"의료정보, 이제 환자가 옮긴다"…전송요구권 본격 시행

법무법인 대륜 "보안성·신뢰성 확보 철저해야"

환자가 자신의 진료기록과 건강정보를 직접 관리하고 활용할 수 있는 시대가 열렸다. 지난 3월 개정된 '개인정보 보호법' 시행에 따라 ‘개인정보 전송요구권’ 제도가 본격 시행되면서부터다.

법률 전문가들은 의료기관과 환자 간의 데이터 흐름에 큰 변화가 시작된 만큼 기술적 관리적 체계를 갖춰야 한다고 조언했다. 7일 법무법인 '대륜'은 개인정보 처리방침 작성지침 개정안에 대한 기업·시사점 리포트를 통해 기업과 기관이 갖춰야 할 시스템 등을 소개했다.

'개인정보 전송요구권'은 정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송해 달라고 요구할 수 있는 권리로, 유럽연합(EU)의 일반개인정보보호법(GDPR)에서 규정한 '데이터 이동권(Right to Data Portability)'을 국내 실정에 맞게 도입한 제도다.

이 제도는 개인이 자신의 정보를 다양한 플랫폼에서 주체적으로 통합·활용할 수 있도록 보장하는 '마이데이터' 정책의 핵심 축으로, 의료, 통신, 금융 등 민감한 정보 분야에서 순차적으로 적용되고 있다.

그중 특히 의료 분야는 이번 제도의 핵심 적용 영역 중 하나로, 향후 진료·건강관리 체계에 큰 영향을 미칠 수 있다는 의견이다.

이번 제도 시행으로 환자는 질병관리청, 국민건강보험공단, 건강보험심사평가원, 상급종합병원 등 공공·민간기관에 분산돼 있던 예방접종 기록, 건강검진 결과, 진료내용, 투약이력, 진단정보 등을 본인이 직접 수령하거나 원하는 기관 또는 플랫폼으로 전송할 수 있다. 이로써 병원 간 진료기록 이관은 물론, 개인건강기록(PHR) 플랫폼을 통한 통합 건강관리가 가능해진다.

개인정보보호위원회는 의료 분야를 포함해 통신·에너지 등으로 마이데이터 적용 범위를 확대하고 있으며, 오는 2026년까지 의료정보 전송의 제도적 기반을 보다 견고히 구축할 방침이다. 개인정보 전송은 반드시 중계 전문기관을 통해 이뤄지며, 암호화 및 API 방식으로만 허용된다. 스크래핑 방식은 금지되며, 의료데이터의 경우 특화된 '특수 전문기관'을 통해 보관 및 활용이 이뤄진다.

다만, 전송 가능한 정보는 정보주체가 제공했거나 활동을 통해 생성된 정보로 한정되며, 병원이 자체 분석·가공한 데이터(위험도 예측, 프로파일링 결과 등)는 원칙적으로 전송 대상에 포함되지 않는다. 예외적으로 의료법상 진단정보는 전송이 가능하다.

관계자들은 의료 현장에서 개인정보 전송요구권 제도화는 환자 중심의 건강정보 주권 확립은 물론, 향후 정밀의료와 맞춤형 건강관리 서비스의 기반이 될 것이라는 전망이다.

법무법인 대륜은 "환자가 중심이 되는 의료 데이터 활용 체계가 시작됐다"며 "상급종합병원 등 의료기관은 민감한 개인정보를 다루는 특성을 고려해 데이터 전송 과정의 보안성과 신뢰성을 철저히 확보해야 한다"고 강조했다.

이어 "PHR 플랫폼, 디지털 헬스케어 기업 등도 전송 데이터 수신자로서 마이데이터 등록 요건을 충족하고, 정보주체의 권리를 보장하는 기술적·관리적 체계를 갖춰야 한다"고 덧붙였다.

한편 최근 마이데이터 사업이 궤도에 오르면서 정부 역시 마이데이터 개인정보 전송에 대한 구체적인 지침을 마련하고 있는 상황이다. 6일 개인정보보호위원회는 지난 3월 초안을 공개하고 의견수렴을 거친 '전 분야 마이데이터 개인정보 전송 요구권 제도 안내서'를 발간하기도 했다.

[기사전문보기]
"의료정보, 이제 환자가 옮긴다"…전송요구권 본격 시행 (바로가기)