[바이오타임즈] 시리즈 기고의 마지막 주제로, 디지털 헬스케어 산업 전체에서 매우 중요한 역할을 하는 보건의료 데이터의 수집, 활용에 관한 규제를 알아보고자 한다. 보건의료 데이터는 디지털 헬스케어 산업의 핵심적인 원료로서, 전통적인 헬스케어 산업과 차별점을 만들어 내는 주요 요인이기도 하다.
2020년에 데이터 3법(개인정보보호법, 신용정보법, 정보통신망법)이 개정되면서 ‘가명정보’ 개념이 도입되고 의료 데이터의 산업적 연구 활용 가능성이 크게 확대되었다.
본 기고에서는 먼저, 위와 같은 개인정보보호법 개정에 따라 가능해진 의료 데이터의 산업적 활용 방안을 소개하려고 한다.
이어서, 빅 데이터가 적용된 의료기기(디지털 치료제)에 좀 더 포커스를 맞추어, 빅 데이터가 적용된 디지털 치료제를 개발하고 허가 받기 위해서는 어떠한 점을 유의하여야 하는지를 살펴본다.
◇개정 개인정보보호법에 따라 가능해진 의료 데이터의 활용
개인정보보호법은 ‘가명정보’라는 개념을 도입하여, 가명정보의 산업적 또는 상업적 목적으로의 활용 가능성을 열었다. 가명정보란 ‘개인정보 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록’ 처리함으로써 원래 상태로 복원하기 위한 추가정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보를 일컫는다(개인정보보호법 제2조 제1호 및 제1의2호).
개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이도 가명정보를 처리할 수 있다(제28조의2). 따라서 의료 데이터를 가명 처리하였다면, 비교적 자유롭게 산업적 또는 상업적 목적으로 사용할 수 있는 것이다. 예를 들어, 가명 정보를 활용하여 아래와 같은 연구들의 수행이 가능하다(보건의료 데이터 활용 가이드라인 참조).
ㆍ의료기기를 개선·개발하거나, 기존 의료기기의 효과를 평가하기 위한 연구
ㆍ의료적 목적을 갖는 소프트웨어를 개선·개발하거나, 기존 의료적 목적을 갖는 소프트웨어의 효과를 평가하기 위한 연구
ㆍ건강상태 모니터링, 운동지도 등의 비의료적 건강관리 목적을 갖는 소프트웨어를 개선·개발하거나, 기존 비의료적 건강관리 목적을 갖는 소프트웨어의 효과를 평가하기 위한 연구
ㆍ특정 질환을 앓고 있거나, 특정 치료제·치료법에 적합한 임상적 요건을 갖춘 환자의 수, 지역적· 연령적 분포 등을 살피는 연구, 타 질환과의 연관성을 살피는 연구
ㆍ보건의료 데이터를 표준화하거나, 품질을 높이거나 안전하게 보호하는 등 보건의료 데이터를 원활히 관리하기 위한 기술·소프트웨어를 개발하기 위한 연구
구체적으로 어떠한 절차를 통해 가명정보를 확보하고 이를 활용할 수 있을지를 살펴볼 필요가 있다. 이에 대해서는 개인정보보호위원회와 보건복지부가 함께 발행한 보건의료 데이터 활용 가이드라인에 자세히 설명이 되어 있는데, 그 모식도는 아래와 같다.
이와 관련하여, 데이터활용신청서 작성시 구체적인 연구목적 및 데이터 처리 방법을 기재해야 한다는 점, 데이터 활용요구서 공문은 가급적 개인이 아닌 회사 명의로 발송하는 것이 바람직하다는 점 등은 특히 유의하여야 한다.
◇빅데이터 및 인공지능 기술이 적용된 디지털 치료제에 관한 이슈
머신 러닝 방식으로 의료용 빅데이터를 학습하는 의료기기에 대하여 식약처는 ‘빅데이터 및 인공지능(AI) 기술이 적용된 의료기기의 허가·심사 가이드라인’을 통해 구체적인 허가∙심사 방안을 제시하고 있다. 그 주요 내용을 소개하면 아래와 같다.
ㆍ허가심사 시 허가심사 신청서의 ‘성능’에는 주요기능, 클라우드 서버 운영환경, 클라우드 서비스 형태, 보안규격 등 기술적 사양을 기재함. 주요기능에는 진단·예측을 위해 사용자가 입력하는 정보와 출력정보, 학습 데이터 업데이트의 주기, 진단 결과의 정확도에 대한 사항을, 클라우드 서버가 사용되는 경우에는 클라우드 서버의 운영환경과 클라우드 서비스 형태를 기재함. 보안에 대한 사항은 데이터 암·복호화, 익명화 정책 등 보안규격을 기재함
ㆍ빅데이터 및 인공지능 기술이 적용된 의료기기의 경우, 입력되어 있는 데이터는 제품의 성능 및 유효성에 영향을 미칠 수 있으므로, 제조자는 학습 데이터의 유효성이 일관되게 유지되도록 데이터 관리정책을 수립하여야 함. 또한 업데이트 시기에 대하여도 제조자 및 의료기관의 협의가 필요함
ㆍ의료기기가 허가·인증을 받은 이후 허가·인증 사항의 변경이 발생하는 경우 원칙적으로 변경 허가·인증을 받아야 하나, 빅데이터 및 인공지능 기술이 적용된 의료기기는 제품이 자체적으로 학습하고 이에 따른 성능이 빈번하게 변경될 수 있으므로, 의료기기 설계 변경 없이 학습 데이터 추가로 인하여 정확도가 향상되는 경우에는 변경허가·인증 절차가 면제될 수 있음.
ㆍ의료기기 허가·인증 후 클라우드 서비스 형태(예: IaaS, PaaS, SaaS)를 변경하거나 의료기기의 성능에 영향을 미치는 클라우드 서버의 운영환경에 대한 변경이 발생한 경우에는 변경허가를 받아야 함
ㆍ의료기기 제조자(수입자)는 의료기기 소프트웨어의 보안(접근통제, 개인정보비식별화, 데이터 암·복호화 등)에 필요한 기술적 조치를 수행하고 문서화해야 함
ㆍ클라우드 서버의 보안에 필요한 관리적·물리적·기술적 사항은 의료법 및 개인정보보호법에 따라 관리되어야함
3회에 걸쳐 디지털 헬스케어에 관련된 주요 법적 쟁점들을 알아보았다. 디지털 헬스케어 전체를 놓고 보면, 기고에서 소개한 법적 쟁점들은 극히 일부 쟁점에 불과하다고 할 것이다. 다만 전체 규제를 개관해보는데 조금이나마 도움이 되기를 바라면서 글을 작성하였다.
디지털 헬스케어 산업은 매우 다양한 방향으로 팽창해 나가고 있고, 산업적으로도 그 발전방향을 쉽게 규정하기 어려워 보인다. 하물며 산업보다 속도가 뒤늦을 수밖에 없는 규제와 법제의 영역에서는, 일관된 규율을 만드는데 더 큰 어려움이 있을 것으로 생각한다. 실제로 수많은 법률, 법령, 가이드라인이 다소 산발적으로 제정되어 교차적으로 적용되고 있으므로, 향후 관련 사업을 추진하고자 하는 기업들은 면밀하게 대비를 할 필요가 있을 것이다.
신기현 변호사(법무법인 윈스 파트너 변호사) kihyun.shin@winslaw.co.kr