PrivacyNews
전체개인정보보호법령·정책ISMS-P🔴 침해사고AIPET·신기술DR·재해복구💼 취업·진로칼럼관리자
속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
인공지능AI 초안

의료 AI 학습 데이터 수요 급증…개인정보보호법·의료법 규제로 공공데이터 제공 17건 그쳐

3월까지 AI 기업에 제공된 의료 공공데이터는 정형데이터 17건에 불과. 개인정보보호법·의료법 등 다수 법령 중첩으로 의료 데이터 반출 및 외부 결합이 제한되며 산업적 활용에 걸림돌로 작용

백남정 기자
입력 2026년 6월 18일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/ee6975

핵심 요약

- 2024년 3월까지 AI 기업에 제공된 공공 의료데이터는 정형데이터 17건에 그쳐 수요 대비 공급 부족 심각 - 개인정보보호법·의료법·생명윤리법 등 다수 법령이 중첩 적용되며 의료 데이터 반출 및 외부 결합이 사실상 차단 - 의료 AI 개발 확대로 학습 데이터 수요는 급증하나, 규제 장벽으로 데이터 중개 산업의 동반성장 구조 마련 시급

주요 내용

의료 인공지능 개발이 가속화되면서 학습 데이터에 대한 수요가 폭발적으로 증가하고 있으나, 실제 산업계에 제공되는 공공 의료데이터는 극히 제한적인 것으로 나타났다. 2024년 3월까지 AI 기업에 제공된 공공 의료데이터는 정형데이터 17건에 불과하며, 의료 영상·유전체 정보 등 비정형 데이터의 제공은 거의 이루어지지 않고 있다.

이러한 현상의 근본 원인은 복잡하게 얽힌 법령 체계에 있다. 의료 데이터는 개인정보보호법상 민감정보이자 고유식별정보에 해당하며, 동시에 의료법상 의료기관의 기록 보존 의무, 생명윤리법상 인간대상연구 규제 등이 중첩 적용된다. 특히 의료 데이터의 외부 반출과 기관 간 결합은 각 법령의 엄격한 요건을 동시에 충족해야 하는데, 이로 인해 산업적 활용이 사실상 가로막힌 상태다.

의료계와 AI 산업계는 안전한 데이터 활용 체계 구축을 위한 중개 산업 육성을 대안으로 제시하고 있다. 데이터 중개 기관이 비식별화·가명처리·접근통제 등 기술적·관리적 보호조치를 적용하고, 표준화된 데이터 전처리를 수행함으로써 개인정보 보호와 산업 활용을 동시에 달성할 수 있다는 논리다. 실제로 일부 선진국에서는 의료 데이터 트러스트(Data Trust) 제도를 통해 신뢰기관이 데이터 활용을 중개하는 모델을 운영 중이다.

정부 차원에서도 규제 개선 움직임이 감지된다. 보건복지부와 개인정보보호위원회는 의료 데이터의 안전한 활용을 위한 가이드라인 개정 작업을 진행 중이며, 가명정보 결합 전문기관 지정 확대를 통해 의료 AI 개발 생태계를 지원할 계획이다. 다만 의료계의 데이터 유출 우려와 환자 권리 보호 요구도 상당해, 산업 육성과 권리 보호 간 균형점 찾기가 관건이 될 전망이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 의료 데이터 활용 확대는 반드시 개인정보 생명주기 전반의 보호체계 강화와 함께 추진되어야 한다. 의료 AI 학습 데이터는 수집 단계부터 동의 범위 명확화, 처리 단계의 접근권한 관리 및 암호화, 제공 단계의 비식별 조치 적합성 평가, 파기 단계의 완전 삭제 검증 등 각 단계별 통제가 필수적이다. 특히 데이터 중개 기관은 ISMS-P 인증을 필수 요건으로 하여, 관리체계·보호대책·개인정보 처리단계별 요구사항을 충족하는 구조로 설계해야 한다.

AI 기업 입장에서는 단순히 규제 완화만을 요구할 것이 아니라, 스스로 Privacy by Design 원칙을 내재화하는 전략이 필요하다. 학습 데이터 수집 시 목적 외 사용 금지 조항 준수, 차등 프라이버시(Differential Privacy) 등 프라이버시 강화 기술(PETs) 적용, 모델 학습 과정의 개인정보 재식별 위험 최소화 등을 사전에 설계해야 한다. 또한 의료기관·중개기관과의 데이터 제공 계약 시 개인정보 처리 위탁 또는 제3자 제공에 해당하는지 법적 성격을 명확히 하고, 책임 소재와 안전조치 의무를 계약서에 구체적으로 명시하는 것이 분쟁 예방의 핵심이다.

CPPG·ISMS-P 연계 포인트

1. 민감정보 및 고유식별정보 처리 특례 (개인정보보호법 제23조, 제24조) 의료 데이터는 질병·진료기록 등 민감정보이자 주민등록번호가 포함될 수 있는 고유식별정보로서, 원칙적으로 처리가 금지되며 정보주체의 별도 동의 또는 법령상 예외 사유가 있어야 처리 가능. AI 학습 목적 활용 시 가명처리(제28조의2) 또는 통계작성·과학적 연구(제58조제1항제2호·제3호) 목적 해당 여부를 면밀히 검토해야 함.

2. ISMS-P 인증기준 2.8 개인정보 제공 및 위탁 관리 데이터 중개 기관 활용 시 법적 관계(위탁/제3자 제공)를 명확히 하고, 위탁 시 수탁자 관리·감독 의무(제26조), 제3자 제공 시 정보주체 통지·동의(제17조, 제18조) 의무를 준수해야 하며, ISMS-P 인증심사 시 개인정보 흐름도·제공대장·위탁계약서 등 증적 확보 필수.

#의료AI#학습데이터#개인정보보호법#의료법#데이터중개
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

인공지능 기사 더 보기 →
개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
PET·신기술

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화

2026년 6월 19일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
취업·진로

공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”

2026년 6월 7일
AI 기반 보안 파트너 ‘패스파이’, 2026 ISMS-P 정예 체험단 1 기 모집... 자격증 합격 이끈다
ISMS-P

AI 기반 보안 파트너 ‘패스파이’, 2026 ISMS-P 정예 체험단 1 기 모집... 자격증 합격 이끈다

2026년 6월 7일
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
개인정보보호

[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최

2026년 5월 22일