속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
인공지능AI 초안

유럽 의약품청 AI 신약개발 심사 가이드라인, 사용 맥락·위험도 중심 평가 강조

EMA가 AI·ML 신약개발에 데이터 품질·모델 투명성·개인정보보호·전주기 관리 통합 검토 방향 제시. 맥락 기반 위험 평가와 검증 체계 구축 요구.

백남정 기자
입력 2026년 7월 6일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/343041

핵심 요약

- 유럽 의약품청(EMA)이 AI·ML 기반 신약개발 심사 시 데이터 품질, 모델 성능, 투명성, 윤리, 개인정보보호, 전주기 관리를 통합 검토하는 가이드라인 제시 - AI 모델의 적용 환경(맥락)과 입력 데이터 변화에 따른 위험도 중심 평가 체계로 심사 무게 중심 이동 - 개인건강정보 처리와 모델 편향성, 투명성 확보가 AI 신약개발 승인의 핵심 요건으로 부상

주요 내용

유럽 의약품청(EMA)이 2026년 AI와 기계학습(ML)을 활용한 신약개발 심사에서 기술 성능뿐 아니라 사용 맥락(context of use)위험도 기반 평가를 핵심으로 하는 새로운 방향을 제시했다. 이는 AI 기술이 의약품 연구개발 전 과정에 광범위하게 적용되면서, 단순 알고리즘 검증을 넘어 실제 임상 환경과 데이터 특성에 따른 종합적 평가가 필요하다는 판단에 따른 것이다.

EMA는 AI·ML 시스템 평가 시 ①데이터 품질 및 대표성 ②모델 성능 및 일반화 능력 ③투명성 및 설명가능성 ④윤리적 고려사항 ⑤개인정보보호 준수 ⑥전주기 관리 체계(lifecycle management) 등 6개 핵심 축을 통합 검토해야 한다고 밝혔다. 특히 AI 모델이 학습 데이터와 다른 환경(distribution shift)이나 새로운 입력 데이터에 노출될 때 성능 저하나 예측 오류가 발생할 수 있다는 점을 강조하며, 적용 맥락에 따른 지속적 모니터링과 재검증 체계 구축을 요구하고 있다.

개인정보보호 측면에서는 신약개발 과정에서 활용되는 환자 건강정보, 유전체 데이터, 임상시험 데이터 등 민감정보의 처리 전 과정에 대한 투명성과 보호조치가 심사의 필수 요소로 자리잡았다. GDPR과 연계하여 데이터 최소화, 목적 제한, 익명화·가명화 적정성, 정보주체 권리 보장 등이 구체적으로 평가되며, AI 모델의 훈련·검증·운영 단계별 개인정보 처리 내역과 법적 근거가 명확히 문서화되어야 한다.

AI 모델의 편향성(bias)과 공정성(fairness) 문제도 중요한 심사 기준으로 제시됐다. 특정 인종, 성별, 연령대에서 예측 정확도가 현저히 낮거나, 소수 집단이 임상시험 데이터에서 과소 대표될 경우 모델 승인이 거부될 수 있다. EMA는 모델 개발 단계부터 다양성을 고려한 데이터셋 구성과 편향성 검증 절차를 의무화하고, 사후 모니터링 시에도 집단별 성능 격차를 지속 추적하도록 권고하고 있다.

전문가 시각

EMA의 이번 가이드라인은 AI 거버넌스가 기술 검증에서 사용 맥락 중심의 위험 관리로 진화하고 있음을 보여주는 대표적 사례다. 특히 신약개발처럼 고위험 영역에서는 AI 모델의 기술적 정확도뿐 아니라, ①실제 임상 환경에서의 일반화 능력 ②데이터 분포 변화 대응력 ③설명가능성과 의사결정 투명성 ④개인정보보호 통제 수준이 통합 평가된다. EU AI Act의 고위험 AI 시스템 분류 및 규제 체계와 맥을 같이하며, 국내에서도 AI기본법 제정 논의와 함께 생명공학·의료 분야 AI 활용 시 유사한 규제 요구사항이 도입될 가능성이 높다.

실무적으로 AI 신약개발 기업들은 ①훈련·검증·테스트 데이터셋의 출처·품질·대표성 문서화 ②모델 성능 지표의 하위집단별 분석 ③개인정보 처리 법적 근거 및 기술적·관리적 보호조치 명시 ④모델 업데이트 및 성능 모니터링 체계 구축 ④설명가능 AI(XAI) 기법 적용 등을 사전에 준비해야 한다. 특히 ISMS-P 인증 취득 시 AI 시스템 관련 통제 항목(데이터 품질 관리, 알고리즘 투명성, 편향성 검증 등)이 추가 심사 대상이 될 수 있으므로, 개인정보 생명주기 전반에 AI 거버넌스 체계를 통합하는 것이 필수적이다.

CPPG·ISMS-P 연계 포인트

1. 개인정보 영향평가(PIA)와 AI 위험 평가 통합 고위험 AI 시스템 도입 시 개인정보 영향평가에 ①AI 모델의 개인정보 처리 범위·목적 ②편향성·차별 위험 ③설명가능성 부족에 따른 정보주체 권리 침해 가능성 ④모델 업데이트에 따른 처리 목적 변경 여부를 추가 평가해야 한다. ISMS-P 인증 시 '3.1.4 개인정보 영향평가' 통제 항목에서 AI 특화 평가 수행 여부를 확인받을 수 있다.

2. 전주기(Lifecycle) 개인정보 관리와 AI 모델 거버넌스 AI 모델의 학습·검증·배포·모니터링·폐기 전 과정에서 개인정보 처리 내역, 접근 권한, 보유 기간, 파기 절차를 명확히 정의해야 한다. 특히 모델 재학습 시 추가 데이터 수집·이용에 대한 법적 근거와 정보주체 고지·동의 절차가 필수적이며, ISMS-P '3.2.1 개인정보 수집 시 동의' 및 '3.2.7 목적 외 이용·제공 제한' 통제와 직접 연계된다.

#유럽의약품청#AI신약개발#AI거버넌스#개인정보보호#위험기반평가
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사