디지털헬스케어법 제정 논의 본격화…개인정보보호·AI 규제 충돌 쟁점

핵심 요약

- AI 의료기기와 보건의료데이터 활용 증가로 디지털헬스케어법 제정 필요성 대두 - 개인정보보호법, 생명윤리법, AI기본법, 디지털의료제품법 등 다층적 규제 체계로 혼선 발생 - 법률 적용 범위, 규제 주체, 공공성 보장 방안 등에서 이해관계자 간 입장차 뚜렷

주요 내용

2026년 현재 AI 기반 의료진단 시스템과 디지털 치료기기가 의료 현장에 빠르게 도입되면서, 이를 체계적으로 규율할 디지털헬스케어법 제정 논의가 본격화되고 있다. 특히 AI 의료기기의 승인·허가 절차, 보건의료데이터의 수집·활용·공유 기준, 환자 안전성 보장 체계 등을 종합적으로 규율할 법적 기반이 필요하다는 데는 의료계, 산업계, 정부가 공감대를 형성했다.

그러나 구체적인 법률 설계 과정에서는 쟁점이 산적해 있다. 가장 큰 문제는 개인정보보호법, 생명윤리 및 안전에 관한 법률, 2024년 제정된 AI기본법, 그리고 의료기기법 체계 내 디지털의료제품 규정 등이 각각 다른 기준과 절차를 적용하고 있다는 점이다. 예컨대 AI 진단 보조 시스템의 경우 의료기기법상 허가, AI기본법상 고위험 AI 시스템 규제, 개인정보보호법상 민감정보 처리 요건이 중첩 적용되어 사업자들이 규제 불확실성을 호소하고 있다.

특히 규제 주체 문제도 복잡하게 얽혀 있다. 식품의약품안전처는 의료기기 안전성·유효성 심사를, 개인정보보호위원회는 의료정보 보호를, 과학기술정보통신부는 AI 기술 표준을 각각 담당하면서 업무 중복과 공백이 동시에 발생하고 있다. 디지털헬스케어법 제정 시 이들 기관의 권한을 어떻게 조정할지, 통합 심사·인증 체계를 구축할지가 핵심 쟁점으로 떠올랐다.

공공성 보장 방안도 뜨거운 논쟁거리다. 의료 AI의 알고리즘 투명성, 의료 격차 해소, 취약계층 접근성 보장 등을 법률에 명시해야 한다는 주장과, 과도한 규제가 혁신을 저해할 수 있다는 우려가 맞서고 있다. 특히 보건의료데이터 활용 범위를 둘러싸고 연구·산업 발전을 강조하는 입장과 환자 프라이버시 보호를 우선시하는 입장 간 간극이 크다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 디지털헬스케어 영역은 개인정보 중 가장 민감한 의료·건강정보를 다루면서 동시에 AI 알고리즘의 자동화된 의사결정이 생명·신체에 직접 영향을 미치는 고위험 분야다. 따라서 단순히 새로운 법률을 제정하는 것을 넘어, 기존 개인정보보호 체계와의 정합성을 철저히 검토해야 한다. 특히 의료정보의 가명처리 기준, 제3자 제공 요건, 정보주체 권리 보장 메커니즘이 개인정보보호법 제23조, 제24조와 어떻게 조화를 이룰지 명확히 해야 한다.

기업 입장에서는 법률 제정 과정에 적극 참여하여 실무적 어려움을 전달하되, 컴플라이언스 관점에서 선제적 대비가 필수적이다. AI 의료기기 개발 단계부터 Privacy by Design 원칙을 적용하고, 의료정보 처리 전 과정에 대한 영향평가(PIA) 체계를 구축해야 한다. 또한 AI기본법상 고위험 AI 시스템 요건(위험관리, 데이터 거버넌스, 투명성 등)과 ISMS-P 인증 기준을 통합적으로 충족하는 정보보호 관리체계를 미리 마련하는 것이 향후 규제 변화에 효과적으로 대응하는 길이다.

CPPG·ISMS-P 연계 포인트

민감정보 특례 적용: 개인정보보호법 제23조는 건강정보를 민감정보로 분류하여 별도 동의를 요구한다. 디지털헬스케어법 제정 시 연구·공익 목적 의료정보 활용에 대한 특례 조항이 신설될 가능성이 높으므로, 법정 예외 사유와 안전조치 요건(가명처리, 접근통제 등)의 변화를 주시해야 한다.

AI 시스템 위험관리 체계: AI기본법 제30조는 고위험 AI에 대한 위험관리시스템 구축을 의무화한다. 의료 AI는 대표적 고위험 분야로, ISMS-P 통제항목 중 '시스템 개발 보안'과 '위험관리' 영역이 AI 생명주期 전반(데이터 수집→학습→배포→모니터링)으로 확장 적용되는 추세를 이해해야 한다.