보건의료 빅데이터 개방 확대, 개인정보보호 원칙 준수하며 AI 산업 활성화 본격화

핵심 요약

- 정부가 의료 AI·디지털 헬스케어 산업 활성화를 위해 보건의료 빅데이터 개방 정책을 확대 추진 - 개인정보보호법에 따라 실명 정보는 비식별화 처리하고, 기업 경영정보는 제외하는 등 프라이버시 보호 원칙 유지 - 민간기업의 상업적 활용 가능성 확대로 AI 기반 질병 예측, 맞춤형 치료 등 혁신 서비스 개발 기대

주요 내용

정부가 의료 AI와 디지털 헬스케어 산업의 핵심 인프라인 보건의료 빅데이터의 활용 범위를 대폭 확대하는 정책을 추진하고 있다. 건강보험 청구 데이터, 진료 기록, 처방전 정보 등 방대한 의료 데이터를 민간 영역에 개방함으로써 AI 기반 의료 서비스 개발을 촉진하겠다는 계획이다.

이번 개방 정책의 핵심은 개인정보보호와 산업 활성화의 균형을 맞추는 데 있다. 개인정보보호법의 기본 원칙에 따라 실명, 주민등록번호 등 개인 식별 정보는 철저히 비식별화(가명처리 또는 익명처리) 과정을 거쳐 제공된다. 또한 보험사의 심사 내역, 병원의 내부 알고리즘 등 기업의 경영상 민감 정보는 공개 대상에서 제외돼 영업 비밀 보호도 함께 고려됐다.

국내 헬스케어 기업들은 이번 정책을 통해 AI 기반 질병 조기 진단 모델, 개인 맞춤형 치료 추천 시스템, 신약 개발 플랫폼 등 혁신적인 의료 서비스를 개발할 수 있을 것으로 기대하고 있다. 특히 그동안 데이터 접근성 부족으로 어려움을 겪었던 스타트업과 중소기업들에게 새로운 비즈니스 기회가 열릴 전망이다.

다만 의료 데이터의 특수성을 고려할 때, 단순 비식별화만으로는 재식별 위험이 완전히 제거되지 않는다는 우려도 존재한다. 따라서 데이터 제공 시 기술적·관리적 보호조치를 강화하고, 데이터 활용 기업에 대한 사후 관리·감독 체계를 마련하는 것이 필수적이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 의료 빅데이터 개방은 정보보호 관리체계의 전 영역에 걸친 정교한 설계를 요구한다. 특히 가명정보 처리 단계(개인정보보호법 제28조의2)에서 k-익명성, l-다양성 등 통계적 비식별화 기법을 적용하고, 제3자 제공 시 적정성 검토(동법 제28조의4)를 통해 재식별 위험을 평가해야 한다. 데이터를 제공받는 민간기업은 목적 외 이용 금지, 안전성 확보조치(동법 제29조), 위·수탁 관리(제26조) 등 법적 의무를 엄격히 준수해야 한다.

기업 실무 대응 방향으로는 데이터 거버넌스 체계 구축이 최우선이다. 의료 데이터 활용 전 단계에서 개인정보 영향평가(PIA)를 실시하고, 데이터 라이프사이클(수집-저장-이용-제공-파기) 전 과정에 대한 접근통제, 암호화, 로그 관리 등 ISMS-P 인증 기준에 부합하는 보호조치를 이행해야 한다. 또한 AI 모델 학습 과정에서 발생할 수 있는 편향성, 차별 문제를 사전에 점검하고, AI 윤리 가이드라인을 수립하는 등 AI 거버넌스 체계도 함께 마련해야 한다.

CPPG·ISMS-P 연계 포인트

1. 가명정보와 익명정보의 구분 (개인정보보호법 제2조, 제28조의2) 가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 정보로, 통계작성·과학적 연구·공익적 기록보존 목적으로 정보주체 동의 없이 처리 가능하다. 익명정보는 더 이상 개인을 식별할 수 없어 개인정보보호법 적용 대상에서 제외된다. 의료 빅데이터는 대부분 가명정보로 제공되며, 결합·반출 시 개인정보보호위원회 지정 전문기관을 통해야 한다.

2. 안전성 확보조치 의무 (개인정보보호법 제29조, ISMS-P 인증기준 2.8) 개인정보처리자는 개인정보의 안전한 처리를 위해 내부 관리계획 수립, 접근통제, 암호화, 접속기록 보관 등 기술적·관리적·물리적 보호조치를 해야 한다. 특히 민감정보인 의료정보는 강화된 암호화(AES-256 등), 망분리, 2차 인증 등 추가 보호조치가 필요하며, ISMS-P 인증 취득 시 심사 중점 항목으로 평가된다.