[MPIS 2025] 김직동 개인정보위원회 과장 “헬스케어 산업, 개인정보보호는 규제가 아닌 경쟁력”

고유식별정보 5만 명 이상 처리하는 상급종합병원, 반드시 CPO 지정해야

데일리시큐는 지난 5월 13일 화요일, 서울 한국과학기술회관 국제회의실에서 국내 최대 의료기관 정보보호 컨퍼런스 ‘2025 의료·헬스케어 정보보호 페어(MPIS 2025)’를 개최했다. 이날 행사에는 전국 국공립 의료기관, 대학병원, 민간병원의 개인정보보호 및 정보보안 책임자와 실무자 약 250여 명이 참석했다. 이번 행사는 보건복지부, 대한병원정보보안협회, 디지털헬스보안협회의 후원으로 개최됐다.

이 자리에서 개인정보보호위원회 김직동 과장은 '개인정보 주요 정책 및 제도'를 주제로, 의료 및 헬스케어 현장에 시사하는 최신 개인정보보호법 개정 내용과 정부의 정책 방향을 상세히 전했다.

김 과장은 “개인정보보호법은 2011년 제정 이후 여러 차례의 개정을 거쳐, 데이터 활용과 보호 간 균형을 고민해왔다”며 최근 개정 내용을 연도별로 짚어 나갔다. 특히 2020년 감독기구 일원화와 데이터 3법 개정으로 가명정보 활용이 본격화됐고, 2023년 3월 개정에서는 전송요구권, 자동화된 결정 대응권, 국외 이전 요건 다양화 등 다층적 변화가 반영됐다고 설명했다.

최근 개정사항 중 의료기관과 관련 깊은 내용으로는 이동형 영상기기 관련 규정 신설, 개인정보 처리방침 평가제 도입, 그리고 개인정보보호 책임자(CPO)의 지정 요건 강화 등이 강조됐다.

그리고 “개인정보란 살아있는 개인에 관한 정보로, 수집 방식이나 형태를 불문하고 개인을 식별할 수 있으면 모두 개인정보에 해당한다”고 말했다. 특히 헬스케어 분야에서는 환자에 대한 평가 정보, 영상 자료, 상담기록 등 주관적 정보 역시 개인정보에 포함된다는 점을 의료기관 관계자들이 유념해야 한다고 강조했다.

또한 개인정보에 해당하지 않는 정보라도 특정 정보와 결합되어 개인을 알아볼 수 있는 경우에는 가명정보로 분류되며, 이를 사용할 경우에는 반드시 보호조치를 수반해야 한다고 덧붙였다.

2024년 3월부터 시행된 개정법에서는 개인정보보호책임자(CPO) 지정 대상과 자격 요건이 명확히 규정됐다. 김 과장은 “연간 매출 1,500억 원 이상이거나 민감·고유식별정보를 5만 명 이상 처리하는 상급종합병원은 반드시 CPO를 지정해야 하며, 이 책임자는 정보보호·개인정보보호 관련 경력 4년 이상을 갖춰야 한다”고 설명했다.

자격요건에는 개인정보보호 관련 학위 보유자, 인증심사원, 변호사, 정보보안기사 등이 포함되며, 세부 경력 기준도 명시됐다. 의료기관의 CPO 지정 여부 및 자격 충족 여부는 향후 감사나 평가 시 주요 점검 대상이 될 것으로 전망된다.

■개인정보 전송요구권 확대…‘헬스케어 마이데이터’ 본격 시행

‘마이데이터’ 제도는 의료기관 관계자들에게 특히 중요한 주제다. 김 과장은 “전송요구권이 도입되면서 의료기관은 정보주체가 요청할 경우 진단정보, 처방이력, 영상검사 내역 등을 전송할 의무가 생긴다”고 강조했다.

구체적으로는 질병관리청, 건강보험공단, 심사평가원, 상급종합병원 등이 보유한 건강검진정보, 투약이력, 수술기록 등 총 10개 항목 이상이 해당되며, 이 정보들은 본인 요청 또는 제3자 요청을 통해 전송이 가능하다. 헬스케어 산업에서의 데이터 이동성이 대폭 향상되는 것이다.

“정보 주체는 자신의 건강정보를 통합적으로 확인할 수 있고, 관련 서비스 제공자는 정밀한 맞춤형 서비스를 제공할 수 있는 환경이 마련됐다”고 김 과장은 덧붙였다.

■비정형데이터 가명처리와 합성데이터 활용

의료 영상, 음성, 텍스트 등 비정형데이터에 대한 가명처리 시나리오도 소개됐다. 예를 들어, 구강 사진에서 충치 부위만 남기고 나머지 부분은 블러링 처리하거나, CT 영상의 후두부를 마스킹하는 방식으로 개인정보를 보호하면서도 연구 활용도를 높이는 사례가 발표됐다.

또한 합성데이터 가이드를 통해 “실제 데이터 기반으로 인공지능 학습 데이터를 생성할 수 있으며, 혈당 측정 정보, 진료 이력 등의 합성 데이터를 활용한 AI 개발이 활발히 진행되고 있다”고 밝혔다.

합성데이터 생성 절차와 검증 기준은 개인정보위가 배포한 ‘합성데이터 세부지침’에 명시돼 있으며, 이를 통해 개인정보 비식별화를 보다 안전하고 표준화된 방식으로 추진할 수 있게 됐다.

정부는 개인정보 혁신을 지원하기 위해 규제 샌드박스, 사전 적정성 검토제, 개인정보 안심구역, 원스톱 창구 등 여러 정책을 운용 중이다. 김 과장은 “AI 기반의 사회적 약자 지원 서비스를 준비 중인 스타트업 사례처럼, 새로운 서비스를 기획하면서 발생하는 법률적 쟁점에 대해 정부가 실시간 해석과 조언을 제공하고 있다”고 설명했다.

또한 2024년 12월까지 ‘개인정보 안심구역’이 확대 지정될 예정이며, 이 구역 내에서는 민감정보도 가명처리 후 안전하게 연구에 활용할 수 있도록 제도적 장치를 강화하고 있다고 밝혔다.

■“개인정보보호는 규제가 아닌 경쟁력이다”

강연 말미에서 김 과장은 “개인정보 보호는 단순한 규제 준수를 넘어서, 국민의 신뢰를 얻고 서비스를 확장할 수 있는 핵심 경쟁력”이라고 강조했다. 특히 헬스케어 산업처럼 민감정보를 다루는 분야에서는 사전 예방과 법적 이해를 바탕으로 한 체계적인 대응이 필수적이라고 거듭 강조했다.

그는 끝으로 “데이터 활용과 개인정보 보호는 상충하는 가치가 아니다. 의료 현장에서 개인정보 보호법을 올바르게 이해하고 이를 반영하는 것이 곧 국민 건강권과 산업 신뢰를 함께 지키는 길”이라고 마무리했다.

보다 상세한 강연내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.