심평원-민간보험사 간 정보제공에 대해

[칼럼] 여한솔 공중보건의

보건의료 정보 사용에 대한 관리감독 강화해야

사진: 게티이미지뱅크

<본 칼럼은 메디게이트뉴스의 편집방향과 일치하지 않을 수 있습니다.>


** 국정감사에서 지적된 심사평가원과 민간보험회사의 진료정보 제공
 
지난 10월 24일 정춘숙 더불어민주당 의원(국회 보건복지위원회)이 심평원 국정감사 중에 공개한 자료에 의하면, 심평원은 민간보험사 13곳에 진료환자 분석 및 보험상품 연구개발을 위한 위험률 산출 등의 목적으로 건당 30만 원의 수수료를 받고 '표본 데이터셋 정보'를 제공했다. 진료기록은 총 6420만 개에 달한다. 이는 다시 말해, 민간보험사들이 국민 대부분의 진료기록을 정부기관으로부터 '영리적인 목적'으로 제공받은 것을 지적한 것이다. 
 
여기서 '표본 데이터셋 정보'는 모집단 특성을 대표하는 표본을 추출해 성별, 연령을 담은 기본 정보에서부터 진료 행위를 담은 상병내역과 상병이 담긴 진료내역, 원외처방 내역 등 실질적으로 모든 진료정보를 포함하고 있다. 그런데 심평원이 2014년 공개한 국민건강 빅데이터는 원래 건강보험 수가 개발 등 국가의 공익적 목적을 위해 만든 자료이다.
 
** 복지부(심평원)의 해명
 
복지부는 이 문제에 대해 '개인정보는 모두 비식별화 돼 있고, 개인정보 비식별 정부 가이드라인을 이행했기 때문에 문제가 없다. 하지만 이 정보제공 서비스는 앞으로 전면 중단 하겠다'고 밝혔다. 문제가 없는데 중단하겠다고 하니 무언가 큰 문제가 있는 것으로 생각돼 이 부분을 집중적으로 파헤쳐 보기로 했다.
  
** 심평원 규정 중 정보 제공시 영리목적 사용불가 조항의 삭제
 
심평원은 표본데이터셋을 제공할 때 '학술연구용 이외의 정책, 영리목적으로 사용불가'하다는 서약서를 이용자로부터 받아야 한다. 하지만, 심평원은 2016년 8월에 이 조항을 삭제했다. 그 후 민간보험회사들은 적극적으로 '신 보험 상품 개발 및 신규위험률 개발 연구' 등의 영리적인 목적으로 표본데이터셋을 심평원으로부터 구매했다.
 
** 실손 보험 가입자의 필연적 손해 구조를 제공한 심평원
 
심평원이 민간보험회사에 제공한 진료정보는 현재 3600만 가입자를 보유한 민간보험회사들이 표본 집단의 진료내역을 분석해 가입자의 실손 보험료와 보험서비스 제공정도를 계산하는 근거가 됐고, 결국은 민간보험회사들의 수익구조를 탄탄히 해주는 데 이바지했다. 민간보험회사로서는 반드시 필요했던 과거 국민들의 진료정보를 넘겨준 일등공신이 국가공공기관인 심평원이 됐다.
  
** 위 사건에 대한 법리적 검토
 
위 사건에 대한 정확한 법률적 해석이 필요하다고 판단해 변호사에게 자문을 구했다.
 
1. <공공데이터법 제 28조> 제공중단에 대한 재량권이 각 공공기관에 부여되어 있다. 따라서 이번 국정감사에서 자료중단에 대한 것을 두고 이전 자료 제공하던 것을 위법사유로 판단할 수는 없다.
 
2. <공공데이터법 제 36조> 고의 또는 중대한 과실이 있는 경우를 제외하고 절차상에 따라 성실히 직무에 임한경우 민사상, 형사상의 책임을 지지 않는 면책이 명시되어 있기에 심평원 관계자 처벌은 어렵다.
 
3. <공공데이터법 제 3조 제 4항> 공공기관은 다른 법률에 특별한 규정이 있는 경우 또는 제 28조 1항 각 호의 경우를 제외하고는 공공데이터의 영리적 이용인 경우에도 이를 금지 또는 제한하여서는 아니 된다.
 
4. 안전행정부가 매년 공공기관을 대상으로 공공데이터 제공 운영 실태를 조사 및 평가하고 결과는 전략위원회와 국무회의에 보고하기에 관리감독실태가 부실하다고 볼 수 없다.
 
이해하기 쉽게 정리하자면, 개인정보 비식별화 가이드라인만 잘 지켰다면, 그리고 국정감사에서 밝혀진 내용만 놓고 보면 아무도 법을 위반하지 않았다. 또 객관적인 사실관계를 입증할만한 자료가 없다면 그 누구도 처벌할 수 없다는 것이다.
  
** 공공데이터법 법안 제정 당시의 문제점
 
이미 늦었지만 알게 된 이상 공공데이터법과 관련한 문제점은 짚고 가야한다.
 
빅데이터의 사용에 영리적인 목적을 허용함에 따라 민간보험회사들이 해당 자료를 이용해 폭리를 취할 수도 있는 상황이라면, 상당한 보험혜택을 누릴 것으로 생각하고 높은 보험료를 지불하고 있는 국민이 고스란히 피해를 입게 된다. 또한, 뒤에 설명할 개인정보 보호에 관한 법률적 보장 내용이 빠져있다.
 
공공데이터법안은 2013년 당시 새누리당 김을동 의원이 대표 발의했는데, 여야 모두 특별한 반대 없이 빠르게 국회에 상정돼 통과됐다.

** 개인정보 비식별화의 문제점
 
'개인정보 비식별화'와 관련한 개인정보 유출 우려는 언론을 통해 조명된 바 있다. 비식별화는 개인정보 가운데 특정 항목을 블라인드 처리하는 것으로, 다른 정보와 결합되면 재식별이 가능해지는 한계를 갖는다. 예를 들어, 이름과 나이, 혈액형, 혈압, 직업, 주거지 가운데 이름을 블라인드 처리하는 경우 당장은 누구의 정보인지 식별이 불가능하지만, 이 정보가 비슷한 유형의 다른 개인정보와 결합되면 재식별이 돼 누구의 정보인지 알게 될 가능성이 있다. 
 
'개인정보 비식별화 가이드라인'은 국민에게 동의 유무를 묻지 않았다. 보안 전문가들과 국민이 함께 모여 이야기할 수 있는 제대로 된 공청회도 거치지 않고 만들어졌다.
  
** 개인정보 노출 천국 대한민국
 
개인정보 비식별 정부 가이드라인은 법률의 위임 없이 만들어졌기 때문에 일반 국민의 개인정보보호에 대한 권리 및 의무를 규율하는 법적 근거가 없다. 비식별화된 정보가 앞서 말한대로 재식별 될 경우를 대비한 감독기관과 비식별화 의무 불이행에 대한 법적 규제가 마련됐음에도 불구하고, 행정안전부의 빅데이터가 잘못 사용되는 사례를 막기 위한 관리감독은 면밀하게 이뤄지지 않은 것으로 보인다.
 
** 개인정보 유출 여부 조사 및 '비식별화'가 아닌 '익명화' 요구
 
공공데이터법과 심평원의 '영리목적 사용불가 조항' 삭제 때문에 심평원과 민간 보험회사 간 정보거래에 대해 위법사항 유무를 따질 수는 없다. 공공데이터법 제정 당시 예상되는 문제점에 대한 충분한 검토가 없었다는 차가운 현실을 감내할 뿐이다. 그러나, 아래의 두 가지는 분명히 짚고 가야 한다고 주장한다.
 
첫째, 심평원에서 제공하는 데이터셋의 재식별화를 통한 개인정보 추출이 가능하다는 점에 대해 실제적인 자료 조사가 필요하다. 민간보험회사에서 비식별화된 정보를 재식별해서 각 표본의 개인정보(이름, 주소, 연락처 포함)가 유출됐지의 유무를 당국이 조사할 필요가 있다(개인정보는 보험회사가 원하는 필수정보이기 때문이다).
 
둘째, 공익적인 목적으로 빅데이터를 정부기관이 민간기관에 제공해야 한다면, 모든 개인정보들은 '비식별화'가 아닌 '익명화'해야 한다. 법률상에도 존재하지 않는 '비식별화' 용어는 하루 빨리 폐기돼야 한다.
 
** 결론
 
4차 산업혁명 시대가 도래하는 만큼, 공공기관이 갖고 있는 빅데이터의 개방은 불가피한 흐름이다. 그렇다면 정보를 민간기관에 제공할 때 개인정보가 철저히 보호되고 국민을 위해 소중하게 사용되고 적절하게 관리되는지 감독해야 한다. 그러나 국민들은 이러한 정보제공이 이뤄지고 있는지 조차 잘 알지 못하고 있으리라고 본다. 
 
환자들의 개인정보 하나만 유출돼도 벌떼처럼 의료인을 공격하던 언론들이 이번 일에는 아무도 관심을 갖지 않는다. 몇몇 뉴스에서만 간단하게 소개됐을 뿐, 안타깝게도 전혀 이슈화되지 못하고 잠잠해졌다.
 
법률은 모든 국민을 보호하기 위해 존재해야 의미가 있지, 특정 소수의 이익만을 지키는 것은 의미가 없다. 무엇이 잘못되었는지 먼저 정확히 알고 면밀히 검토해 잘못된 제도를 하나씩 고쳐나가는 바람직한 사회가 되길 고대한다.


 

#칼럼 # 여한솔 # 심평원 # 복지부 # 실손보험 # 개인정보

댓글보기(0)
전체 뉴스 순위
칼럼/MG툰
English News

전체보기

유튜브
사람들
이 게시글의 관련 기사