의료데이터 활용 법제화 논의 본격화…노동계·시민사회 "민감정보 보호 우선" 주장

핵심 요약

- 2026년 6월 22일 국회 의원회관에서 의료데이터 활용 법제화에 대한 공청회 개최 - 노동계·시민사회는 의료정보의 산업적 활용보다 개인정보 보호와 공공성 우선 강조 - AI 시대 헬스케어 산업 발전과 민감정보 보호 사이 균형점 모색 필요성 부각

주요 내용

2026년 6월 22일 오후 국회 의원회관에서 인공지능(AI) 시대 의료데이터 활용을 위한 법제화 논의가 본격화되었다. 이번 논의는 AI 헬스케어 산업의 성장과 함께 의료데이터의 체계적 활용 기반을 마련하기 위한 것으로, 정부는 의료 혁신과 산업 경쟁력 강화를 목표로 관련 법안 추진을 검토하고 있다.

그러나 노동계와 시민사회단체는 의료정보가 「개인정보 보호법」상 민감정보에 해당하는 만큼, 산업적 활용보다 개인정보 보호와 공공성이 우선되어야 한다고 강력히 주장했다. 의료데이터는 개인의 질병, 진료기록, 유전정보 등을 포함하고 있어 유출 시 심각한 프라이버시 침해와 차별로 이어질 수 있다는 우려가 제기되었다.

특히 의료데이터의 비식별화 처리 기준, 동의 절차의 실효성, 데이터 활용 범위와 목적의 명확성 등이 쟁점으로 부각되었다. 시민사회는 의료데이터가 보험사, 제약회사, AI 기업 등에 무분별하게 제공될 경우 정보주체의 통제권이 상실될 수 있다고 경고하며, 엄격한 법적 보호장치 마련을 요구했다.

정부와 산업계는 의료 AI 개발과 정밀의료 발전을 위해 데이터 활용이 불가피하다는 입장이지만, 개인정보 보호와 산업 발전 간 균형점을 찾기 위한 사회적 합의 도출이 선행되어야 한다는 목소리가 높아지고 있다.

전문가 시각

ISMS-P 선임심사원 관점에서 의료데이터 활용 법제화는 정보보호 관리체계의 핵심 영역인 민감정보 처리 통제와 직결된다. 의료기관 및 데이터 활용 기관은 「개인정보 보호법」 제23조(민감정보의 처리 제한)와 제24조의2(가명정보의 처리)에 따른 기술적·관리적 보호조치를 강화해야 하며, 특히 의료데이터의 가명처리 시 재식별 위험 평가를 필수적으로 수행해야 한다. 또한 접근통제, 암호화, 접속기록 관리 등 ISMS-P 인증기준의 민감정보 보호 요구사항을 충족하는 것이 법제화 이후 컴플라이언스의 핵심이 될 것이다.

기업과 의료기관은 법제화에 대비하여 데이터 거버넌스 체계를 선제적으로 구축해야 한다. 개인정보 영향평가(PIA) 수행, 데이터 생명주기 관리 정책 수립, 제3자 제공 시 계약서 내 보안 조항 명시 등이 필요하며, 무엇보다 정보주체의 권리 보장을 위한 동의 관리 시스템과 열람·삭제 요구 대응 프로세스를 정비해야 한다. 법제화 과정에서 산업계의 이해관계뿐 아니라 시민사회의 우려를 반영한 균형 잡힌 제도 설계가 이루어져야 지속가능한 의료 AI 생태계 조성이 가능할 것이다.

CPPG·ISMS-P 연계 포인트

민감정보 처리 제한 (개인정보 보호법 제23조) 의료정보는 사상·신념, 건강, 유전정보 등 민감정보에 해당하며, 정보주체의 별도 동의 또는 법령상 예외 사유가 있어야만 처리 가능하다. ISMS-P 인증심사 시 민감정보 처리 목록 관리, 접근권한 최소화, 암호화 적용 여부가 중점 점검된다.

가명정보 처리와 재식별 금지 (개인정보 보호법 제28조의2~7) 의료데이터의 산업적 활용을 위해 가명처리가 활용될 수 있으나, 원래 상태로 복원하기 위한 추가정보의 별도 분리 보관, 재식별 시도 금지, 안전성 확보조치 등이 필수적이다. 가명정보 결합 시 개인정보보호위원회 지정 전문기관을 통해야 한다.