질병은 사람을 가리지 않는다. 어쩌다 보니 국내 1호 환자가 됐다. 의료진은 논문을 내고 싶다고 한다. 치료하는 의사가 동의서를 내밀었다. 공익을 위해서라는 설명에 쉽게 거절할 수 없다. 가족에게조차 비밀로 한 사생활이 연구 목적이라는 이유로 전세계에 공개된다면 어떤 기분일까.
최근 A씨는 희귀병에 걸렸다. 치료 중 의료진은 A씨 사례를 가지고 증례보고(Case Report)를 썼다. 증례보고는 잘 알려지지 않은 질환의 새로운 발견 등 보고 가치가 있는 사례에 대한 연구를 말한다. 유사한 환자가 발생했을 때 다른 의료인이 증례보고를 참고해 치료할 수 있다. 후속 연구에 도움을 주기도 한다.
해당 연구는 진행 전 생명윤리위원회(IRB·Institutional Review Board) 승인을 거쳤다. IRB는 인간 대상 연구의 윤리적, 과학적 타당성을 심의하는 윤리기구다. 학회 심사까지 거친 뒤 국내 한 의학회지 사이트에 올라왔다. 오픈액세스(Open Access) 저널이다. 로그인, 회원가입 등 절차가 전혀 없다. 누구나 무료로 볼 수 있고 자유롭게 다운로드, 복제, 인쇄, 검색 가능하다.
이름·주민등록번호 없으면 익명성 보장될까…의료계 “관행”
증례보고 논문에는 A씨 연령, 성별뿐 아니라 의료정보가 자세히 담겼다. 의료정보는 환자 건강, 성생활, 유전자 검사 결과, 개인의 신체·생리·행동 특징을 지칭한다. 개인정보 중에서도 민감정보다. 개인정보 보호법 제23조 제1항은 민감정보를 사상·신념, 인종·민족 정보, 정치적 견해, 성생활 등에 관한 정보 등 정보주체 사생활을 현저해 침해할 우려가 있는 정보라고 정의한다.
의료정보가 유출되면 한 사람 삶에 치명적 영향을 준다. 환자 기록은 배우자, 부모, 형제도 요건을 갖추지 않으면 볼 수 없다. 의료인, 의료기관에서 유출했을 경우 처벌 수위도 높다.
까다로운 의료정보라도 학술 영역에 들어오면 얘기가 달라진다. 개인정보 보호법은 과학 연구 목적이라면 환자 의료정보를 제 3자에게 제공 가능하다고 예외를 뒀다. 환자 동의를 받고 가명 처리했다는 전제하에서다.
의료계 관계자들은 이름, 주민등록번호가 공개되지 않아 환자 익명성을 충분히 보장했다는 입장이다. 서울 한 대학병원 B교수는 “의료인들이 잘 알려지지 않은 질병 정보를 공유하고 공중보건을 이롭게 하는 측면에서 증례보고 의의가 있다”며 “이름, 주소, 주민번호 등 개인식별정보를 가렸으니 프라이버시가 침해됐다고 보기 어렵다”라고 말했다.
하지만 A씨 경우는 여타 증례보고 된 환자들과 다른 점이 있다. 공개됐을 때 혐오, 차별 공격을 받을 수 있는 민감정보가 포함됐다. 논문이 공개된 시점, 국내 해당 질병을 가진 사람은 A씨 단 한 명이었다. 특정 가능하다는 맹점이 있었다. A씨 주변인이 알 수도 있었다. 누구나 접근 가능한 온라인 공간에 올라와 자칫 신상털기 표적이 될 수도 있었다.
오병일 진보네트워크센터 대표는 “꼭 이름이나 주민등록번호가 아니더라도, 다른 정보를 조합해 A씨임을 추론할 수 있다면 그것 또한 개인정보로 봐야 한다”면서 “A씨 지인이 논문을 통해 A씨임을 알아보고, 몰랐던 민감정보를 접할 수 있었던 상황”이라고 지적했다. 오 대표는 “환자로부터 동의를 받았다 해도 형식적 동의에 그친 게 아닌지 의심된다”고 덧붙였다.
환자 동의서 입수…해외 학술지 양식과 비교해보니
쿠키뉴스는 의료진이 증례보고를 내기 전 A씨에게서 받은 동의서를 입수했다. A씨가 읽고 서명한 동의서는 A4 1장 분량으로 6가지 항목으로 구성됐다. 대상자가 연구 참여에 동의했는지, 반드시 참여할 필요가 없다는 설명을 들었는지, 정보 공개로 처할 수 있는 위험에 대한 설명을 들었는지가 골자다. 대상자가 서명을 하면 이 내용을 확인하고 동의한 것으로 본다.
그러나 의료진이 대상자 익명을 보장하기 위해 구체적으로 어떤 노력을 할 것인지, A씨 민감정보가 어느 범위까지 담기는지에 대한 구체적 설명은 없었다. 의료진뿐만 아니라 일반 대중이 읽을 수 있다는 안내도 빠졌다. A씨가 논문 최종본을 봤는지도 알 수 없다. 입수한 동의서만 놓고 본다면 환자가 논문 공개로 인한 위험을 충분히 고지 받지 않았을 가능성이 충분하다.
해외 유명 의학 학술지의 동의서 양식은 어떨까. ‘란셋(Lancet)’과 ‘영국의학저널(BMJ)’의 증례보고 동의서 양식을 살폈다. BMJ는 동의서 분량이 2장이다. 항목도 9가지로 세세하다. 동의서 양식에는 환자 본인이 사진·이미지·텍스트 자료를 확인하고, 논문 최종본을 읽었는지 여부를 확인하는 란이 있다.
특히 BMJ는 동의서에 익명 처리를 해도 완전한 익명성이 보장될 수 없고, 누군가가 환자를 알아볼 수 있다는 점을 명시했다. 논문이 어떻게 활용될 지에 대해서도 상세히 서술했다. 학술지를 의료진뿐만 아니라 학자, 학생, 기자 등 다양한 사람이 구독하고 있다고 알렸다. 논문은 인쇄물, 디지털 등 모든 형식으로 발행될 수 있고 기사화, SNS 공유도 가능하다고 부연했다. 영국뿐 아니라 전세계에 배포될 수 있다는 여러 가지 경우의 수를 알렸다.
개인정보 보호 강화는 전세계적 흐름…“학계 고민 필요”
연구 차원이라도 개인정보 보호를 강화하는 것이 전세계적 흐름이다. 유럽연합(EU)은 지난 2018년 개인정보보호법(GDPR·General Data Protection Regulation)을 발효했다. GDPR에 따르면 민감정보 처리자는 정보주체 동의를 받을 때 개인정보 처리 목적, 언제든지 동의 철회할 수 있다는 사실을 구체적이고 명확히 알려야 한다. 개인정보 주체는 동의를 언제든 철회할 수 있다. 동의 철회 시, 처리자는 정당한 이유가 없다면 정보를 삭제해야 한다. 정보가 재가공되거나 제3자에게 제공될 때마다 처리자는 정보주체에게 추가로 동의를 받아야 한다.
개인정보 분쟁조정위원회 위원인 김보라미 변호사(법무법인 디케)는 “불이익을 당해도 민감정보를 주변에 알리고 싶지 않아 법적 대응을 꺼리는 사례가 많다”면서 “논문은 쉽게 말해 공공재다. 해당 환자의 경우 치료 과정을 공개하는 줄로만 알았을 가능성이 있다. 본인이 이 정도의 민감정보 공개에 동의했다는 건 일반적이지 않다”고 우려했다.
김 변호사는 “환자 익명성을 보장하기 위한 충분한 노력이 취해지지 않은 것으로 보인다. IRB 등 심사 과정에서 문제가 걸러지지 않았다는 점도 아쉽다”면서 “환자 사생활을 지키고 익명성을 보장하는 것은 연구 윤리와도 직결되는 문제인 만큼, 학계에서도 논의가 필요하다”고 말했다.
정진용 기자 jjy4791@kukinews.com