2019.11.20

'구글의 환자 정보 수집은 합법'··· 찜찜한 의료정보 시장 각축전

Lucas Mearian | Computerworld
구글이 보다 나은 치료와 비용 절감 방법을 제시할 목적으로 미국 내 최대 의료 시스템 중 하나와 손을잡고 미국 21개 주, 2,600개 병원 및 의원에서 수백만 명의 환자 정보를 수집하고 분석한다. 
 
ⓒ GettyImagesBank

이 프로그램 내부 고발자의 폭로에 따르면, 프로젝트명은 “나이팅게일”로 전 세계에서 가장 큰 가톨릭 의료 시스템 기업 어센션(Ascension)이 참여하는 프로젝트 나이팅게일(Project Nightingale)은 의료기관에서 최대 5,000만 건의 개인 의료 기록을 수집한다. 

이뿐만이 아니다. 어센션과의 제휴가 공표된 후, 워싱턴 포스트는 미국국립보건원(National Institutes of Health, NIH)에서 구글이 10만 건 이상의 환자 흉부 엑스레이를 공개하지 못하도록 저지했다고 보도했다. 해당 엑스레이 정보는 2017년 구글과 NIH가 진행한 공동 프로젝트의 일환이었지만, 일부에서 환자의 개인식별정보가 포함된 것을 발견했다. 

어센션과의 거래에 관해서, 구글은 지난 7월 2분기 실적 관련 컨퍼런스 콜에서 클라우드 데이터 분석을 사용하여 어센션의 환자 정보를 수집할 계획을 밝혔다. 하지만 “나이팅게일” 프로젝트는 언급되지 않았다. 구글 클라우드 대표 타리크 슈카트는 “구글 클라우드의 AI와 머신러닝 솔루션으로 어센션과 같은 의료기관이 의료경험과 결과를 개선하도록 돕고 있다”고 말했다. 

또 “어센션과의 협업은 구글이 수십 곳의 다른 의료서비스 업체와 작업하는 방식과 비슷하며, 최신 기술로 의료서비스 업체를 지원하기 위한 비즈니스 계약이다. 의료서비스 업체와 의료기록 관련 기술 업체로는 클리블랜드 클리닉(Cleveland Clinic), 미국 암학회(American Cancer Society, ACS), 메케슨(McKesson), 아테나(Athena)가 포함돼 있다”고 밝혔다.

슈카트는 “구글은 의료서비스 업체의 환자치료를 돕기 위해 어센션과의 BAA(Business Associate Agreement)를 체결하고 개인 건강 정보(Protected Health Information, PHI) 접근을 관리한다. 간호사와 의사가 환자 치료를 위해 널리 사용하는 전자시스템에서 환자 정보가 관리되므로, 이는 의료분야의 표준관행”이라고 설명했다.

프로젝트의 의도가 얼마나 좋은지에 상관없이, 개인의료정보 수집에 분노한 환자와 국회의원들은 미국 연방 차원의 조사를 요청했다. 미 보건복지부 산하 민권국 국장 로저 세베리노는 성명서에서 “개인의료정보 대량 수집에 대해 더욱 철저히 조사해 의료정보보호법(HIPAA) 보호가 완전하게 이행되도록 할 것”이라고 밝혔다. 

IDC 리서치 디렉터 신시아 뷔르가르트는 “서드파티의 환자정보 수집은 의료서비스 제공업체와 분석기술 업체에서 일반적일 뿐만 아니라 환자가 공통의 HIPAA 양식에 서명 동의하는 한 완전히 합법적이다. 환자들은 알고 하든 모르고 하든 대부분 동의한다”고 말했다.

그리고 “이 정도 규모의 데이터베이스는 드물지 않으며, 표면적으로는 문제가 없다. 구글은 BAA 관련 HIPAA 준수 문서에 서명했고 관련 법규를 지킨 것이다. 의료기관에 방문하는 환자는 HIPAA 발행양식에 서명하게 되는데, 이로써 해당 기관이 환자정보를 의료연구 및 치료개선에 사용하는 허가를 얻게 된다. 양식에 환자의 동의가 있기 때문이다. 하지만 장기적으로 구글이나 다른 IT 업체를 신뢰할 수 있을까? 데이터를 수익화하면서도 악영향은 전혀 없다는 사실에는 익숙하지 않다”고 지적했다.

많은 의료서비스 업체는 환자 정보를 분석할 목적으로 AWS나 마이크로소프트 애저, 구글 클라우드 같은 곳에 저장하고 있다. 

지난 9월, 구글이 런던에 위치한 AI 업체 딥마인드(DeepMind)의 의료사업부를 인수했을 때도 환자개인정보에 대한 논쟁이 일어났다. 딥마인드는 영국 국민의료보건서비스(National Health Service, NHS) 병원 의료진이 의료기록에 쉽게 접근할 수 있는 의료 서비스 앱인 스트림스(Streams)를 개발했다. 이 앱은 테스트를 위해 NHS가 딥마인드에 불법적으로 160만 명의 환자기록을 넘긴 사실을 영국 개인정보보호 감시국이 적발해 논란이 된 바 있다.

작년에 아마존, JP모건, 버크셔 해서웨이는 직원 의료비 절감을 목표로 파트너십을 맺고 민간 의료회사를 출범시켰다.

‘보건의료 빅데이터로 영리를 추구하는 기업들(Our Bodies, Our Data: How Companies Make Billions Selling Our Medical Records)’의 저자 애덤 테너에 따르면, 치료와 관련 없는 기업은 의료정보를 사고 팔 수 있다. 단, 생일, 이름, 주민등록번호와 같은 개인을 특정할 수 있는 정보는 삭제해야 한다. 

테너에 따르면, HIPAA가 익명의 환자 정보 거래를 용인함으로써 최근 몇 년간 수십억 달러 규모의 시장이 조성되었고, 데이터 마이닝 업체는 수억 명의 환자에 대한 서류를 수집하고 있다. 하지만, 점점 더 많은 데이터 과학자와 의료 전문가가 “수백만 명의 환자에 대한 익명의 정보를 (거래하기 위해) 서류로 통합하는 동일한 컴퓨팅 기술로, 환자 개인을 특정할 수 있도록 재식별 작업도 가능하다”고 지적한다. 

카네기 멜론대학교의 초기 연구는 익명화된 미국 인구조사 정보와 인구에서 발견된 몇가지 특정을 단순히 결합하기만 해도 고유한, 혹은 거의 고유한 일부 개인을 특정할 수 있는 방법을 보여준다. 

카네기 멜론대학교 데이터 프라이버시 랩 책임자이자 보고서의 저자인 라타냐 스위니는 “분명히 이들 개인에 대한 이런 정보가 포함된 채로 나오는 데이터는 익명 정보로 간주해서는 안된다. 하지만 의료 및 기타 개인에 특정된 정보가 불완전하게 익명화된 형태로 공개된다”고 지적했다. 

기본적인 개인식별자가 삭제된 의료정보는 연구원, 의약품 개발자, 마케터 등에게 판매된다. 아이큐비아(IQVIA, 이전 IMS 헬스), 옵텀(Optum), 심포니 헬스(Symphony Health)와 같은 의료정보업체는 환자정보 판매로 수익을 올리고 있지만, 정작 정보제공자인 환자 자신은 사용에 대한 통제권한이나 보상에서 제외된다.

스타트업 휴머니티코(Hu-manity.co)는 작년에 IBM과 제휴하여 블록체인 기반 원장을 개발했다. 소비자에게 자신의 정보에 대한 암호화 키를 제공하여 본인의 의료 및 기타 건강 정보에 대한 특정 목적의 사용에 통제권을 가지고 수익을 얻을 수 있다.

IBM은 2015년에 왓슨 헬스 글로벌 분석 클라우드를 출시했다. 이를 통해 의료서비스 제공업체와 연구원이 환자정보를 업로드 및 분석하고 트랜드에 대한 통찰력을 높이고 “환자 개인과 전반에 대한 결과를 개선”할 수 있다. 이듬해 IBM은 의료정보 분석회사 트루벤(Truven Health Analytics)를 26억 달러에 인수하여 축적된 환자정보를 추가로 획득했다. IBM의 왓슨 헬스 사업부 출범 이후 4번째 의료정보 관련 인수였다.

IBM 헬스는 트루벤 인수로 최대 약 3억 건의 미국 환자정보를 보유하게 됐다고 발표했다. 뷔르가르트는 “IBM은 또한 건강보험청구에 대한 수년에 걸친 수천만 건의 기록도 추가하여 청구정보 분석, 보고, 이용으로 수익을 올릴 수 있게 되었다”고 설명했다. 

마찬가지로, 구글 클라우드 분석 플랫폼은 AI와 머신러닝을 사용하여 환자정보를 처리하고 의료와 비용절감에 대한 모범사례를 제안한다.  아마존, 애플, 마이크로소프트 및 기타 대형 IT 업체도 의료서비스 분야에 진출하고 있다. 환자의 의료정보에 접근할 수 있는 애플리케이션 및 사내 의료서비스 프로그램을 만들고 있다.

올해 초, 거대 약국 체인인 CVS와 의료보험 자회사인 애트나(Aetna)는 앱을 출시하여 회원들이 전자의료기록(electronic medical records, EMRS)을 애플의 건강서비스와 공유하도록 선택할 수 있게 했다. 그 대가로, 애플은 애플워치 사용자에게 맞춤화된 운동 및 건강 목표를 제공한다.  editor@itworld.co.kr



2019.11.20

'구글의 환자 정보 수집은 합법'··· 찜찜한 의료정보 시장 각축전

Lucas Mearian | Computerworld
구글이 보다 나은 치료와 비용 절감 방법을 제시할 목적으로 미국 내 최대 의료 시스템 중 하나와 손을잡고 미국 21개 주, 2,600개 병원 및 의원에서 수백만 명의 환자 정보를 수집하고 분석한다. 
 
ⓒ GettyImagesBank

이 프로그램 내부 고발자의 폭로에 따르면, 프로젝트명은 “나이팅게일”로 전 세계에서 가장 큰 가톨릭 의료 시스템 기업 어센션(Ascension)이 참여하는 프로젝트 나이팅게일(Project Nightingale)은 의료기관에서 최대 5,000만 건의 개인 의료 기록을 수집한다. 

이뿐만이 아니다. 어센션과의 제휴가 공표된 후, 워싱턴 포스트는 미국국립보건원(National Institutes of Health, NIH)에서 구글이 10만 건 이상의 환자 흉부 엑스레이를 공개하지 못하도록 저지했다고 보도했다. 해당 엑스레이 정보는 2017년 구글과 NIH가 진행한 공동 프로젝트의 일환이었지만, 일부에서 환자의 개인식별정보가 포함된 것을 발견했다. 

어센션과의 거래에 관해서, 구글은 지난 7월 2분기 실적 관련 컨퍼런스 콜에서 클라우드 데이터 분석을 사용하여 어센션의 환자 정보를 수집할 계획을 밝혔다. 하지만 “나이팅게일” 프로젝트는 언급되지 않았다. 구글 클라우드 대표 타리크 슈카트는 “구글 클라우드의 AI와 머신러닝 솔루션으로 어센션과 같은 의료기관이 의료경험과 결과를 개선하도록 돕고 있다”고 말했다. 

또 “어센션과의 협업은 구글이 수십 곳의 다른 의료서비스 업체와 작업하는 방식과 비슷하며, 최신 기술로 의료서비스 업체를 지원하기 위한 비즈니스 계약이다. 의료서비스 업체와 의료기록 관련 기술 업체로는 클리블랜드 클리닉(Cleveland Clinic), 미국 암학회(American Cancer Society, ACS), 메케슨(McKesson), 아테나(Athena)가 포함돼 있다”고 밝혔다.

슈카트는 “구글은 의료서비스 업체의 환자치료를 돕기 위해 어센션과의 BAA(Business Associate Agreement)를 체결하고 개인 건강 정보(Protected Health Information, PHI) 접근을 관리한다. 간호사와 의사가 환자 치료를 위해 널리 사용하는 전자시스템에서 환자 정보가 관리되므로, 이는 의료분야의 표준관행”이라고 설명했다.

프로젝트의 의도가 얼마나 좋은지에 상관없이, 개인의료정보 수집에 분노한 환자와 국회의원들은 미국 연방 차원의 조사를 요청했다. 미 보건복지부 산하 민권국 국장 로저 세베리노는 성명서에서 “개인의료정보 대량 수집에 대해 더욱 철저히 조사해 의료정보보호법(HIPAA) 보호가 완전하게 이행되도록 할 것”이라고 밝혔다. 

IDC 리서치 디렉터 신시아 뷔르가르트는 “서드파티의 환자정보 수집은 의료서비스 제공업체와 분석기술 업체에서 일반적일 뿐만 아니라 환자가 공통의 HIPAA 양식에 서명 동의하는 한 완전히 합법적이다. 환자들은 알고 하든 모르고 하든 대부분 동의한다”고 말했다.

그리고 “이 정도 규모의 데이터베이스는 드물지 않으며, 표면적으로는 문제가 없다. 구글은 BAA 관련 HIPAA 준수 문서에 서명했고 관련 법규를 지킨 것이다. 의료기관에 방문하는 환자는 HIPAA 발행양식에 서명하게 되는데, 이로써 해당 기관이 환자정보를 의료연구 및 치료개선에 사용하는 허가를 얻게 된다. 양식에 환자의 동의가 있기 때문이다. 하지만 장기적으로 구글이나 다른 IT 업체를 신뢰할 수 있을까? 데이터를 수익화하면서도 악영향은 전혀 없다는 사실에는 익숙하지 않다”고 지적했다.

많은 의료서비스 업체는 환자 정보를 분석할 목적으로 AWS나 마이크로소프트 애저, 구글 클라우드 같은 곳에 저장하고 있다. 

지난 9월, 구글이 런던에 위치한 AI 업체 딥마인드(DeepMind)의 의료사업부를 인수했을 때도 환자개인정보에 대한 논쟁이 일어났다. 딥마인드는 영국 국민의료보건서비스(National Health Service, NHS) 병원 의료진이 의료기록에 쉽게 접근할 수 있는 의료 서비스 앱인 스트림스(Streams)를 개발했다. 이 앱은 테스트를 위해 NHS가 딥마인드에 불법적으로 160만 명의 환자기록을 넘긴 사실을 영국 개인정보보호 감시국이 적발해 논란이 된 바 있다.

작년에 아마존, JP모건, 버크셔 해서웨이는 직원 의료비 절감을 목표로 파트너십을 맺고 민간 의료회사를 출범시켰다.

‘보건의료 빅데이터로 영리를 추구하는 기업들(Our Bodies, Our Data: How Companies Make Billions Selling Our Medical Records)’의 저자 애덤 테너에 따르면, 치료와 관련 없는 기업은 의료정보를 사고 팔 수 있다. 단, 생일, 이름, 주민등록번호와 같은 개인을 특정할 수 있는 정보는 삭제해야 한다. 

테너에 따르면, HIPAA가 익명의 환자 정보 거래를 용인함으로써 최근 몇 년간 수십억 달러 규모의 시장이 조성되었고, 데이터 마이닝 업체는 수억 명의 환자에 대한 서류를 수집하고 있다. 하지만, 점점 더 많은 데이터 과학자와 의료 전문가가 “수백만 명의 환자에 대한 익명의 정보를 (거래하기 위해) 서류로 통합하는 동일한 컴퓨팅 기술로, 환자 개인을 특정할 수 있도록 재식별 작업도 가능하다”고 지적한다. 

카네기 멜론대학교의 초기 연구는 익명화된 미국 인구조사 정보와 인구에서 발견된 몇가지 특정을 단순히 결합하기만 해도 고유한, 혹은 거의 고유한 일부 개인을 특정할 수 있는 방법을 보여준다. 

카네기 멜론대학교 데이터 프라이버시 랩 책임자이자 보고서의 저자인 라타냐 스위니는 “분명히 이들 개인에 대한 이런 정보가 포함된 채로 나오는 데이터는 익명 정보로 간주해서는 안된다. 하지만 의료 및 기타 개인에 특정된 정보가 불완전하게 익명화된 형태로 공개된다”고 지적했다. 

기본적인 개인식별자가 삭제된 의료정보는 연구원, 의약품 개발자, 마케터 등에게 판매된다. 아이큐비아(IQVIA, 이전 IMS 헬스), 옵텀(Optum), 심포니 헬스(Symphony Health)와 같은 의료정보업체는 환자정보 판매로 수익을 올리고 있지만, 정작 정보제공자인 환자 자신은 사용에 대한 통제권한이나 보상에서 제외된다.

스타트업 휴머니티코(Hu-manity.co)는 작년에 IBM과 제휴하여 블록체인 기반 원장을 개발했다. 소비자에게 자신의 정보에 대한 암호화 키를 제공하여 본인의 의료 및 기타 건강 정보에 대한 특정 목적의 사용에 통제권을 가지고 수익을 얻을 수 있다.

IBM은 2015년에 왓슨 헬스 글로벌 분석 클라우드를 출시했다. 이를 통해 의료서비스 제공업체와 연구원이 환자정보를 업로드 및 분석하고 트랜드에 대한 통찰력을 높이고 “환자 개인과 전반에 대한 결과를 개선”할 수 있다. 이듬해 IBM은 의료정보 분석회사 트루벤(Truven Health Analytics)를 26억 달러에 인수하여 축적된 환자정보를 추가로 획득했다. IBM의 왓슨 헬스 사업부 출범 이후 4번째 의료정보 관련 인수였다.

IBM 헬스는 트루벤 인수로 최대 약 3억 건의 미국 환자정보를 보유하게 됐다고 발표했다. 뷔르가르트는 “IBM은 또한 건강보험청구에 대한 수년에 걸친 수천만 건의 기록도 추가하여 청구정보 분석, 보고, 이용으로 수익을 올릴 수 있게 되었다”고 설명했다. 

마찬가지로, 구글 클라우드 분석 플랫폼은 AI와 머신러닝을 사용하여 환자정보를 처리하고 의료와 비용절감에 대한 모범사례를 제안한다.  아마존, 애플, 마이크로소프트 및 기타 대형 IT 업체도 의료서비스 분야에 진출하고 있다. 환자의 의료정보에 접근할 수 있는 애플리케이션 및 사내 의료서비스 프로그램을 만들고 있다.

올해 초, 거대 약국 체인인 CVS와 의료보험 자회사인 애트나(Aetna)는 앱을 출시하여 회원들이 전자의료기록(electronic medical records, EMRS)을 애플의 건강서비스와 공유하도록 선택할 수 있게 했다. 그 대가로, 애플은 애플워치 사용자에게 맞춤화된 운동 및 건강 목표를 제공한다.  editor@itworld.co.kr

X