바이오데이터의 활용 달인되기 세션을 맡은 이시항 변호사입니다. 헬스케어와 디지털트랜스포메이션에 관심이 있고, 라이센싱과 규제 관련된 업무를 주로 담당하고 있습니다.
우선 보건의료데이터란 무엇인지를 큰 관점에서 보고, 보건복지부에서 나온 가이드라인을 중심으로 설명을 드리도록 하겠습니다.
보건의료데이터의 일반적인 분류입니다. 진료데이터, 임상연구데이터, 공공기관 데이터, 기기 기반 데이터, 지노믹스, 프로테오믹스, 앱/소셜 미디어, 바이오마크 등이 있습니다. 다만 이건 수집주체관점에서 분류된 것으로, 어떻게 보면 고전적인 분류라고 볼 수 있습니다.
제가 제시하고자 하는 관점은 헬스케어 서비스 주체의 생애주기 관점에서 이 데이터를 어떻게 이해할 것인가입니다. 의약품이나 의료기기가 시장에 출시되어 판매되고, 처방되고, 사용되고, 보험금이 환급되고… 실제로 환자가 있는 곳에서 수집된 데이터를 합쳐서 이용하겠다는 것이 헬스케어 디지털트랜스포메이션의 활용 방향입니다.
현재 존재하는 보건의료 데이터들에 대해 좀 더 자세하게 설명을 드리면 다음과 같습니다. 우선 임상시험입니다. 제약회사나 의료기기 제조사 등의 스폰서들이 임상시험 실시 기반, 보통 병원에 임상시험을 의뢰하게 되는데요. 이 결과물로 나오는 것이 케이스 리포트 폼, 즉 증례기록지입니다. 증례기록지는 인간 대상의 연구이기에 윤리적 관점에서 규제되어 왔고, 기관생명윤리위원회(institutional Review Board, IRB)가 이 과정을 총괄해왔습니다.
IRB는 연구기획서를 심의하고, 진행 상황을 감시감독해온 기관입니다. 관련된 주요법령으로는 생명윤리법이 있고, 약사법과 의료기기법 밑에 있는 임상시험관리기준(Good Clinical Practice, GCP) 이 주된 규범이라고 할 수 있습니다.
의료제품이 허가되어 사용되면, 의료기관에서 의사가 처방을 하고 그 내용을 전자의무기록으로 기록합니다. 이 기록은 대단히 엄격하게 다뤄지고 있습니다. 기본적으로는 환자만 열람 등사를 할 수 있고요. 의료기관간 전송만 가능하고, 제3자 제공은 “법률에 의해 가능하다”는 수준도 아니고, 반드시 “특정 법률에 의해서만 가능하다”고 한정적으로 열거하고 있습니다. 의료법에 규정된 내용이죠.
그 다음으로, 의사의 진료행위에 대해 본인이 부담하는 금액도 있지만 건강보험공단에서 부담하는 금액도 있습니다. 건강보험공단과 심사평가원에서 비용 청구가 적절한가 심사하고 평가하게 되는데요.
우리나라가 굉장히 독특한 점이, 전세계에서 정말 유래를 찾기 힘든 단일 의무 가입 보험이기 때문에, 정보가 굉장히 집적되어 있습니다. 그래서 심사평가원에서는 나름 실시간 의약품 안전사용 서비스, 병행복용을 하면 안 되는 약이 처방되었을 때 알려주는 등의 서비스를 이미 하고 있고, 앞으로 공공데이터로 공개하려고도 하고 있습니다. 그 근거법령은 국민건강보험법이고요.
그리고 새롭게 등장한 것이 환자가 있는 곳에서 수집되는 환자생성정보입니다. 각종 웨어러블 디바이스라든지, 바이오마커, 디지털바이오마커등이 있습니다.
그 밑에 있는 것은, 예를 들어 유전자정보는 유전자정보 시험분석기관이 수행은 할 수 있지만 의료기관연계가 원칙이고 DTC(Direct to Customer)는 굉장히 제한적으로만 허용하고 있습니다. 저는 이건 사실 진료기록의 연장으로 봐야한다고 생각합니다. 그리고 역학정보, 에이즈와 같은 성매개감염병 정보라든지, 공중보건통계정보 등은 국가가 보유하고 있는 정보이기 때문에 건강보험공단 보유정보로 카테고리를 묶어봤습니다.
그렇다면 우리가 이걸 이용해서 어떻게 새로운 헬스케어 제품을 만들 것인가가 문제인데요. 지금까지 데이터를 모으기 위해서는, 임상시험을 설계하고, 사람을 대상으로 시험하고, 수집된 데이터로 시판허가를 받고, 의료기관의 의료진들을 설득을 하고, 수가 책정을 하고 사용했는데요. 사용이 상당히 제한적이었죠. 실사용 데이터를 모아서 각각의 경우에서 실제로 활용을 많이 하고 있습니다.
여기서 제가 가장 말씀드리고 싶은 것은 바이오데이터는 무엇보다 결합이 중요한데, 가명정보에서는 결합과 프라이버시 보호가 서로 트레이드 오프 관계이기 때문에, 이 점을 염두에 두시는 것이 좋을 것 같습니다.
과학적 연구 목적에 대해 살펴보겠습니다.
가명정보의 경우 통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 처리할 수 있다고 되어 있는데요. 그렇다면 과학적 연구에 상업적인 목적으로 제품을 만드는 것도 포함이 되느냐가 문제인데, 보건복지부에서 명확하게 가이드라인을 표명했습니다. 새로운 기술 제품 서비스의 연구개발 및 개선 등 산업적 목적의 연구가 포함된다고요.
예시를 살펴보겠습니다. 아까 본 헬스케어 프로덕트 라이프 사이클 기준으로 살펴봤을 때, 약물 및 의료기기 개발, 소프트웨어 의료기기 개발 등은 시판 허가를 받기 위한 것이고요. 진단 치료법 개선 및 개발은 의료기관에서 의료진들이 이용하시는 것이겠고요. 건강상태 모니터링은 환자생성데이터가 되겠지요.
그리고 특정 질환, 희귀질환이나 감염병의 지역적 연령적 분포, 통계 분석 등이 있고요. 의학적 사회적 효용을 비교하는 연구도 상당히 중요한 게, 건강보험에서 요양급여가 책정되려면 단순히 효과가 있다는 걸 넘어서서 기존 요양급여 비용을 줄일 수 있다는 걸 따로 입증해야 합니다. 그래서 그 부분에서도 활용할 수 있겠고요.
제일 마지막 부분이 흥미로운 부분인데요. 보건의료 데이터를 표준화하거나 원활히 관리하기 위한 기술, 소프트웨어를 개발하기 위한 연구. 일종의 의료 보건 플랫폼을 얘기하는 것인데, 다만 가이드라인에서는 이 플랫폼에 상당히 제약을 두고 있는 듯한 입장입니다. 이 부분을 살펴볼 필요가 있을 것 같습니다.
과학적 연구인지는 그럼 누가 판단하는가 하는 문제도 있습니다. 여러 기관 사이에 정보가 전달될 때에는 제공을 하는 자가 판단을 하되, 가명정보를 처리할 자가 처리목적이 연구라는 것을 입증하도록 되어있습니다. 그리고 재제공을 할 목적으로 제공받는 것은 금지되는데요, 독자적으로 과학적 연구를 수행하지 않고 단순히 서브 라이센싱 개념으로 유통하는 것은 금지된다는 이야기입니다.
그렇다면 이 데이터를 대가를 받고 라이센싱하는 것은 가능할까요? 가능하다고 되어 있긴 하지만 그 근거가 결합전문기관의 실비정산, 결합 과정에 드는 비용에 대한 환급을 규정한 개인정보보호법 시행령이라, 아직까지는 명확한 법령규정이 마련되지 않은 것으로 파악됩니다.
그 다음으로 이제 보건의료데이터와 관련해, ‘데이터 심의 위원회’에 대해 살펴보겠습니다.
보건의료 데이터를 보관하고 있는 기관들로 하여금 데이터 심의 위원회를 설치하고, 이 가명정보를 반출할 것인지, 결합할 것인지, 그것을 허용할지 거부할지 등을 판단하도록 하고 있습니다.
여기서 가장 눈에 띄는 점은 첫번째로 외부위원이 과반수여야 한다는 것, 그리고 IRB에 위탁할 수 있다는 부분입니다.
아까 말씀드렸다시피 인간대상의 연구, 임상시험에서는 IRB가 이미 데이터 모니터링을 해왔는데요. 왜냐하면 임상시험에서는 환자의 프라이버시 측면에서 데이터의 가명처리 및 익명처리가 중요한데다, 임상시험의 결과가 오염되지 않는 것을 막기위해서 이중맹검(Double-Blinded), 즉 환자에게 위약을 주듯이 연구자도 환자에 대해서 정확한 정보를 알지 못하도록 하는 시스템이 있습니다. 이미 가명화를 해 본 경험이 있는 것이죠.
이 IRB에서 그동안 사용되어온 가이드라인이 의료기관, 데이터 보유기관으로서는 상당히 중요할 것입니다. 데이터를 활용하고자 하는 외부기관으로서는 그 가이드라인을 참고해서 연구계획서나 신청서를 설계하면 좋을 것 같습니다.
또 외부위원을 과반수로 하도록 되어있기 때문에, 현재 이미 외부위원을 어느정도 보유하고 있는 IRB에 데이터 심의위원회를 위탁하는 실질적인 수요 또한 있을 것으로 보입니다.
다음으로, 가이드라인에 있는 예제를 프로세스로 설명드리겠습니다.
A병원에 소속된 의사 P가 A병원에 있는 진료기록부를 활용하는 경우입니다.
심의위원회에 신청서를 제출할 때, 함께 제출해야 하는 서류가 연구기획서와 데이터 활용신청서입니다. 어떤 연구 목적에서 어떤 데이터를 요구하고, 이를 어떻게 활용할 것인지 상세히 적어서 제출합니다.
그럼 심의위원회에서 연구계획의 충실성, 과학적 연구의 여부, 데이터 활용방법의 안전성 등을 검토하여 심의하도록 되어있습니다. 데이터 활용방법의 안전성 외에도 연구가 어떤 내용인지, 타당한 연구인지, 충실하게 잘 설계되었는지, 이런 과학적 부분들도 심사를 하겠다는 것이죠. 그리고 4번을 보면, 가명, 익명처리 방법 및 활용환경 결정도 심의위원회에서 하게 됩니다.
그리고 A병원의 데이터 담당 부서에서 데이터를 가명처리 하는데요. 여기서 미리 가명처리된 데이터베이스를 운용할 수도 있지만, 이럴 경우엔 실명이 기재된 개인정보, 식별자가 기재된 개인정보를 보호하는 것과 동등한 수준으로 관리하도록 되어있습니다.
그리고 가명처리 과정에서, 가명정보를 활용해 연구를 수행할 의사인 P가 가명처리를 직접 실시하지 않도록 유의하라고 되어 있습니다. 이게 아까 이중맹검과 관련된 케이스로 생각합니다.
그리고 가명, 익명처리 적정성을 병원 심의위원회에서 검토하게 됩니다. IRB 같은 경우 사실상 하는 역할이 똑같기 때문에, 여기에서는 면제대상이 될 수 있다고 명시되고 있습니다.
그리고 데이터를 제공하게 됩니다.
그럼 외부 제약회사에서 병원 진료 기록부를 활용하고자 할 때는 어떨까요? 절차는 동등합니다. 다만 공문으로 요청해야 하고, 외부기관에 반출할 것이기 때문에 좀 더 신중하게 심의하라는 차이가 있다고 보시면 됩니다.
이 부분이 하이라이트라고 할 수 있습니다. 의료기관과 건보공단의 정보를 결합해서 제약회사가 활용하는 경우입니다.
이 경우에도 데이터활용신청서를 작성해서 제출하는데, 역시 공문으로 발송해야 합니다. 그 다음에는 각 기관, 병원, 건보공단, 결합기관의 심의위원회에서 데이터 인풋과 아웃풋을 미리 상정하고 타당한지 검토하게 됩니다. 병원과 건보공단의 검토 후 결합기관에서도 검토를 하고, 그게 다 끝난 후에 정보의 반출과 결합이 이뤄지는 거죠.
그리고 정보의 반출과 결합과정에서도, 데이터 활용의 적정성에 따라서 가명정보로 반출할 것인지, 익명정보로 반출할 것인지, 어떠한 속성들을 제공할 것인지 등을 결정하고 나오게 됩니다. 중요한 것은 인풋과 아웃풋 모두 심의가 다 이뤄진 후에 데이터가 이동한다는 것입니다.
IRB 심의는 면제 대상이 될 수 있으며, 그리고 데이터 반출과정이 이뤄집니다.
다음으로, 생명윤리법 및 의료법과의 관계를 살펴보겠습니다.
생명윤리법에서도 인간대상의 연구, 익명화 등을 이미 정의하고 있습니다. 인간대상 연구를 하려는 경우에는 기관위원회의 심의를 받도록 되어 있고요. 하지만 예외적으로 IRB의 심의를 면제할 수 있는 경우가, ‘연구대상자등에 대한 기존의 자료나 문서를 이용하는 연구’인 경우입니다.
이부분에 대해서도 보건복지부가 명확하게 유권해석을 했습니다. 개정 개인정보보호법의 가명처리는 생명윤리법의 익명화에 포함되는 개념이라고요. 따라서 기관 차원에서 가명처리가 확인된 경우, IRB 심의 및 동의를 면제할 수 있다고 해석하였습니다.
그리고 의료법과 개인정보법의 관계를 보면 의료법이 굉장히 우세하다는 것을 알 수 있습니다. 1) 의료기관이 2) 보유중인 3) 환자에 대한 기록을 4) 제3자에게 5) 열람 또는 사본 발급 등 그 내용의 확인을 제공하는 경우엔, 개인정보 보호법을 적용하지 않고 의료법을 적용한다고 되어 있습니다. 여기에서 번호와 밑줄, 볼드처리는 모두 가이드라인에 있는 내용을 그대로 가져온 것입니다.
생명윤리법과 의료법, 보건의료 데이터에 대한 소관부처가 보건복지부이기 때문에, 이 부분에 대해서 서열정리를 해 준 것으로 볼 수 있는데요.
아래에 “의료법 제21조 또는 제21조의2에서 정하는 경우가 아니면 제공할 수 없다”는 내용이 있죠. 의료법 제21조는 환자의 열람등사권에 대한 것으로, 환자외에는 열람등사를 해줘선 안 된다는 내용이고요, 제21조의2는 환자의 요청으로 의료기관 간에 정보를 전송하는 데 대한 것입니다. 그렇기 때문에, EMR 사이에 호환성(Compatibility)을 마련하는 것은 개별적인 보건의료 데이터 활용과는 약간 거리가 있는, 이 가이드라인상에 포섭되지 않는 영역이라고 저는 생각합니다.
당연히 의료기관이 보유하고 있는 가명처리부서, 데이터처리부서에서 가명처리하여 환자 식별력이 없는 진료기록은 가명정보로 활용할 수 있고요. 의료기관이 아닌 자가 보유하는 진료기록은 의료법이 적용되지 않습니다. 의료법은 원칙적으로 의료인과 의료기관을 관할하는 법이기 때문에 그렇습니다.
아래 의료기관 개설 및 의료법인 설립 운영 편람을 보면, 애초에 의료법 21조와 21조의2 외의 반출에 대해 규정하고 있습니다.
맺음말은 간단한 키워드들로 정리했습니다.
보건의료 데이터란? Real World Data, 결합의 중요성이 부각되고 있습니다. 임상시험을 통한 Randomized Control Data, Controlled Trial Data가 아니라, Real World Data가 중요하게 활용되고 있고요.
과학적인 연구목적, 산업적 활용이 가능하다고 명시적으로 해석이 되었습니다.
데이터심의위원회는 보건의료 데이터 특유의 심사기관인데, IRB와 유사하게 운용될 가능성이 높아 보입니다. 이 부분에 대해 한 가지만 더 말씀드리면, Good Clinical Practice(GCP) 외에, 우리나라에선 명문화되진 않은 것으로 알고 있습니다만, 외국에서는 Good Data Record Practice 등도 도입되고 있는 것으로 알고 있습니다.
가명정보의 결합 및 활용 예제에서 말씀드리고 싶은 것은, 구체적인 연구계획서 및 데이터 처리 방법을 신청할 당시에 데이터의 안전한 처리 외에 과학적 요소들도 고려할 필요가 있다는 것입니다. 그리고 개인정보보호법이 생명윤리법에 앞서고, 개인정보보호법보다 의료법이 앞선다고 생각하시면 편할 것 같습니다.
그 밖에 가명처리 방법이나 데이터 라이센싱 계약의 고려요소는 말씀드리지 못했는데, 결국에 보건의료데이터의 지향점은 제가 생각했을 때 환자중심 및 환자수준의 의료를 향하여 가는 것이라고 생각합니다. 기존에 이야기되었던 증거중심의료, 증거기반의료, 정밀의료 등은 의료서비스를 제공하는 사람의 입장에서 구성된 개념이죠. 하지만 Real Wrold Data는 필연적으로 환자중심, 환자가 갖고 있는 특정 질환 중심으로 데이터를 수집할 수밖에 없고 결합될 수밖에 없다고 생각됩니다. 그래서 결국은 환자 중심, 환자 수준의 의료가 필요하지 않겠나 생각합니다.