문제가 되는 법적 이슈
일단 이 문제를 시작하기 전에, 환자 데이터 등에 대한 정의를 알아야 합니다. 개인정보가 되기 위해서는 첫째, 생존하는 개인에 관한 것일 것, 둘째, 개인을 식별할 수 있는 정보일 것의 등의 요건이 필요합니다. 그에 따라 사망한 자의 개인정보, 개인에 대한 식별가능성이 없는 정보는 위 법률에서 규정하고 있는 개인정보가 아닙니다. 또한, 진료정보란 “진료의 과정에서 환자의 신체상황, 병상(病狀), 치료 등에 대해서 의사 또는 그 지휘ㆍ감독 하에 있는 의료종사자가 취득한 정보”를, 의료정보란 “진료정보의 개념에 국가적 차원의 보건정책을 위한 자료제공의 역할에서부터 각종 보건의료사업 종사자들에 대한 정보제공과 각 분야의 실무종사자가 필요로 하는 정보 등 의학지식과 진료정보를 포함한 개념”이라고 정의합니다. (일본의사회, 진료정보 정보 제공에 관한 지침)
- 현행 의료법 제21조는 “①의료인이나 의료기관 종사자는 이 법이나 다른 법령에 따로 규정된 경우 외에는 환자에 관한 기록을 열람하게 하거나 그 사본을 내주는 등 내용을 확인할 수 있게 하여서는 아니 된다. 다만 환자, 환자의 배우자, 환자의 직계존비속 또는 배우자의 직계존속(배우자, 직계존비속 및 배우자의 직계존속이 없는 경우에는 환자가 지정하는 대리인)이 환자에 관한 기록의 열람이나 사본 교부 등 그 내용 확인을 요구하는 경우에는 환자의 치료를 위하여 불가피한 경우가 아니면 확인할 수 있게 하여야 한다. ②제1항의 규정에도 불구하고 의료인은 같은 환자의 진료에 필요하여 다른 의료기관에서 그 환자에 대한 기록, 임상소견서 및 치료경위서의 열람이나 사본 송부를 요청하거나 환자가 검사 기록, 방사선 필름 등의 사본 교부를 요구하면 이에 응하여야 한다. ③의료인은 응급환자를 다른 의료기관으로 이송할 때에는 환자 이송과 함께 초진기록(초진기록)을 보내야 한다.”
- 위에는 “환자에 관한 기록”, 또는 “환자에 대한 기록”이라는 표현만 있다.
환자 개인정보와 관련된 법이 생명윤리법 및 개인정보보호법입니다. 개인정보보호법이 전자상거래시 정보 보호를 목표로 하고 있어서, 의료 분야랑 잘 맞지 않습니다. 또한, 개인정보보호법의 내용에 비해 생명윤리법의 개인정보가 훨씬 크게 정의되어 있습니다.
- *생명윤리법 제2조 제17호는 ‘개인식별정보’의 정의를, 동 조 제18호는 이와 별도로 ‘개인정보’의 정의를 하고 있다. 여기서 ‘개인식별정보’라 함은 연구대상자의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보이며 ‘개인정보’란 개인식별 정보, 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를 말한다고 한다
- 정보 통신망이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제6호는 (1) 개인정보란 법률적으로 “생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명ㆍ주민등록번호 및 화상 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)” 또는 “생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)
이런 환자의 개인정보 또는 의료정보는 환자의 동의없이 상업용 뿐아니라, 연구용으로도 활용되면 불법입니다. 또한, 연구용으로 동의를 하더라도 익명화를 하는 것이 원칙입니다. 하지만 개인정보 활용을 동의하면 익명화 할필요가 없습니다. 또한 여러 사유로 인하거나, 위험이 낮은 경우 서면동의를 면제할수 있습니다. 하지만, 18세 미만은 안됩니다.
- 생명윤리법 제18조에 따르면 인간대상연구자는 연구대상자로부터 개인정보를 제공하는 것에 대하여 서면동의를 받은 경우에는 기관위원회의 심의를 거쳐 개인정보를 제3자에게 제공할 수 있으며, 이 때 개인정보를 익명화하여야 한다. 다만, 연구대상자가 개인식별정보를 포함하는 것에 동의한 경우에는 그러하지 아니하다.
- 생명윤리법 제16조 제3항에 따르면 ① 연구대상자 의 동의를 받는 것이 연구 진행과정에서 현실적으로 불가능하거나 연구의 타당성에 심각한 영향을 미친다고 판단되는 경우, ② 연구대상자의 동의 거부를 추정할 만한 사유가 없고, 동의를 면제하여도 연구대상자에게 미치는 위험이 극히 낮은 경우에는 기관위원회의 승인을 받아 연구대상자의 서면동의를 면제할 수 있다. 성인 환자의 의무기록을 이용한 연구는 서면동의를 면제 하여도 연구대상자에게 미치는 위험이 극히 낮은 경우 등 일 정한 요건을 충족하면 기관위원회의 승인을 받아 연구대상자의 서면동의를 면제할 수 있다. 그러나 18세 미만의 아동의 경우 법정대리인의 서면동의를 받아야 하며 이 경우 서면 동의의 면제는 허용되지 아니한다.
- 생명윤리법 제15조 제2항 및 동법 시행규칙 제13조 제1항에 따르면 연구대상자 및 공공에 미치는 위험이 미미한 경우 로서 일방 대중에게 공개된 정보를 이용하는 연구 또는 개인 식별정보를 수집·기록하지 않는 연구로서 다음 연구는 기관위원회의 심의를 면제할 수 있다. ① 연구대상자를 직접 조작하거나 그 환경을 조작하는 연구 중 ㉠ 약물투여, 혈액채취 등 침습적 행위를 하지 않는 연구, ㉡ 신체적 변화가 따르지 않는 단순 접촉 측정장비 또는 관찰장비만을 사용하는 연구, ㉢ 식품위생법 시행규칙 제3조에 따라 판매 등이 허용되는 식품 또는 식품첨가물을 이용하여 맛이나 질을 평가하는 연구, ㉣ 화장품법 제8조에 따른 안전기준에 맞는 화장품을 이용하여 사용감 또는 만족도 등을 조사하는 연구; ② 연구대상자 등을 직접 대면하더라도 연구대상자등이 특정되지 않고 개인정보 보호법 제23조에 따른 민감정보를 수집하거나 기록하지 않는 연구; ③ 연구대상자 등에 대한 기존의 자료나 문서를 이용하는 연구 등. 다만 ‘의약품 등의 안전에 관한 규칙’ 별표 4 제2호 더목에 따른 취약한 환경에 있는 시험대상자를 대상으로 하는 연구는 기관위원회의 심의를 받아야 한다
익명화 관련해서는 ‘다부처 개인정보 비식별화 가이드라인’를 따라야 합니다. 정부는 각 분야별로 개인정보 비식별화조치 지원센터를 지정해서 운영중인데, 복지부의 경우는 사회보장정보원 (www.ssis.or.kr )이 지원사업을 하고 있습니다. 이 가이드 라인을 따르면 비식별화 후에 외부전문가로 구성된 적정성평가단의 판단을 받아 개인정보가 비식별정보로 전환되었음을 인정받은 후 사용하라는 것입니다.
환자의 개인정보 또는 의료정보 및 데이터 소유권 문제는 환자에게 있다는 점에는 이견이 없습니다만, 다른 분야의 개인정보와는 다르게, 환자 신상정보 뿐 아니라, 검사 결과, 의료진 판단 등 진료정보, 및 각종 행정 정보 (건강보험, 진료비 보존을 위한 보호자 정보 등) 등이 추가로 있습니다. 또한, 생명윤리법 제19조에 따르면 인간대상연구자는 인간대상연구와 관련한 사항을 기록ㆍ보관하여야하며 연구대상자는 자신에 관한 정보의 공개를 청구할 수 있으며, 그 청구를 받은 인간대상연구자는 특별한 사유가 없으면 정보를 공개하여야 한다등으로 알수 있듯이 원칙적으로 환자 개인정보는 환자에게 있습니다. 또한 진료 정보도 의료계약을 준위임계약이고, 환자에 대한 보고의무의 일종으로 환자와 관련된 진료정보를 기재해야 하는 점, 의료법을 포함한 우리의 법체계도 환자 개인정보는 법률의 규정이나 환자 또는 그 보호자의 동의가 없으면 다른 사람에게 제공할 수 없도록 하고 있는 점, 환자나 그 보호자의 정보에 대한 접근권을 보장하고 있는 점 등을 고려한다면 개인정보의 소유권은 원칙적으로 환자에게 있다고 할수 있습니다.이런식으로 의료법을 보면, 진료정보 및 의료정보의 주체를 의료진으로 정하고 있고, 기재 내용 (17조)를 보면 진단결과, 진료경과 및 예견, 치료내용(주사ㆍ투약ㆍ처치등)의 항목을 제외하면 의료인의 행위 및 판단으로부터 생성되는 진료정보는 없으며, 나머지는 환자로부터 획득되는 신상정보 또는 행정절차 관련 정보입니다.
하지만, 의료법에는 의료기록의 생성 및 보관주체는 의료기관입니다. 또한, 법적으로 최소 5년동안 의료기록을 병원내에 보관해야 하는 것이 의무입니다. 보관비용이 필연적으로 들게 됩니다. 이런 여러 이유로, pay를 한 의료보험 (우리나라의 경우 정부) 뿐 아니라, 자료를 만들고 지적인 노동을 한 병원과 의사 등이 2차적 소유권을 가질수 있다는 부분은 논쟁중인데, 각자 노력을 했으니 어떤형식으로든 될 가능성이 있습니다. 즉 진료기록부의 소유권은 의료인 및 의료기관이 가지고 있다고 하는 것입니다.
- 의료법 제22조제1, 2항에서 “①의료인은 각각 진료기록부, 조산기록부, 간호기록부, 그 밖의 진료에 관한 기록(이하 “진료기록부등”이라 한다)을 갖추어 두고 그 의료행위에 관한 사항과 의견을 상세히 기록하고 서명하여야 한다. ②의료인이나 의료기관 개설자는 진료기록부등[제23조제1항에 따른 전자의무기록을 포함한다. 이하 제40조제2항에서 같다]을 보건복지가족부령으로 정하는 바에 따라 보존하여야 한다.”
- 제17조 (진료기록부등의 기재사항)법 제21조의 규정에 의한 진료기록부·조산기록부와 간호기록부에는 다음 각호의 구분에 따라 해당사항을 한글과 한자로 기재하여야 한다. 다만, 질환명·검사명·약제명등 의학용어는 외국어로 기재할 수 있다. <개정 개정 1976.12.29, 1990.1.9, 1994.9.27>
- 1. 진료기록부
가. 진료를 받은 자의 주소·성명·주민등록번호·병력 및 가족력
나. 주된 증상, 진단결과, 진료경과 및 예견
다. 치료내용(주사·투약·처치등)
라. 진료일시분
2. 조산기록부
가. 조산을 받은 자의 주소·성명·주민등록번호
나. 생·사산별 분만횟수
다. 임신후의 경과와 그에 대한 소견 및 보건지도의 요령
라. 임신중 의사에 의한 건강진단의 유무(결핵·성병에 관한 검사를 포함한다)
마. 분만장소 및 분만연월일시분
바. 분만의 경과 및 그 처치
사. 산아수 및 그 성별·생·사별
아. 산아 및 태아부속물에 대한 소견
자. 임부·해산부·산욕부 또는 신생아에 대한 지도요령
차. 산후의 의사의 건강진단의 필요성 유무
3. 간호기록부
가. 체온·맥박·호흡·혈압에 관한 사항
나. 투약에 관한 사항
다. 섭취 및 배설물에 관한 사항
라. 처치와 간호에 관한 사항
가장 중요한 문제로, 의료데이터 공개와 관련된 것은 생명윤리 및 안전에 관한 법률입니다. IRB(기관윤리심의위원회)가 있는 의료기관일 경우에는 심의대상이 되는 연구에서 환자 개인정보 획득의 적법성을 검토하므로, IRB의 승인을 받으면 가능합니다. 의료기관 IRB는 다양한 시민단체, 종교인, 의사등으로 이루어져 있지만, 특성상 환자 개인 데이터 공개에 거부감을 가지고 있을 수 있습니다만, 환자의 동의서가 있으면 통과할 것이라 생각됩니다. IRB 심의시 전제조건이 개인의 동의 획득 또는 비식별화를 거쳐야 합니다.
- IRB는 1995년 약사법의 의 약품임상시험관리기준(Korea Good Clinical Practice, KGCP) 의 시행을 전후하여 대부분의 대학병원에 처음으로 임상시험심사위원회(institutional review board)가 설치되었습니다.
- 원래 생명윤리 및 안전에 관한 법률은 배아연구기관, 유전자은행, 유전자치료 기관 등을 다루는 기관에 한하여 기관생명윤리심의위원회 설치가 의무화하는 것이 더 큰 목적이었습니다. 이게 2012년 개정되면서 인간대상연구와 인체유래물연구 전체가 법적 규율의 대상으로 확대되었습니다.
2016년에 병원 데이터의 클라우드 저장 및 활용이 풀렸고, 점점 더 어떻게 이런 부분을 활용할것인지에 대해서 논의가 되고 있습니다. 앞에서 이야기한 것 처럼, 의료데이터 생성시에 관여하는 stakeholder 등이 환자, 의사, 병원, 정부(보험) 여러명이 있기 때문에 이에 대한 소유권 문제도 간단하진 않습니다. 한가지 확실한 것은 병원과 의사가 관리감독권은 가지고 있다는 점입니다. 또한 임상진료목적으로 의료보험 및 환자가 돈을 낸것에 대한 데이터를 병원이나 의사가 소유권을 주장하긴 어렵지만, 연구목적으로 추가적으로 의사의 노동이 들어간 부분은 소유권을 인정 받을수 있다고 사료됩니다. 자세한것은 법적 자문을 받아봐야 하는 문제이고, 소송해서 대법원 확정판결 받기 전까지는 아무도 확답을 하긴 어렵습니다.
의료 정보 윤리헌장
- *의료정보 윤리헌장은 의료정보가 건강한 정보사회에서 편리하고 효율적으로 사용되기 위해서는 기술의 발달 못지않게 이용자의 올바른 정보 윤리의식이 필요
- ▲의료정보 윤리헌장
1. 의료정보는 인류의 건강을 증진하고 의학의 발전을 위하여 사용되어야 한다.
2. 의료정보의 생성,가공, 활용 과정에서 환자의 개인 비밀을 보호하여야 한다.
3. 의료정보에 대한 접근은 합법적으로 권한이 부여된 자에 한하여 허용되어야 한다.
4. 의료정보는 허가받은 목적과 방법으로 사용되어야 하고 누출,변조,훼손을 금지한다.
5. 의료정보 운영자와 사용권한을 가진 자는 정보의 윤리적 활용에 관심을 갖고 책임을 다한다 - 전현희 변호사는 “의료정보는 다른 어떤 정보보다도 헌법에 보장된 사생활의 비밀을 보호받을 권리에 명시된대로 개인적인 성격이 강하고 특히 환자진료시 작성되는 의무기록 차트의 소유권은 환자 본인에게 있다” “일반적으로 의무기록 차트에 대한 소유권은 의사나 병원에 있다고 생각하기 쉽다”며 “그러나 진료를 담당하는 의사는 환자의 치료를 위해 환자정보의 일부를 사용할 수 있는 권한을 갖고 있을뿐” “원천적으로 의무기록에 관한 소유권은 환자 본인에게 있으므로 의료사고나 분쟁 발생을 대비해 환자 보호자에게 진료차트를 열람하거나 교부할 때라도 환자 본인에게 동의를 구하는 것이 필요하다”