디지털헬스케어법, 개인정보 보호와 AI 활용 사이 균형점 찾기

핵심 요약

- 디지털헬스케어법이 신약개발 및 AI 연구를 위한 보건의료정보 활용 활성화를 목표로 추진 중 - 정보 활용 범위, 편익 배분, 환자 보호장치 등 개인정보보호 측면의 우려 동시 제기 - 개인정보 보호와 공익적 활용 간 균형, 명확한 책임소재 규정이 핵심 과제로 부상

주요 내용

2025년 11월 발의된 디지털헬스케어법은 개인보건의료정보의 보호와 공익적 활용이라는 두 가지 목표를 동시에 추구하고 있다. 이 법안은 AI 기반 신약개발, 질병 예측 모델 연구 등 헬스케어 산업의 혁신을 위해 의료정보의 활용 범위를 확대하는 내용을 담고 있다.

그러나 의료정보의 민감성을 고려할 때, 정보 활용 범위의 명확한 한계 설정이 필요하다는 지적이 제기되고 있다. 특히 AI 학습 데이터로 활용되는 과정에서 비식별 조치의 적정성, 재식별 위험 관리, 정보주체의 동의 범위 등이 쟁점으로 떠올랐다. 또한 의료정보를 활용한 연구 성과나 상업적 이익이 발생할 경우 환자에게 어떤 방식으로 편익을 배분할 것인지에 대한 구체적 방안도 마련되어야 한다는 목소리가 높다.

무엇보다 의료정보 활용 과정에서 발생할 수 있는 개인정보 침해, 오진, 차별 등의 문제에 대한 책임소재가 명확히 규정되어야 한다는 점이 강조되고 있다. AI 진단 시스템의 오류로 인한 피해, 데이터 유출 사고 등에 대해 의료기관, AI 개발사, 데이터 제공자 중 누가 어느 범위까지 책임을 질 것인지가 법안의 핵심 과제로 남아 있다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 디지털헬스케어법은 개인정보 생명주기 전반에 걸친 보호조치 설계가 필수적이다. 특히 의료정보는 개인정보보호법상 민감정보에 해당하므로, 수집·이용·제공·파기 각 단계에서 강화된 보호조치가 적용되어야 한다. AI 학습용 데이터 가공 시에는 k-익명성, l-다양성 등 프라이버시 보호 기술의 적용 기준을 구체화하고, 정보주체의 열람·정정·삭제 요구권 행사 절차를 명확히 해야 한다.

실무적으로는 의료기관과 AI 개발사 간 개인정보 처리 위탁 계약 시 책임 범위를 명확히 구분하고, 데이터 활용 목적 외 사용 금지, 재위탁 제한, 안전성 확보조치 이행 등을 계약서에 구체적으로 명시해야 한다. 또한 AI 모델 개발 과정에서 편향(bias) 검증, 설명가능성(explainability) 확보, 지속적인 모니터링 체계 구축이 필요하며, 이는 향후 사고 발생 시 면책 근거로도 활용될 수 있다.

CPPG·ISMS-P 연계 포인트

민감정보 처리 시 안전성 확보조치: 보건의료정보는 개인정보보호법 제23조의 민감정보에 해당하며, 처리 시 별도 동의와 함께 접근권한 관리, 암호화, 접속기록 보관 등 강화된 기술적·관리적 보호조치가 요구된다. ISMS-P 인증 시 민감정보 처리 시스템은 별도 심사 영역으로 분리하여 평가한다.

개인정보 영향평가(PIA) 수행 의무: 민감정보를 활용한 AI 시스템 구축 시 개인정보보호법 제33조에 따라 개인정보 영향평가를 수행해야 한다. 특히 대규모 의료정보 처리, 새로운 기술 도입, 정보주체 권리에 중대한 영향을 미치는 경우 전문기관의 평가를 받아야 하며, 평가 결과에 따른 개선조치 이행이 필수적이다.