진료기록부에서 이름과 생일, 고유식별번호 등을 일부 암호화했다면, 환자의 동의없이 사용돼도 괜찮은 것일까.   

지난 정부가 도입한 ‘개인정보 비식별 조치 가이드라인’을 폐지해야 한다는 주장이 시민단체에서 나오고 있다,  

지난해 6월 행정자치부(현 행정안전부)가 빅데이터 산업 활성화 등을 위해 ‘개인정보 비식별조치 가이드라인’을 도입, 정보의 활용도를 높였다.  

비식별 조치란, 개인정보에서 특정 개인을 알아볼 수 있는 요소를 제거·암호화한 것을 말한다, 가이드라인은 비식별 조치한 정보에 대해서는 ‘개인정보가 아닌 것으로 추정’한다고 밝히고 있다. 즉, 이름과 생일, 고유식별번호 등을 암호화한 진료기록부는 개인정보 아닌 것으로 인정, 개인의 동의없이 활용할 수 있게 한 것이다.  

시민단체 등은 해당 가이드라인이 국민 개인정보의 불법거래를 야기했다는 입장이다. 최근 의료빅데이터 관련 사업이 활발히 추진되면서 개인의료정보의 무단사용 및 유출을 우려하는 목소리도 거세지고 있다.

장여경 진보네트워크 상임 활동가는 “박근혜정부식 비식별화 가이드라인은 개인정보법을 무시했다. 가이드라인대로 따라하면 정부가 개인정보가 아닌 것으로 면책시키겠다는 것”이라며 “이와 반대로 유럽연합은 ‘가명’도 개인정보로 취급하고 있다”고 지적했다.   

급속하게 발전하는 정보화 시대에 비식별 조치만으로는 보안을 안심할 수 없다는 것이다. 장 활동가는 “비식별 정보를 푸는 작업을 재식별화라고 한다. 실제로 비식별 과정을 보면 진료기록부에서 병명은 그대로 두고, 환자이름은 삭제, 혈액형은 마스킹, 키나 몸무게는 범주화하는 식”이라고 말했다.  

문제는 비식별 빅데이터를 또 다른 여러 개의 데이터와 결합할 경우, 일부 암호가 풀리는 재식별화가 가능하다는 점이다.  

장 활동가는 “빅데이터는 절대로 삭제되지 않는다”며 “한 번 정보를 주면 우리가 죽은 다음에도 유전정보, 질병인자 등이 우리를 평가하는 데 사용될 수 있다. 암호 조치를 해서 개인정보가 아니라고 보는 것은 위험하다”고 말했다. 이어 그는 “정보가 연구목적으로 쓰이면 흔쾌히 허락하겠지만 상업적 목적에 대해서는 인지하지 못할 가능성이 있다”고 덧붙였다. 

건강세상네트워크도 지난 11일 성명서 공동성명을 발표하고 “비식별 조치 가이드라인에 따라 3억4000여만건의 개인정보 결합물이 기업에 불법 거래됐다”며 비식별화 정책을 즉각 중단할 것을 요구했다.

실제로 진선미 더불어민주당 의원에 따르면, KT, SKT, LGT등 이동통신3사를 비롯해 한화생명보험,한화손해보험등 통신·금 융회사들이 지난 1년간 빅데이터 활용 명목으로 고객의 동의 없이 개인정보 1억 700만건을 결합, 대출심사, 신용평가 등에 사용하려던 것이 드러나기도 했다.

한근희 건국대학교 정보통신대학원 정보보안학과 교수는 “빅데이터 간 결합으로 재식별화될 가능성은 충분히 있다. 그러나 모든 것이 완벽하게 보호되는 분야는 없다. 방어를 잘했다가도 더 뛰어난 해커가 나타나면 털릴 수 있는 것”이라며 “다만 기존의 보안기술을 잘 활용하고 운용한다면 얼마든지 대처할 수 있는 문제”라고 말했다.  

이어 한 교수는 “각 분야에서 빅데이터 활용을 무척 많이 하고 있는데 한두 번 문제가 생겼다고 해서 빅데이터를 사용하지 않을 수는 없는 노릇이다. 보안이 무서워서 활용 못하겠다는 것은 말이 안 된다”며 “의료데이터는 워낙 개인별로 민감하고 보인이 중요한 분야인 만큼 여러 가지 고려가 필요하다”말했다.

전미옥 기자 romeok@kukinews.com