의료 AI와 병원정보시스템 연계 시 개인정보보호 과제와 실무 대응 방안
당뇨 망막병증 진단 AI가 HIS 내부에 통합되는 사례가 등장하면서, 의료 AI의 병원정보시스템 연계 시 개인정보보호 이슈가 본격화되고 있다. 외부 AI 도입 제한 환경에서의 보안 설계 방향을 짚어본다.
https://privacynews.kr/s/9d41ff핵심 요약
- 당뇨 망막병증 진단 AI가 병원정보시스템(HIS) 내부에 직접 통합되는 사례가 2026년 현재 실무에 적용되고 있음 - 의료 현장에서 개인정보보호 우려로 외부 AI 프로그램 도입이 제한적이었던 상황에서, HIS 내부 통합 방식이 새로운 해법으로 제시됨 - 의료 AI의 HIS 연계는 민감정보 처리 환경에서 기술적·관리적 보호조치 설계가 핵심 과제로 부상주요 내용
2026년 7월 현재, 당뇨 환자의 약 30%가 동반하는 것으로 알려진 당뇨병성 망막병증을 혈액 검사만으로 진단하는 AI 기술이 병원정보시스템(HIS) 내부에 통합되어 실제 진료 현장에서 활용되기 시작했다. 이는 의료 AI가 단순한 연구 단계를 넘어 실제 임상 환경에 본격 도입되는 신호탄으로 평가된다.
그동안 의료 현장에서는 환자의 민감한 건강정보를 다루는 특성상 외부 AI 프로그램을 병원정보시스템에 연결하는 것이 개인정보보호 관점에서 큰 부담이었다. 특히 개인정보 보호법과 의료법상 건강정보는 민감정보로 분류되어 엄격한 기술적·관리적 보호조치가 요구되며, 외부 시스템과의 연동 시 정보 유출 위험이 증가하기 때문이다.
이번 사례는 AI 솔루션을 HIS 외부가 아닌 내부에 직접 탑재하는 방식을 채택함으로써 이러한 우려를 완화했다는 점에서 의미가 크다. 환자 데이터가 외부 네트워크로 전송되지 않고 병원 내부 폐쇄망에서 처리되기 때문에, 정보 유출 경로가 최소화되는 구조다. 이는 향후 다양한 의료 AI가 HIS 안에서 실제 진료를 지원하는 환경으로 확대될 수 있는 선례가 될 전망이다.
다만 AI가 HIS 내부에 통합되더라도 개인정보보호 이슈는 여전히 존재한다. AI 모델 학습 과정에서 사용된 데이터의 비식별화 적정성, AI 판단 결과에 대한 접근 권한 관리, 진단 오류 발생 시 책임 소재, AI 업데이트 과정에서의 보안 통제 등이 새로운 과제로 대두되고 있다.
전문가 시각
ISMS-P 선임심사원 관점에서 볼 때, 의료 AI의 HIS 통합은 '최소권한 원칙'과 '목적 제한 원칙'의 실무 적용 사례로 주목할 만하다. AI가 진단에 필요한 최소한의 데이터만 접근하도록 권한을 설계하고, 진단 목적 외 데이터 활용을 기술적으로 차단하는 것이 핵심이다. 특히 AI 모델이 학습 과정에서 실제 환자 데이터에 접근할 경우, 가명처리·익명처리 수준의 적정성을 사전에 평가하고, 재식별 위험성 분석을 수행해야 한다.
또한 의료기관은 AI 도입 시 '개인정보 영향평가(PIA)'를 필수적으로 수행해야 한다. 개인정보 보호법 제33조에 따라 민감정보를 처리하는 새로운 시스템 도입 시 영향평가가 요구되며, 특히 AI의 자동화된 의사결정이 환자의 건강권에 직접 영향을 미치는 만큼 더욱 엄격한 평가 기준이 적용되어야 한다. 의료기관은 AI 알고리즘의 투명성 확보, 설명 가능성(Explainability) 보장, 정기적인 성능 모니터링 체계를 구축하고, 이를 정보보호 관리체계(ISMS-P) 내에 통합 관리하는 것이 바람직하다.
CPPG·ISMS-P 연계 포인트
민감정보 처리 시 안전성 확보조치(개인정보 보호법 제23조, 제29조) 건강정보는 민감정보로서 암호화, 접근통제, 접속기록 보관 등 강화된 안전조치가 필수다. 의료 AI 시스템은 환자 데이터 처리 전 과정에서 암호화 전송(TLS 1.3 이상), 저장 데이터 암호화(AES-256), 역할 기반 접근통제(RBAC) 적용이 요구되며, ISMS-P 인증 심사 시 중점 점검 항목이다.
개인정보 영향평가 의무(개인정보 보호법 제33조) 민감정보를 처리하는 정보시스템 구축·운영 시 사전에 영향평가를 수행해야 한다. 의료 AI 도입은 대표적인 평가 대상이며, 평가 항목에는 ①처리 목적의 명확성 ②최소 수집 원칙 준수 ③기술적 보호조치 적정성 ④정보주체 권리 보장 방안 등이 포함된다. 평가 결과는 개인정보 보호위원회에 제출하거나 공개해야 한다.


