정밀의료연구의 기본 재료는 많은 양의 정보입니다. 수많은 정보를 분석하고 처리하여 일종의 공식인 알고리즘을 만들고, 그 알고리즘의 검토하여 정확성을 높이는 데에도 정보가 필요합니다. 여기서 이 정보가 어떤 정보를 가리키는지 주목할 필요가 있습니다. 보통 개인정보라는 단어를 들었을 때, 우리는 주민등록번호, 전화번호, 그리고 집 주소 같은 것들을 떠올리기 쉽습니다. 하지만 정밀의료와 같은 의학연구에서 사용하는 정보는 주민등록번호와 같은 개인정보가 아닌, 개인의 신체에 관한 정보입니다. 신체와 관련된 정보를 나타내는 용어로는 의료정보, 진료정보, 건강정보 등의 단어가 있고, 의학연구에서는 주로 ‘의료정보’라는 단어를 사용하고 있습니다.

지난 글에서 등장했던 ‘개인정보 비식별 조치 가이드라인에서는 개인정보를 식별자와 속성자로 나누고 있습니다. ‘식별자’는 개인 또는 개인과 관련한 사물에 고유하게 부여된 값 또는 이름을 의미하고. 주민등록번호와 같이 어떤 사람을 쉽게 알 수 있는 정보들이 이에 속합니다. ‘속성자’는 다른 정보와 결합하는 경우 특정 개인을 알아볼 수도 있는 정보로서, 신체특성, 신용특성, 그리고 전자적 특성 등이 속합니다. 의료정보는 속성자에 해당하는 정보가 됩니다. 가이드라인에서는 개인정보를 이용할 때 식별자는 원칙적으로 삭제하고, 속성자는 이용하고자 하는 목적과 관계가 없는 경우에 원칙적으로 삭제할 것을 제시합니다. 어떻게 보면 이 가이드라인에서는 신체에 관한 정보를 주민등록번호보다 보호조치에 있어 낮은 수위에 두고 있지 않나 하는 생각이 들 수 있습니다. 원칙적으로 삭제하는 것이 아니라, 삭제에 단서가 필요하기 때문입니다. 하지만 이어 희귀 병명이나 희귀경력과 같은 속성자는 개인을 식별할 가능성이 매우 크다고 지적하면서, 정보이용 시 더 철저한 주의를 요구하고 있습니다. 이를 통해 구체적인 상황에서는 신체에 관한 정보가 개인을 바로 식별할 수 있는 정보에 준한다는 점을 알 수 있습니다.

가이드라인은 말 그대로 정보를 이용할 때 참고할 수 있는 안내문입니다. 또한, 위 가이드라인은 정보를 활용한 연구나 기술개발의 증진을 목적으로 두고 있기에, 개인정보에 대해 진보적인 관점을 보여주는 면이 있습니다. 반면 법은 의료정보에 대해 가이드라인 보다 보수적인 관점을 가지고 있습니다. 물론 일반적으로 떠올릴 수 있는 개인정보인 주민등록번호도 개인정보보호법 아래에 있지만, 한국에서는 개인정보보호법 제23조를 통해 신체에 관한 정보를 보다 민감한 정보로 규정하고 있습니다.

제23조(민감정보의 처리 제한) ①개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. <개정 2016. 3. 29.>

개인정보보호법 제23조 1항

사생활의 비밀은 대한민국헌법 제17조에서 보장하는 대한민국 국민의 기본적인 권리입니다. 또한, 사생활을 침해는 인권침해의 한 유형이며, 사생활을 침해당했을 때는 국가인권위원회에 진정, 민·형사 재판, 헌법소원 재판을 통해서 권리구제를 할 수 있습니다.

사생활의 비밀은 국가가 사생활영역을 들여다보는 것에 대한 보호를 제공하는 기본권이며, 사생활의 자유는 국가가 사생활의 자유로운 형성을 방해하거나 금지하는 것에 대한 보호를 의미합니다.

헌재 2003. 10. 30. 2002헌마518

즉, 의료정보는 헌법이 보장하는 개인의 권리인 사생활을 침해할 우려가 있는 개인정보로 일정 조건 아래에서만 처리해야만 하며, 이를 어기면 개인정보보호법 제71조에 따라 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하게 됩니다.

그렇다면 지금 한국에서는 어떻게 민감정보인 의료정보를 이용하여 정밀의료연구를 하고 있는지 질문이 떠오르게 됩니다. 그에 대한 답은 개인정보보호법 제23조 1항의 나머지 부분에 있습니다.

제23조(민감정보의 처리 제한) ①개인정보처리자는 -중략- 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. <개정 2016. 3. 29.>

1.정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

2.법령에서 민감정보의 처리를 요구하거나 허용하는 경우

개인정보보호법 제23조 1항

바로 정보의 주인에게 동의를 받는 것입니다. 정리하면 한국에서는 인권보장을 위해 의료정보를 수집, 이용하지 않는 것을 기본값으로 두고, 개인이 동의를 통해 스스로 정보의 공개를 선택하는 방법에 의해서만 연구자가 의료정보를 이용할 수 있는 것입니다.

의료정보는 민감정보이지만, 의학연구를 하기 위해서 필수적인 자원입니다. 그래서 더욱 정보 주체에게 정보제공에 대한 동의를 받는 것이 중요합니다. 그러나 정밀의료연구에서 수많은 정보가 필요한 만큼 많은 수의 동의를 받아야 하는 어려움 때문에, 정보제공에 대한 동의방법과 형식에 대한 논의가 더 필요한 상황입니다. 4차 산업혁명 시대에 들어 기존 연구환경에서 논의하지 않았던 정보이용과 같은 문제들이 새로운 의제로 제시되고 있습니다. 그러한 의제들에 최선의 방법들을 충분히 고민하면서 새 시대로 나아갈 수 있는 우리가 되기를 바랍니다.

<참고문헌>

• 국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부 부처 합동, 개인정보 비식별 조치 가이드라인, 2016
• 찾기 쉬운 생활법령정보, 사생활의 자유보장, 2019년 2월 15일 수정, 3월 4일 접속, <http://easylaw.go.kr/CSP/CnpClsMain.laf?popMenu=ov&csmSeq=574&ccfNo=2&cciNo=3&cnpClsNo=1&gt;