.

미국은 HIPPA 내에 하이테크 기술이 있다. 의료 정보를 다루는 법제 내에서 모든 기술의 준비가 이뤄진다는 점에서, 관련 사업자 등의 의사결정이 효율화된다는 장점이 있다.

국내서도 건강포털, 소셜미디어 등을 보건 의료 데이터로 분류 후 관련 논의를 진행 중이다.

김재선 부산대학교 법학전문대학원 교수는 지난 9일 진행된 보건 의료 데이터 토론회에서 “개인정보를 저장하는 기관이 PHR을 중개하지 않는 이상 HIPPA에 적용되지 않는다고 미국은 규정하고 있다”며 “강력한 법 제정 아래 인프라 기업들의 활동이 이뤄지므로 기본법이 잘 지켜진다는 장점이 있다. 기술 고도화에 따른 논의도 당연히 법을 지키면서 이뤄지는 측면이 있다”고 강조했다.

강민혜
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널