디지털 헬스케어법, 개인정보 보호와 데이터 활용 사이 갈등 본격화

핵심 요약

- 디지털 헬스케어법 입법 과정에서 개인정보 보호와 데이터 활용 확대를 둘러싼 의료계·시민사회와 산업계 간 입장 차이가 뚜렷 - 의료계와 시민사회는 개인정보 보호, 데이터 거버넌스, 책임체계 보완이 선행돼야 한다고 주장 - 산업계는 국가 AI 경쟁력 확보와 의료혁신을 위한 조속한 입법 필요성 강조

주요 내용

2026년 현재 디지털 헬스케어법이 첫발을 뗐지만, 개인정보 보호와 데이터 활용 확대를 둘러싼 이해관계자 간 갈등이 본격화되고 있다. 의료계와 시민사회는 민감정보인 의료데이터의 특수성을 고려할 때 개인정보 보호 장치가 충분히 마련되지 않은 상태에서의 데이터 활용 확대는 위험하다는 입장이다.

특히 의료계는 데이터 거버넌스 체계가 명확히 수립되지 않은 상황에서 의료데이터를 산업적으로 활용할 경우 개인정보 침해 사고 발생 시 책임 소재가 불분명해질 수 있다고 우려하고 있다. 의료기관과 데이터 플랫폼 사업자, AI 개발자 등 다양한 주체가 관여하는 만큼 명확한 책임체계 구축이 선행돼야 한다는 것이다.

반면 산업계는 글로벌 AI 헬스케어 시장에서 한국의 경쟁력 확보를 위해서는 양질의 의료데이터에 대한 접근성 확대가 시급하다고 반박한다. 미국, 중국 등 주요국이 의료 AI 개발에 박차를 가하는 상황에서 과도한 규제는 산업 발전을 저해할 수 있다는 논리다. 특히 익명화·가명처리 등 기술적 보호조치를 전제로 한 데이터 활용은 개인정보 보호와 양립 가능하다고 주장한다.

이번 논쟁은 AI 시대 개인정보 보호와 혁신 간 균형점을 찾아야 하는 전형적인 사례로, 디지털 헬스케어법의 최종 입법 내용이 향후 다른 분야의 AI 데이터 활용 정책에도 중요한 선례가 될 전망이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 디지털 헬스케어 분야는 개인정보보호법상 민감정보(건강정보)를 다루므로 일반 데이터보다 강화된 보호조치가 필수적이다. 특히 의료데이터는 재식별 가능성이 높고 한번 유출되면 회복 불가능한 피해를 초래할 수 있어, 가명·익명처리 기술의 적정성 검증, 접근통제 강화, 암호화 적용 등 기술적 보호조치가 법적으로 명확히 규정돼야 한다. 또한 데이터 생명주기 전반에 걸친 책임 추적성(accountability) 확보를 위해 처리 이력 관리, 제3자 제공 시 통제 메커니즘 등 거버넌스 체계를 구체화할 필요가 있다.

의료기관과 헬스케어 기업은 법 시행에 대비해 개인정보 영향평가(PIA) 수행, 내부 관리계획 수립, 정보주체 권리 보장 절차 마련 등 사전 준비가 필요하다. 특히 AI 학습용 데이터 구축 시 적법한 동의 획득, 목적 외 이용 제한 준수, 안전한 데이터 전송 체계 구축 등 개인정보보호법 및 ISMS-P 인증 기준에 부합하는 프로세스를 설계해야 한다. 데이터 활용과 보호의 균형점은 결국 투명성과 기술적 안전성에 달려 있으며, 이는 기업의 신뢰성과 지속가능한 성장의 기반이 될 것이다.

CPPG·ISMS-P 연계 포인트

민감정보 처리 특례: 개인정보보호법 제23조에 따라 건강정보는 민감정보로 분류되어 정보주체의 별도 동의가 필요하며, 처리 시 암호화 등 안전성 확보조치 강화가 의무화된다. 의료데이터 활용 시 법령에 근거하거나 명시적 동의를 받아야 하며, 목적 달성 후 지체 없이 파기해야 한다.

데이터 거버넌스와 책임성: ISMS-P 인증 기준 2.8(개인정보 처리단계별 요구사항)에서는 수집·이용·제공·파기 등 생명주기 전 단계에 걸친 통제 체계를 요구한다. 특히 제3자 제공 시 제공 내역 기록·관리, 제공받는 자의 안전성 확보 여부 확인 등 책임 추적성 확보가 핵심 요구사항이다.