주벨기에 유럽연합 대한민국 대사관 겸 주북대서양조약기구 대한민국 대표부

「유럽 건강 데이터 공간 규정」에 따라 앞으로 EU 내 모든 환자는 국경을 초월해 자신의 건강 데이터에 자유롭게 접근할 수 있으며 의료진과도 공유할 수 있다. 또한 생명에 중대한 위험이 있는 경우를 제외하고는 자신의 건강 데이터 전부 또는 일부에 접근 제한을 설정할 수 있다.

EU는 전 세계적 흐름과 발맞춰 모든 분야에서 데이터와 AI 기술 활용을 적극적으로 확대하고 있다. 보건의료 분야에서는 팬데믹을 계기로 데이터 기반의 대응체계가 중요한 정책 이슈로 부상했다. 이에 EU는 건강 데이터의 공유와 활용을 통해 공중보건 시스템을 더 안전하고 효과적으로 운영하고자 다양한 노력을 기울이고 있다.

이러한 배경에서 EU는 디지털 건강 데이터의 자유롭고 안전한 교환과 공공정책 및 연구 목적의 건강 데이터 활용을 촉진하기 위해 「유럽 건강 데이터 공간 (EHDS; European Health Data Space) 규정」을 제정했다. EHDS는 단순히 데이터 활용의 기술적 요건 규정을 넘어 개인정보 보호와 공익의 조화를 지향하는 디지털 단일시장 전략의 핵심축으로 평가된다. 즉 개인정보 보호를 전제로 하면서도 혁신과 연구에 필요한 데이터 활용의 길을 여는 새로운 규범으로 설계됐다.

EU 디지털 단일시장 실현을 위한 첫 번째 부문별 데이터 공간 전략으로서 EHDS는 환자, 의료기관, 연구기관, 정책당국 등이 안전하고 통제된 방식으로 건강 데이터를 공유하고 활용할 수 있는 법적·기술적 기반을 마련하는 데 중점을 뒀다. 
 

민감성·공공성 높은 건강 데이터 활용 위해 
보다 정교한 법적·기술적 기반 마련

EU의 기존 데이터 전략은 「일반개인정보보호법(GDPR)」을 기반으로 했으나, 보건의료 분야 데이터는 그 민감성과 공공성 때문에 더욱 정교한 규제체계가 필요하다는 인식이 있었다. EHDS는 이러한 문제의식에서 출발해 건강 데이터의 1차 활용, 2차 활용 모두를 포괄하는 방식으로 설계됐다. 1차 활용은 의료서비스 목적, 2차 활용은 가명화 또는 익명화된 건강 데이터를 공중보건, 정책 개발 및 통계 작성, 공중보건 향상을 위한 과학적 연구, 교육활동 등을 위해 활용하는 것을 의미한다. EHDS의 구체적인 내용은 다음과 같다.

첫째, 의료서비스 목적의 1차 활용은 EU 내 모든 환자가 국경을 초월해 자신의 건강 데이터에 자유롭게 접근할 수 있도록 한다. 의료전문가는 환자의 동의를 얻어 데이터를 열람할 수 있으며, 이로써 국가 간 의료서비스의 연속성을 확보한다. 예를 들어 벨기에에 거주하던 환자가 스페인에서 응급 진료를 받는 경우 현지 의료진은 환자의 진료 기록을 확인하고 즉각적으로 적절한 처방을 내릴 수 있게 된다.

환자는 건강 데이터 교환 플랫폼(MyHealth＠EU)에서 언제든지 자신의 건강 데이터를 열람·다운로드하고 의료진과 공유할 수 있다. 또한 자신의 건강 데이터 전부 또는 일부에 접근 제한을 설정할 수 있다. 단 생명·건강에 중대한 위험이 있는 경우에는 예외적으로 의료진의 접근이 허용된다. 회원국은 환자가 건강 데이터의 자동 공유를 거부할 수 있는 옵트아웃(opt-out) 권리와 구체적인 내용을 국내법으로 규정할 수 있다. 

둘째, EHDS는 연구기관, 제약사, 정책기관 등의 데이터 접근 신청은 허용하지만 광고 및 마케팅, 보험료 산정, 고용 심사, 개인 또는 집단에 차별적 결정을 내리거나 공중보건을 저해하는 목적의 활용은 명시적으로 금지하고 있다. 활용할 수 있는 정보에는 전자건강기록(electronic health records), 의료 청구 데이터를 포함한 행정 데이터, 유전체 데이터, 생체 지표, 진단 영상 등이 포함된다. 이때도 개인은 별도의 사유 없이 언제든 자신의 데이터가 2차 목적으로 사용되는 것을 거부할 수 있다. 다만 회원국 차원에서 감염병 대응이나 국가 보건 안보 등 공중보건, 공익상 중요한 과학적 연구 등에 데이터가 필요한 경우에는 법률로 예외를 둘 수 있다.

개인 데이터의 공공 목적 이용 제외를 요청하는 옵트아웃 제도,
운영은 회원국 재량에 맡기지만 팬데믹 등은 예외

셋째, 국가 간 건강 데이터 호환성을 보장하기 위해 전자건강기록의 형식과 시스템을 표준화한다. 모든 회원국은 진단, 처방, 검사, 영상 등 건강 데이터를 EU에서 정의한 방식으로 지원해야 하며, 데이터의 기계판독 가능성과 국가 간 호환성을 보장하도록 의료 시스템을 운영해야 한다. 전자건강기록 시스템 제조사는 제품이 EHDS 규정을 만족하는지 그 적합성을 자체 평가하고, 제품 출시 전에 EU가 구축한 디지털 테스트 환경에서 자동화된 방식의 시험을 통과해야 한다. 또 접근 기록으로 데이터 열람 이력을 추적할 수 있도록 로그 기록 메커니즘을 갖출 의무가 있다.

넷째, EU는 데이터 활용을 위해 회원국이 건강 데이터 접근 허가기관(health data access bodies)을 설치하도록 했다. 건강 데이터 접근 허가기관은 데이터의 비식별화(가명화, 익명화) 수준을 심사하고, 데이터 사용 신청자의 목적이 타당한지 등을 검토한 뒤 제한된 범위 내에서 데이터 활용을 허용한다. 이는 개인정보를 보호하면서 공익을 위한 데이터 활용을 가능하게 하는 장치다. 
EHDS는 단순히 EU의 건강 데이터 관리를 개선하기 위한 시도가 아니라 미국과 중국에 뒤처진 디지털 기술을 따라잡고 유럽 고유의 데이터 생태계를 구축하려는 맥락에서 해석될 수 있다. 또한 팬데믹 대응 과정에서 드러난 데이터 연계 부족을 극복해 EU 회원국 간 협력을 강화하고, 디지털 헬스케어, 정밀 의료, AI 기반 치료 등 데이터 중심 산업 경쟁력을 확보하려는 의도도 있다. 

EHDS의 논의 과정에서 가장 첨예한 쟁점은 환자가 자신의 건강 데이터를 공공 목적 이용에서 제외하도록 요청할 수 있는지, 즉 옵트아웃 권리 부여 여부였다. 규정 초안은 비식별화된 건강 데이터를 환자의 별도 동의 없이 2차 활용을 할 수 있도록 했지만, 시민사회와 일부 유럽의회 의원들이 이에 강한 우려를 표했다. 보건의료 데이터는 가장 민감한 개인정보에 해당하므로 환자가 자신의 정보 활용 여부를 스스로 결정할 수 있어야 한다는 주장이었다. 반면 공공정책 및 연구 목적의 데이터 활용은 대표성과 통계적 신뢰성이 중요하다는 점에서 광범위한 옵트아웃을 허용하면 데이터 활용 가능성이 심각하게 제한된다는 우려도 있었다. 결과적으로 EU 이사회, EU 집행위원회, 유럽의회는 회원국에 옵트아웃 제도를 운용할 수 있는 재량권을 부여하는 절충안에 합의했다. 다만 팬데믹, 국가 보건 위기 등 예외 상황에서는 옵트아웃 권한이 제한될 수 있다. 이는 건강 데이터 활용과 개인의 자기 결정권 사이의 균형을 확보하려는 의도가 반영된 것이다.

2029년부터 EHDS 규정상 정보 활용이 단계적으로 시행될 예정이며, 따라서 앞으로 회원국은 2027년 3월 26일까지 EHDS 규정 시행을 위해 필요한 국내 법, 규정, 행정 조치 등을 마련해야 한다. EHDS 규정 시행 시기를 보면 환자 요약(patient summaries), 전자 처방, 전자 조제 정보 등의 1차 활용은 2029년 3월 26일부터, 진단 영상과 검사 결과 등의 1차 활용은 2031년 3월 26일부터 가능해진다. 2차 활용은 2029년 3월 26일부터 일반 건강 데이터를 대상으로 적용되지만, 유전체 관련 데이터는 2031년 3월 26일부터 2차 목적으로 활용할 수 있다. 2035년 3월 26일부터는 제3국 및 국제기구도 2차 활용을 위한 정보 접근 신청이 가능하지만, 제3국이 EU에 동등한 수준의 정보 접근을 허용하는 경우에만 수락한다.
 

회원국 간 디지털 인프라 격차 해소, 시민 신뢰 확보,
의료인·환자 디지털 역량 강화가 선결 과제 

EHDS 규정은 EU 차원에서 보건의료 데이터의 안전한 교류와 활용을 제도화하는 만큼 정책적·기술적·사회적 측면에서 다양한 선결 과제가 존재한다. 현재 EU 회원국들은 건강 데이터의 디지털화 수준과 정보 시스템 구축 현황에서 상당한 차이를 보이며, 이는 EHDS에서 요구하는 데이터 상호 운용성 확보, 표준화된 정보 교환에 장애가 된다. 이에 따라 EHDS는 회원국이 일정한 기술적 요건을 충족하도록 법적 의무를 부여하고 있으며, EU 수준에서 디지털 보건인프라 개선을 위한 재정 지원도 병행하고 있다. 특히 EHDS 시행을 위해 회원국은 전자건강기록 데이터 형식의 표준화, 국가 의료 데이터망과 플랫폼(MyHealth@EU) 연계, 건강 데이터 접근 기록 관리 시스템 구축 등을 준비해야 한다. 

건강 데이터 시스템이 아무리 정교하게 구축되더라도 실제 의료 현장에서 이를 효율적으로 사용하는 역량이 뒷받침되지 않으면 그 효과는 제한적이다. 현재 많은 EU 회원국의 병원 종사자들이 여전히 전자기록 시스템 사용에 어려움을 겪고 있다. EHDS 시행에 따라 의료진은 단순한 정보 입력자에서 벗어나 데이터 기반 진단과 치료 결정, 환자와의 정보 공유, 개인정보 보호 의무 이행 등 복합적인 역할을 수행해야 한다. 이를 위해서 의료인 대상 디지털 역량 향상 교육, 전자 건강 데이터 시스템의 사용자 맞춤형 인터페이스 개선 등이 필요할 것이다. 또한 환자도 자신의 건강 데이터에 디지털로 접근하고 활용하는 능력, 즉 디지털 문해력이 점점 중요해지고 있다. 

EHDS의 핵심 전제는 시민의 신뢰다. 환자와 시민들이 자신의 민감한 건강 데이터가 정당한 목적으로 안전하게 사용될 것이라는 확신이 없다면 데이터 활용을 위한 사회적 기반이 약화될 수밖에 없다. 이는 2차 활용에 특히 큰 영향을 미치며 옵트아웃 요구의 증가 등으로 나타날 수 있다. 신뢰 확보를 위해서는 데이터 활용의 투명성 강화, 개인정보 보호 및 사이버보안 조치 강화, 이해관계자 간 거버넌스 구축 등이 필요하다. 

이와 같은 과제들은 보건의료 패러다임 자체를 전환하는 것임을 시사하며, EHDS 규정의 성공적 시행은 제도 설계의 포용성, 교육과 신뢰의 축적에 달려 있음을 보여준다.