의장 윤종수 : [“「2022-2023 개인정보 미래포럼」제8차 회의를 시작하겠습니다.
안녕하십니까. 개인정보 미래포럼 민간위원장을 맡고 있는 윤종수 변호사입니다.
제8차 미래포럼을 진행할 예정인데 오늘도 온·오프라인으로 병행하여 진행합니다. 지금 오프라인으로 많은 분들이 나오셨고, 온라인으로는 송승재 위원님, 윤영미 위원님, 이동규 위원님이 접속할 것입니다.
그리고 오늘 발제를 해 주실 두 분이 외부인사로 참여를 하셨습니다. 질병관리청의 정우진 과장님과 가천대학교 의과대학의 정재훈 교수님인데 나중에 발표자 소개할 때 다시 한번 말씀을 드리겠습니다.
어느덧 날씨도 많이 풀린 것 같습니다. 입춘이 지나니까 분위기가 확 달라진 것 같습니다. 이제 곧 따뜻한 봄이 올 것 같은데, 올해도 벌써 두 달이나 지나고 너무 시간이 빨리 가는 것 같은데 올해도 많은 분들의 뛰어난 활약 기대하면서 따뜻한 봄을 기다리겠습니다.
우선 제8차 미래포럼을 진행하기 전에 제7차 미래포럼 결과보고를 최성진 혁신지원단장께서 깔끔하게 보고해 주시기 바랍니다. 부탁드립니다.”]
위원 최경진 : [“지난 전차에는 저희가 라이프사이클 전 과정에서 ‘개인정보 안심사회 구현’이라는 주제로 2개의 발표가 있었습니다. 하나는 공학자 관점에서 본 라이프사이클 개인정보 안심사의 구현이고, 또 하나는 특정분야로서 노동감시 및 근로자 개인정보 보호 실태와 문제점에 대해서 검토를 했었습니다.
우선 공학자 관점에서 본 라이프사이클 개인정보 안심사의 구현에서는 가장 큰 이 큰 이슈로서 밸류, 프라이버시 두 가지 사이의 긴장관계에 대해서 말씀하셨습니다. 그래서 이 가치와 프라이버시 사이에서의 트레이드오프를 개선시킬 수 있는 과제를 저희가 찾아내고 개선을 통해 그렇게 서로 간에 조화시킬 수 있는 체계를 구현하는 것이 우리의 중요한 과제라는 말씀을 하셨습니다.
두 번째는 그럼에도 불구하고 이러한 가치와 프라이버시 사이에서의 선을 적정하게 그을 수 있는 사회적 협의 체제를 구현하는 것이 우리가 실천할 수 있는 중요한 실천과제라고 말씀을 하셨습니다.
그래서 이러한 밸류, 프라이버시 사이에서 트레이드오프를 개선시킬 수 있는 좋은 모델을 만들어가야 하는데 그런 사례로 의료분야, 특히 생명윤리분야에서의 그런 생명윤리심의위원회 역할에 대해서 소개를 해 주셨습니다.
결론적으로 이 라이프사이클 개인정보 안심사회 구현 같은 경우에는 개인정보 활용을 통한 가치 창출과 개인정보 침해사회의 트레이드오프를 일단 명확하게 우리가 현상인식을 해야 한다는 것이었습니다. 그리고 이런 트레이드오프 관계를 개선하기 위해서는 연구개발 단계에서부터 많은 개인정보를 활용하는 것이 필요하다고 하셨습니다.
또 다른 한편으로 모든 경우에 작동되는 하나의 절대적 기준을 세우기는 어렵기 때문에 건별로 Case by Case로 해당사항을 평가할 수 있는 심의위원회와 같은 체계를 만드는 것이 중요하다고 발표하셨습니다.
그리고 두 번째 주제로서 ‘노동감시 및 근로자 개인정보 보호 실태’와 관련해서는 여러 가지 감시기술 또는 실태에 대해서 말씀하시면서 개인정보 보호위원회, 고용노동부 등 공공기관의 감독이나 피해구제가 미흡한 상황이라는 현실인식 하에서 노동감시와 관련해서는 개인정보 보호법과 노동관계법이 적용될 수도 있겠지만 각각의 한계와 문제점이 존재하기 때문에 이것을 저희가 개선하는 것이 중요한 과제라고 말씀하셨습니다.
그래서 문제의식으로는 무엇보다 개인정보 보호법이 잘 준수되지 못하고 있다는 말씀과 함께 구조적으로 개인정보 보호법 자체가 개인정보 처리자와 정보주체를 동등한 관계로 전제하고 있는데 실제 노사관계를 살펴보면 노사관계 자체가 권력관계로서 불균형하여 근로자 개인의 의사표현이 제한적일 수밖에 없기 때문에 개인정보 보호법의 중요한 하나의 합법 처리 근거로 인정되고 있는 동의가 유효할 수 있는가라는 본질적 문제를 제기하셨습니다.
그래서 노사관계에서 동의의 유효성을 확보하기 위해서 이런 자유로운 동의를 입증할 책임이 고용주 측에 있지만 현실적으로 그것이 구현되는 것은 사실상 매우 어렵다는 것입니다.
또 다른 한편으로는 정당한 이익도 고려해볼 수 있는데 실제에 있어서는 이러한 정당한 이익을 판단하고 적용해서 그것에 근거해서 하기는 어렵다는 말씀도 하셨습니다.
그리고 집단적 협의가 이루어졌을 경우 근로자의 선택권 보장도 중요하기 때문에 대체수단을 제공하는 것도 우리가 고민해야 한다는 말씀을 하셨고, 아울러서 정부의 역할을 굉장히 강조하셨는데 이러한 개인정보뿐만 아니라 근로자의 원격감시를 포함하여 근로자 감시설비 등에 대해서는 고용노동부 등에 의해 적절한 규정이 마련되어야 할 필요가 있고 직장 내 괴롭힘이나 부당노동행위로 이어지지 않도록 고용노동부의 감독이 있어야 하는데 이것이 현재 현실적으로 이루어지지 않다는 말씀을 하셨습니다.
그리고 감시설비라든가 또는 다양한 IT 수단에 의한 개인정보의 수집과 이용이 이루어지고 있는데 이러한 문제에 대해서 이 감시설비의 대체수단을 요구할 권리를 보장해 줄 필요가 있고 부수적으로는 사생활 침해가 우려되는 장소에 설치하는 것을 금지하거나 또는 노동조합에 대한 감시금지 규정 등을 마련하는 것이 필요하다는 말씀을 하셨습니다.
아울러서 마지막으로는 새롭게 도입되는 플랫폼이라든가 또는 알고리즘에 의한 노동감시와 관련해서 한번 고민해볼 필요가 있는데 플랫폼에 의한 데이터의 수집이나 활용은 기본적으로 데이터화되고 그 자체가 감시 시스템이 될 수 있기 때문에 이러한 플랫폼 노동자 같은 경우에는 현실적으로 다른 일반 노동자와는 달리 근로기준법상 노동자로 지정되지 않기 때문에 보호의 한계 내지는 사각지대가 존재한다는 문제의식을 바탕으로 해서 향후 플랫폼 노동자 등에 대한 새로운 형태의 근로자 보호 내지는 개인정보 보호방안에 대해서도 고민해야 한다는 발표가 있으셨습니다.
이에 대해서 다양한 토론이 있으셨는데 몇 가지 소개해드리면 심의제도와 같이 일정한 밸류, 프라이버시의 트레이드오프 체계를 개선할 수 있는 심의제도와 같은 체계를 마련하는 것은 한번 검토해 볼 만한 사안이고, 다만 이것을 실제 운영하는 과정에서 심의결과에 따른 인센티브를 부여하는 것이나 또는 실제 심의제도의 신뢰성과 공정성, 전문성을 확보할 수 있는 것이 중요한 과제로 우리가 고려해야 한다는 말씀도 하셨습니다.
그리고 구체적인 방안 중에 하나로서 개인정보 보호위원회가 구체적이거나 또는 개별적인 혁신산업 내지는 신산업 R&D 관점에서 데이터 규제 샌드박스를 제도화함으로써 신산업과 관련된 기존의 규제 샌드박스 제도와 연계하여 하나의 단일한 절차로 만들고 이것을 안정적인 제도변화 내지는 개인정보 보호법의 사각지대를 없애는 방향으로 제도개선을 적극적으로 할 필요가 있다는 방안을 제시했습니다.
그다음에 근로자 프라이버시 문제 같은 경우에도 다채로운 근로 현장이 존재하기 때문에 그에 맞춰서 개인정보 보호위원회가 대원칙을 세우고 개별 영역별로 해당 영역의 특수성을 고려해서 주무부처 중 하나인 고용노동부와 함께 실제 적용할 수 있는 세부원칙을 적립하는 것이 필요하다는 말씀과 함께 이런 것들을 soft law in 가이드를 통해 현실화하는 것이 방안이라는 제안이 있었습니다.
그리고 또 다른 한편으로는 정당한 관점에서 이 부분에 대해 연구가 필요하다는 말씀도 있으셨습니다. 그리고 발표에서 제기됐던 것처럼 기본적으로 한국의 노사관계가 과연 평등한 관계냐, 그렇지 않기 때문에 개인정보 보호법상의 합법 처리 근거가 합법적이지 않을 수 있다는 문제의식과 동일한 맥락에서 한국에서의 노사 간 대등한 협상을 할 수 있는 환경인지 문제가 있기 때문에 이것을 개선하기 위한 작업들이 필요하고 개인정보 프라이버시 이슈를 개선하기 위해서는 그 전 단계로서 노사 간의 협력 및 적절한 힘의 균형을 꾀할 필요가 있다는 제언이 있으셨습니다.
그리고 결론적으로 새로운 시도를 위한 절차나 장치로서 샌드박스 또는 세이프가드(safeguard)로서 주어진 법체계 안에서 도입할 수 있는 방안을 고민하고 있다는 개보위 측의 응답이 있었고, 향후에 이에 대해 논의를 거쳐서 제도화해 나가면 좋겠다는 생각을 했습니다.
이상 보고를 마치겠습니다. 감사합니다.”]
의장 윤종수 : [“고맙습니다. 다시 한번 들어보니까 여러 가지 쟁점에 대한 논의와 시사점을 주는 내용들이 상당히 많았던 것 같습니다.
그러면 제7차 포럼결과 보고가 있었고, 이번에 제8차 포럼을 진행합니다. 제8차 포럼은 지난번에 말씀드린 대로 팬데믹과 개인정보 보호인데 아직까지 마스크를 쓰고 계신 분들도 계시고 이 팬데믹이 다 끝난 것인지, 이제 거의 마무리가 된 것 같기는 합니다.
그런데 아주 오랫동안 우리가 팬데믹을 겪으면서 여러 가지 이슈가 있었지만 그중에서도 그런 초유의 사태에 대응하기 위한 여러 가지 사회적인 노력에도 불구하고 그것이 필요하기도 했었고 또 그것을 워낙 정신없이 하다 보니까 그것에 대한 허점도 많이 노출됐습니다.
그래서 팬데믹 시대에서의 개인정보 이슈를 어떻게 대응할 필요가 있고 어떻게 대응했어야 했는지 그리고 그것이 주는 시사점 그리고 앞으로 또다시 팬데믹과 같은 유사한 것이 닥쳐올 때에 우리가 어떻게 대처를 하고 시스템을 만들어가야 하는지, 하여튼 여러 가지 논점이 많은 것 같습니다. 그래서 개인정보 보호법을 논의하는 데 있어서는 상당히 중요한 이슈이고 중요한 경험이기 때문에 저희 미래포럼에서 이 부분을 다루는 것은 매우 큰 의미가 있다고 생각합니다.
그래서 오늘 두 분께서 발표해 주시겠습니다. 처음 발표자는 질병관리청 정보통계담당관이신 정우진 과장님께서 발표해 주시고, 이어서 가천대학교 의과대학의 정재훈 교수님이 발표해 주시겠는데 여러분도 다 아시겠지만 두 분은 이 팬데믹 시대에서 핵심적인 업무를 처리하셨고 관여하신 분들이어서 그 안에서 개인정보 관련된 여러 가지 고민도 많이 하신 것 같아서 오늘 정말 좋은 발표가 있으리라고 기대합니다.
두 분의 발표는 지난번처럼 각 20분씩 발표해 주시고 잠깐 휴식 후에 전체토론을 진행하도록 하겠습니다. 그러면 먼저 정우진 과장님께서 ‘코로나19의 교훈 : 팬데믹과 개인정보 보호’라는 제목으로 발표를 해 주시겠습니다. 부탁드립니다.”]
질병관리청 정보통계담당관 정우진 : [“제가 정보통계담당관으로서 근무한 지 2년 3개월 정도 된 것 같습니다. 저는 질병청이 원래 소속은 아니었고 복지부에 있다가 개청 직후에 질병청으로 넘어와서 질병관리청에 있는 정보화를 총괄하는 업무를 바로 했습니다.
그러다 보니까 처음에 팬데믹이라는 단어가 실제로 쓰이기까지 좀 시간이 지나서 오다 보니까 기존의 체계에서 관리되지 못했던 부분들이 좀 많았고, 저는 정보화 사업이나 정보화 체계를 총괄하는 입장이기도 하지만 저희 부서 명칭에도 정보라는 단어가 앞에 붙어 있습니다.
그러니까 개인정보에 대한 총괄책임자로서의 역할도 있다 보니 솔직하게 말씀을 드리면 기본적으로 감염병을 관리하는 부서와 내적인 다툼이 많았긴 합니다. 그렇게 정리되지 않은 모습으로 계속 운영이 되었다가 질병관리청이라는 별도의 독립청 기구가 생기고, 코로나19라는 신종 감염병이 발생된 계기로 뭔가 체계적으로 관리해야 하지 않느냐라는 내용이 이미 팬데믹 상황에서 저희 내부적으로는 많이 논의가 진행되고 있었습니다.
밖에서는 어떻게 보실지 모르겠지만 저희 내부에서는 문제의식을 많이 느끼고 있긴 했습니다. 그런데 외부에서는 다른 국가들에 비해서 대응을 잘하고 있다고 이야기하지만 실질적으로 저희가 일반적인 IT 강국이다, 아니면 정보화에 대해서는 한국을 따라갈 데가 없다고 이야기하는 기본적인 베이스는 개인을 추적·관리하기 용이한 기반이 마련되어 있다는 것은 아마 여기 계신 분들도 많이 인식하고 계실 것 같습니다.
솔직하게 말씀드리면 주민등록번호를 기반으로 하는 개인 추적 체계가 얼마나 잘 되어 있느냐 그래서 선별적으로 관리해야 하는 부분, 복지제도 같은 경우에는 개인별 맞춤형 서비스라는 단어를 쓰는 것처럼 이번 코로나에서도 오미크론 팬데믹 초기에는 주민번호 베이스로 해서 개인을, 핀셋관리라고 하지요. 개인을 딱 뽑아내서 격리시키고 그 사람이 더 확산하는 것에 대해서 최대한 방역당국이 예방하거나 방지하는 체계로 운영이 되어 왔습니다.
그런데 그런 부분에서 느끼는 문제들, 특히 저는 정보화 사업에 대한 내용들을 주로 하다 보니까 개인정보 측면에서 좀 미흡했던 것들은 무엇인가 그리고 다음 팬데믹이 오면 코로나 외에 저희 내부적으로는 Disease X, 코로나25 이것이 발생됐다고 가정했을 때 똑같은 상황에서 똑같은 문제를 안고 계속 방역대응을 할 것이냐 그러한 논의들을 조금씩 시작하는 계기가 있었습니다.
그래서 최근 저희 내부에서는 ’25년까지의 비전으로 새로운 감염병이 발생될 것을 예견할 수는 없겠지만 당장 닥쳤을 때 빨리 뭔가 준비할 수 있는 것들을 지금부터라도 준비해야 하지 않겠느냐, 그러니까 엔데믹(Endemic)이라고 한다면 엔데믹을 준비하는 과정도 병행해서 하고 있다고 말씀을 드려야 할 것 같습니다.
코로나와 마찬가지로 저희가 감염병을 통제 하에 관리하는 감염병 개수는 한 80여개 됩니다. 그중에서 코로나 같은 경우에는 특수했고 실제로 다른 법정 감염병들의 발병기준을 보면 최근 한 10년간 전체 감염병 기준으로 봤을 때 발생규모가 100만을 채 넘지 않습니다. 60, 70만 정도 수준인데 코로나만 작년 한 해에 거의 2,000만건 이상 신고가 되었습니다.
그러니까 이것은 감염병 특성이 기존의 감염병 특성과는 다르게 매우 전파율이 높고 치사율은 낮긴 하지만 격리에 대해 국민들이 지는 부분 그리고 격리를 함으로 인해 정부기관이 개인정보를 수집해야 하는 빈도가 굉장히 높아지는 것이지요.
그러다 보니까 기존보다는 개인정보 보호위원회 실무자분들도 저희 질병청에 와서 개인정보를 어떻게 처리하는지 좀 우려스럽다 내지는 이렇게 했으면 좋겠다는 의견을 많이 주시긴 했는데 그런 정보의 데이터가 많이 쌓이다 보니까 실제로 연구기관, 그러니까 학계에 계신 교수님들이 관련한 분석을 통해서 향후 예측 가능한 모델을 수립하고 그것에 대한 방역대응 방향을 민관합동으로 만들어보고 싶다는 내용도 많이 제안을 해서 그런 연구들을 계속했습니다. 그래서 개인정보에 대한 기본적인 관리흐름이 방역당국 내에서만 흘러가는 것이 아니라 자연스럽게 민간에게 개방되는 구조도 가지고 있습니다.
지금 슬라이드에 보시는 내용은 저희 법을 통해서 실제로 개인정보가 방역당국으로부터 어떻게 인입이 되는지를 간단하게 도표로 만들어 드렸는데 감염병에 대한 기본적인 감시흐름은 이분들이 아프면 의료기관에 가십니다. 아프기 때문에 아픈 상황에 대해서 치료를 받기 위해서 대부분 의료기관에 가시는데 대부분 의사선생님께서 이 사람은 감염병 의심환자다, 감염병이 병원체를 보유하고 있을 것 같다고 판단이 되면 검사여부와 상관없이 방역당국에 신고합니다.
정확하게 말하면 보건소를 경유해서 질병관리청이나 시·도에 보고하는 체계를 가지고 있는데 이 보고가 끝나자마자 바로 우리가 흔히 이야기하는 역학조사라든지 격리·통제라든지 아니면 치료에 대한 명령을 한다든지 그런 식으로 진행하고 있습니다.
인입은 이렇게 되는데, 다만 역학조사 부분에서 조금 더 구체적으로 말씀을 드려야 할 것 같습니다. 일반적인 발생신고나 이런 것들은 대부분 인적사항들 위주로 수집되고 있습니다. 당연히 주민등록번호도 포함되어 있습니다. 그런데 이것은 그렇게 문제가 되지 않고 발생신고 내용을 상황 전파하고 그 방역대응을 하기 위한 최소의 정보를 수집을 하는데 역학조사는 좀 다른 내용입니다.
역학적인 측면에서는 좀 필요하다고 보는데 개인정보 보호 측면에서 ‘굳이 이런 정보까지 받아야 돼?’라는 질문을 하실 수준의 내용들이긴 합니다. 그러니까 저도 역학적인 지식이 없는데 역학조사서 내용을 보면 ‘굳이 이런 것까지 받아야 돼?’라는 내용이 많이 보이긴 합니다. 그래서 그런 것들을 풀어나가는 과정을 내부에서도 진행하고 있습니다.
통상적으로 역학조사는 감염병법에 발병원인의 조사 그리고 지역 확산의 발생방지 이렇게 크게 두 가지 목적을 가지고 수행하는 것으로 거시적 전제가 되어 있고 필요조치 전반에 대한 내용을 수행하고 있습니다. 따라서 역학조사관들이 실제로 ‘이 사람은 좀 외부활동을 많이 하게 되면 감염병이 더 많이 퍼트려질 것 같아’라고 판단되면 격리를 명령하기도 합니다.
그런데 저희가 이제 개인정보 보호 관점에서 봤을 때 이 역학조사를 통해서 어떤 정보를 개인에게 방역당국이 수집하느냐, 이것에 초점을 맞춰말씀드려야 할 것 같습니다. 통상적으로 인터뷰를 통해 진행하고 그 문항내용들이 대부분 당사자의 기억에 의존을 해서 수집을 하고 있습니다.
그런데 다음 슬라이드에 보시면 지금 코로나 관련한 최근 서식입니다. 최근 서식이라서 예전보다는 매우 간단해진 버전입니다. 아마 코로나에 한 번이라도 확진되셔서 격리를 당하셨던 분들은 이것을 어떻게든 보셨을 것 같습니다.
그러니까 예전에 오미크론 팬데믹이 발생되고 나서 기존에 역학조사관들이 종이로 작성하던 부분을 셀프리포트(Self-Report)라고 해서 당사자가 직접 스마트폰을 통해 문진하는 식으로 작성을 해 주셨습니다. 그 서식에 기반이 되는 형태가 이것입니다. 그런데 지금은 내용이 그렇게 많아 보이지는 않는데 과거에는 이런 글씨 크기 형태로 3페이지 정도 되는 문항이었습니다.
이것을 역학적 지식이 없는 당사자가 작성하기 위해 간결화시킨 상황입니다. 그런데 여기서 문제제기를 할 내용들은 그래서 많이 빠져 있는 상황입니다. 그래서 문제를 보면 세 번째 동거인 정보라고 맨 마지막에 있는 부분을 보시면 동거인 정보라고 되어 있습니다. 이 동거인 정보라는 것이 원래대로라면 접촉자 정보, 그러니까 내가 잠복기 때 어느 사람과 어떤 폐쇄적인 공간 또는 2m 거리 내에서 오랫동안 대화를 하거나 같이 있던 사실이 있느냐를 확인하는 문항이었는데 이것을 동거인 정보라고 이름을 나중에 바꿨습니다.
그러니까 호흡기 감염병은 근거리일수록 실제로 감염 전파에 대한 확률이 굉장히 높아지는데 그것을 추정하기 위해 만든 문항입니다. 그런데 이것 때문에 과거에 발생했던 문제가 하나 있습니다. 확진자 2명이 같은 이동경로를 가지고 있는데 이 사람의 가족관계에 대한 역학적 관계가 전혀 없었습니다.
그런데 알고 보니까 두 사람이 결혼을 하지 않았음에도 불구하고 내연관계였다는 것을 추정해서 보도했다가 그 사실이 누리꾼들에 의해서, 저희는 일종의 결합이라고 생각하고 있습니다. 어떤 다른 정보들을 결합시켜서 새로운 사실을 추정해내고 그것이 사실이라고 판별되었을 때 그 당사자에 대한 개인정보 유출 또는 피해 이런 것들로 비교되는 문제들을 초반에 많이 겪었습니다.
그래서 그 이후로는 개인정보를 직접적으로 제공한 사례는 거의 없었고 기자들도 특정 확진자가 어디를 들렸느냐 어떤 식으로 누구와 같이 있었느냐를 세밀하게 물어보지는 않는 식으로 어떤 정부기관 아니면 어떤 기자들 풀(pool) 간의 공감대 이런 것들이 형성된 부분도 있었습니다. 그런 결합을 통해 새로운 문제들을 유발시키는 것들을 최대한 차단하려고 노력을 많이 했습니다.
이것은 아까 말씀드렸듯이 저희 역학조사가 한 80종이 있는데 실제로 역학조사하는 감염병이 60여종 있습니다. 그중의 하나로 레지오넬라(Legionella) 예를 들었는데, 레지오넬라라는 단어는 아마 여러분이 다 생소하실 것인데 ‘굳이 이런 것들을 받아야 되나?’라는 문항이 일부 숨어 있습니다.
단적인 예를 하나 들면 지금 배포된 자료 15페이지에 오른쪽 보시면 환자 위험요인이라고 해서 장기이식 여부 같은 것 그리고 스테로이드 복용 여부, 항암치료 여부, 음주, 흡연 이런 것들을 봅니다. 이런 것까지 받아야 되느냐고 질문할 수 있는데 역학조사관들이 역학적인 어떤 근거를 통해서 이것을 수집하고 있다고 말해버리면 역학적인 지식이 없는 사람들은 ‘아, 그런가보다’ 하고 넘어갈 수밖에 없는 구조입니다.
다만, 왜 이렇게 받아야 되는가라는 확인을 너무 과하게 받아야 하는 요인들이 굉장히 많다고 느껴지는 것이 뭐냐 하면 감염경로를 추정하기 위해서 여러 정보를 인터뷰를 통해 수집하는데 기존에 감염병의 특성 자체가 바뀌어서 과거에는 유의미했지만 현재는 의미 없는 문항이 있을 수 있습니다. 그런 것들을 굳이 방역당국에서 수집해야 하는가, 그러니까 환경이 변해서 수집할 필요가 없는 것 그리고 반드시 수집해야 하는 것 그런 개선활동에 대해서 저희가 미비하긴 했습니다. 그런 것들을 잡아내야 나중에 개인정보를 과도하게 수집해야 하는, 개인정보 보호법상 최소한의 범위 내에서 수집해야 한다는 그 원칙을 우리가 과연 제대로 준수하고 있는지 이런 것들도 들여다보고 있습니다.
그래서 결과적으로 봤을 때 아까 말했듯이 확산에 대한 전파는 역학조사를 대상으로 감염증을 가지고 있는 사람들을 격리해서 전파를 차단하는 것이 목적이 아니라 전체적인 상황요인을 통해 앞으로 확진자 수가 많아질 것이냐 적어질 것이냐, 많아진다면 어떻게 대응해야 하고 적어지면 어떻게 대응할 것이냐 이런 것들을 연구하기 위한 기초자료에서 사용합니다.
그래서 대부분 역학조사서를 가지고 저희 질병관리청 내부에 있는 연구관들이나 아니면 연구를 실제로 수행하시는 분들이 꽤 많은데 이분들은 그 역학조사서 데이터를 통해서 대부분 수리모델을 개발하고 그 모델 범위 내에서 저희가 수집한 역학조사 데이터를 통해 예측 가능한 시나리오들을 많이 개발해서 향후 감염병 추이가 어떻게 될지에 대한 분석을 많이 하고 있습니다.
그런 것뿐만이 아니라 민간에서도 어떤 감염내과, 대부분 감염내과 교수님들이신데 그분들도 이런 연구에 많이 찾아오시고 저희가 지금 만들고 있는 수리학적인 모델에 잘못된 것이 없는지를 많이 봐주시긴 합니다. 반대로 저희 질병청 내부뿐만 아니라 외부에서 직접 연구주체자로서 연구책임자로서 연구를 하시려는 분들도 많습니다.
그런데 아까 말씀드렸듯이 그러한 역학적인 합목적성에 입각했을 때 실제로 관련이 있는 문항들이냐고 봤을 때 그것은 아직 저희 입장에서 자신이 많이 없습니다. 그러다 보니까 이 원천정보를 그대로 제공해야 하는가? 당연히 가명처리하거나 분석에 필요한 최소한의 정보를 제공해야 합니다.
그런데 먼저 저희가 실제적으로 역학에 필요한 최소정보 수집한 것이 맞느냐 이런 것들에 대한 자신감이 많이 없다 보니까 개인의 개인정보 보호, 주권 이런 단어로 많이 표현하시던데 정보주체의 권리를 최대한 보장하기 위해서는 방역당국에서 필요한 정보 외에는 다 삭제하거나 수집을 하지 않는다거나 그런 조치도 필히 해야 하는데 그런 권리를 우리가 남용하고 있지 않은가, 그러한 논의도 이번 기회에 하고 있는 상황입니다.
그래서 전파차단 목적에서 공공복리나 국가 안전보장을 위한 정보의 수집 목적은 타당하나 그 범위가 적절한지 여부에 대해서는 저희도 역학조사서를 전부 펴놓고서 분석하고 그 결론을 내기 위한 작업을 수행하고 있는 상황입니다.
다른 형태로 제가 발제를 해보려고 합니다. 지금까지 말씀드렸던 것은 역학조사라는 전체적인 통칭 내에서 말씀드린 것입니다. 그러니까 재작년 말부터 작년 초까지 했었던 방역패스, 정식명칭은 접종증명·음성확인제라는 제도인데 그 당시에 예방접종률이 너무 낮았고 그것을 제고하기 위해서 만든 제도였습니다. 그리고 출입시설에 대한 기록을 하기 위해 예전에 QR체크인이라는 단어를 많이 들어보셨을 것입니다.
그것과 융합해서 만든 일시적인 제도였는데 이것에 대해서도 개인정보 보호위원회 측에서도 정보가 너무 많이 쌓이거나 하는 우려들을 많이 해주셔서 같이 점검을 나가고 했었습니다. 그래서 정보를 최소한으로 수집하기 위해서 코로나의 잠복기를 고려해서 4주 이내에는 시설 방문했던 정보를 완전 파괴하는 식으로 조치를 했었습니다. 그리고 정보 저장소를 최소화하기 위해 블록체인 기술을 활용하여 기록은 필요한 최소한의 공간 내에서만 보관할 수 있도록 조치를 했습니다.
그리고 어떤 결합에 대한 문제도 충분히 있었습니다. 그러니까 역학조사를 하기 위한 정보가 시설을 출입했던 사람들 전수를 대상으로 저희가 필요로 하지 않습니다. 해당 시설에 감염병 환자가 발생했을 때 발생했던 기관에 방문했던 사람 정보만 저희가 필요했던 것이라서 역학조사가 필요했을 경우에 한해서 저희가 결합하는 행위를 취했습니다.
그러니까 민간인증서를 발급했던 증명정보는 최소한의 정보만 민간 플랫폼사에서 보유하고 있다가 특정시설의 감염병 환자가 발생했다면 그 시설에 방문했던 사람 전부를 저희가 그때 결합한 후 해당 당사자에게 연락을 보내는 방식을 취해서 개인정보 처리는 저희 방역당국에서도 최소한으로 처리했던 사례이긴 합니다.
종합해서 말씀을 드리면 저희가 방역패스도 그렇고 역학조사서도 수정을 한 열다섯 번을 거쳤습니다. 지금 한 3년째 되고 있는데 역학조사서도 굉장히 많이 바뀌었습니다. 그러다 보니까 2차 팬데믹이냐 3차 팬데믹이냐에 따라 서식도 많이 달라지는 것으로 봐서는 방역체계도 현재 감염병이 확산되는 속도, 추이 이런 것들을 통해 탄력적으로 조정되어야 하는데 그 조정하는 범위 내에서 개인정보를 소홀하게 한 것 아닌가라는 생각이 많이 들긴 했습니다.
그래서 애초에 정보 수집체계 자체를 개인정보든 보안이든 모든 측면을 고려했을 때 탄력적으로 대응할 수 있는 체계를 미리 만들어놓은 것이 중요할 것 같다는 것과 개인정보는 최소한 보유하는 것을 대원칙으로 합니다.
다만, 민간에서 사용하는 플랫폼을 저희가 이용하거나 민·관이 합동으로 해야 하는 경우에는 민·관 플랫폼에 제공해야 할 정보는 정말 극소수, 최소 또는 개인정보가 없는 정보를 처리하게끔 하는 방법을 저희가 직접 고안해내야 한다고 개인적으로 생각하고 있습니다.
그리고 역학조사서 같은 경우에도 필요한 정보 외에는 다 정제해서 역학적으로 불필요한 경우라고 판정된다면 과감하게 삭제 또는 표준화해서 통제·관리할 수 있는 기준을 마련할까 합니다.
그래서 다음 팬데믹에 대해 저희는 어떻게 하고 있느냐면 기존에 코로나19를 관리했던 시스템을 개편하고 있는 상황입니다. 솔직히 말씀을 드리면 지금 코로나 정보관리 시스템 같은 경우에도 개인정보를 제대로 관리한다고 보기는 어려운 상황이긴 합니다. 그래서 지금 그 구조까지 개편하는 사업을 진행하고 있습니다.
그리고 연구자들도 연구에 필요한 정보를 취득하는 문제는 저희가 “안 됩니다”라고 계속적으로 막을 수 없을 것 같습니다. 그래서 개인정보가 없거나 결합에 필요한 최소정보를 획득하는 기본적인 플랫폼, 그래서 지금 코로나19 빅데이터 플랫폼이라는 것을 하나 만들어놨는데 이것을 다른 감염병에도 확대할 수 있도록 개인정보에 대한 처리 안정성은 최대한 확보될 수 있도록 하는 구조도 만들 예정입니다.
그래서 크게 세 가지로 말씀드리면 역학조사서는 전반적으로 개편한다, 고유식별정보는 없더라도 그 효과를 충분히 누릴 수 있는 방법을 고안해내고 있습니다. 그리고 관련한 시스템들, 개인정보가 들어가 있는 시스템들의 탄력적인 개편을 하더라도 개인정보 보호 측면에서 문제가 없게끔 하는 작업 그리고 연구목적을 위한 데이터 같은 경우에는 아예 개인정보를 가명처리하거나 아니면 결합에 용이한 수준으로만 한정해서 통계나 연구를 목적으로 하는 데이터로만 제공할 수 있게 조치할 예정입니다.
아마 정재훈 교수님이 와 계셔서 역학에 관한 내용은 제가 별도로 발언을 하지 않아도 될 것 같아서, 저는 이 정도로 발제를 하도록 하겠습니다. 경청해 주셔서 감사드립니다.“]
의장 윤종수 : [”발제 고맙습니다. 현장에서의 고민과 그 대응에 관한 아주 생생한 목소리를 들려주신 것 같습니다. 많은 도움이 되었습니다.
다음으로 가천대학교 의과대학의 정재훈 교수님께서 ‘COVID-19 데이터 개인정보 보호’라는 제목으로 발표해 주시겠습니다. 발표 부탁드립니다.“]
가천대학교 의과대학 교수 정재훈 : [”안녕하십니까. 가천대 예방의학교실의 정재훈입니다.
정말 이렇게 많은 분들이 대면으로 모여서 회의를 할 수 있다는 것 자체가 굉장히 신기한 일이라고 생각합니다. 그리고 제가 최근에 갔던 회의 중에 의사가 가장 적은 회의가 아닌가 싶습니다. 그래서 제가 설명하는 데 있어서 좋고 편한 단어를 선택하기 위해서 노력하겠습니다.
오늘 제가 준비한 부분은 지난 3년 동안의 개인적인 경험이기도 합니다. 그리고 여러 가지 고통과 고난의 시간을 거쳤었는데 그때 동안 데이터의 관점 그리고 개인정보 보호의 관점이 팬데믹의 변화에 따라 어떻게 달라지는지에 더 주안점을 두었습니다.
발표에 앞서 사전 고지 드리겠습니다. 개인 의견이고 보건복지부, 과학기술정보통신부, 질병관리청에서 펀드를 받고 있습니다. 그리고 저희 연구팀이 합치면 한 40명쯤 되는데 그중에 제일 고생하시는 분이 정성목 박사, 조영지 교수, Freddie Mac의 노을 박사가 제일 메인 연구자이고, 경제적 이해충돌은 전혀 없습니다. 그리고 여기 보여드리는 결과 중에 일부는 피어리뷰(peer review)가 되지 않은 결과라는 것을 말씀드리겠습니다.
우리나라 팬데믹이라는 것이 여러 가지의 변화가 있었는데 저는 오미크론(Omicron) 대유행을 거치면서 우리나라의 팬데믹 대응에 있어서의 큰 패러다임 변화가 있었다고 생각합니다. 오미크론 이전의 대응정책이라는 것이 확진자를 최대한 줄이기 위해 무제한의 비용을 투입하고 국민들의 권리를 제약하는 것이 정당화가 되는 시기였다면 점점 더 팬데믹이 진행되고 대규모의 유행이 진행되면서 이제는 방역정책이라는 것이 지속가능해야 하고 상당히 오랫동안 유지가 될 수 있어야 합니다.
두 번째로는 들어가는 비용과 위험 대비 얻을 수 있는 이익이 명백하게 더 커야 하고 절차적으로 정당해야 한다는 이런 패러다임 인식이 있었다고 생각합니다. 그런 것들이 국민적 이해와 동의가 있기 때문에 저희가 계속해서 사회적 거리두기도 줄여나갈 수 있었고 마스크 의무화도 해제할 수 있었다고 생각합니다.
그런데 이런 효과 우선과 무제한의 비용이 지금 생각하면 ‘그때 왜 그랬을까?’ 이런 생각들이 많이 들 것입니다. 그런데 데이터로 보면 그때는 그런 선택을 할 수밖에 없었다는 것들을 어느 정도는 이해해야 한다고 생각합니다.
지금 새로운 정부의 방역정책도 기본적으로 이제는 웨이팅(waiting)입니다. 방역정책으로 얻을 수 있는 benefit과 risk 내지 cost가 있다면 그런 것들을 비교해서 과학적인 근거가 허락하는 선에서 평가하고 국민에 대한 권리 제약이 정당화될 수 있는 조건이 있다면 그것은 정책을 시행하는 방향으로 가야 합니다. 하지만 조금 애매하거나 근거가 모자라다면 그런 정책은 하지 않거나 줄이는 것이 맞다는 개념을 계속해서 가져가고 있습니다.
장기적인 방역정책, 이것이 작년 초에 저희가 만들었던 슬라이드였는데 위험도에 비례하여 정책 우선순위에 따라 지원하자, 다른 말로는 코로나19는 고위험군들이 존재하기 때문에 고위험군 위주로 접근하고 위험도에 비례해서 조치의 강도도 같이 따라서 변하게 하자. 그래서 위험도가 높지 않은 상황에서 너무 과도한 제한이 취해지지 않도록 하는 방향을 가져가고 있었습니다.
그리고 여러 가지 방역정책이라는 것이 방역정책의 궁극적인 이득은 국민의 생명입니다만 방역정책의 비용은 국민들 재산상의 손해 아니면 사회경제적인 손실들로 나타납니다. 그런 여러 가지 팬데믹 정책의 다양한 면들을 고려해서 정책적인 방향을 결정하자는 것들이 저희의 새로운 정책이었습니다.
이것은 저희의 지난 3년을 요약한 <표>인데 이 <표>를 보시면 이번 유행이 7차 유행이라고 이야기하는 사람도 있고 8차 유행이라고 말하는 사람도 있는데 저는 우리나라에서 유행다운 유행은 네 번밖에 없었다고 생각합니다.
델타 변이로 저희 하루 확진자가 7,000명이 나왔을 때 ‘긴급 멈춤’이라고 해서 9시에 집에 들어가야 하고 4명 이상 모이지 못하는 상황이었습니다. 그래서 처음에 그 델타 변이로 인한 유행이 대규모 유행의 첫 번째라고 생각합니다. 그리고 작년 3월에 오미크론 대유행이 있었고 8월에 한 번 더 유행이 있었고 이번에 ’22년, ’23년 동절기 재유행 이렇게 있었습니다.
그런데 이런 유행이라는 것이 백신의 공급 그리고 치명률이 얼마나 떨어뜨려지느냐, 경구용 치료제가 확보되고 있느냐, 우리 의료 대응체계가 어느 정도의 역량을 가지고 있느냐에 따라 대응할 수 있는 방법이 달라질 수밖에 없습니다.
왜냐하면 델타 변이 때까지만 해도 백신접종이 2회까지만 이루어진 상황이었고 경구용 치료제들도 개발이 안 되어 있는 상황이었고 우리나라의 코로나19 중환자를 진료할 수 있는 병상이 800병상이 채 안 되는 상황이었습니다. 그런 상황에서 어느 정도 국민의 권리 제약을 통해 사회적 거리두기를 적용하고 광범위한 역학조사를 해서 접촉자를 통제하는 방식으로 가지 않았더라면 훨씬 더 큰 인명피해가 발생했다는 것은 너무 자명한 사실이었을 것입니다.
하지만 오미크론 대유행 때 보면 접종도 계속해서 진행되고 경구용 치료제도 적극적으로 확보가 되면서 치명률도 매우 낮아지는 상황이었고, 거기에 더해서 병상도 2,800병상 정도 확보했었는데 그것이 전국에서 가지고 있는 중환자실의 3분의 1 정도에 해당합니다. 그래서 3분의 1 정도의 중환자실을 비워서 중간에 오미크론 대유행이 오더라도 중환자실이 넘치지 않도록 하는 여러 가지 준비를 해왔기 때문에 이런 억제전략에서 완화전략으로의 전환을 할 수 있었다고 볼 수 있습니다.
남아 있는 방역정책들이 약물적 중재, 비약물적 중재라고 해서 실내 마스크 착용 의무는 이제 없어졌고 위기단계, 자가격리 이런 것들이 남아 있는 상황이고 나머지 백신접종과 치료제를 계속해서 도입하는 것들이 지금의 정책으로 남아 있습니다. 그래서 일상회복에 결국은 많이 다가가 있지요.
저는 실내 마스크 의무 조정으로 거의 일상회복에 많은 조건들을 만족했다고 생각하는데 앞으로도 유행 규모는 계속해서 감소하는 방향으로 갈 것이고 치명률도 조금씩 줄어드는 방향으로 갈 것입니다. 그리고 의료 대응능력도 우리나라가 하루에 확진자 60만명까지 다뤄본 적이 있습니다. 그래서 어느 정도의 대규모 유행이 오더라도 그런 것들이 확보가 되어 있어서 충분히 치러낼 역량이 있습니다.
그리고 국민들도 아직까지는 마스크를 잘 쓰고 계시지만 점차 날씨가 더워지면 조금씩 마스크를 덜 쓰지 않을까 생각하는데 이런 국민들의 위험 인식도 계속해서 좋아지고 있는 방향으로 가고 있습니다.
간단히 보여드리면 검은색 선이 사망자 숫자이고 파란색 선이 확진자 숫자입니다. 그런데 델타 유행 때 보면 확진자는 거의 늘어나지 않는 것처럼 보이는데 사망자는 많이 올라갔다가 한번 내려가는 것을 볼 수 있을 것입니다.
그래서 이때까지만 해도 우리가 국민의 여러 가지 권리 제한 아니면 방역패스, 사회적 거리두기, 접촉자 추적 이런 것들이 정당화가 될 수밖에 없는 상황이었고, 그 뒤부터는 치명률이 매우 줄어든 상황이었기 때문에 정말 대규모의 유행이 발생한다고 하더라도 어느 정도는 우리가 대응할 수 있는 상황이어서 그때와 지금이 상당히 많이 다르다는 것들을 보여드리고 있습니다.
중증화율도 계속해서 떨어지고 있습니다. 그리고 이것은 제가 요즘에 발표자리가 있으면 항상 설명드리는 자료인데 우리나라에서 전 국민 1만명을 대상으로 항체조사를 3개월마다 시행하고 있습니다. 그래서 그 결과가 여기에 나와 있는데 저희가 1차 조사결과 말고 2차 조사결과를 보여드리겠습니다.
여기 S항체 양성률은 뭐냐 하면 백신접종이나 감염을 통해서 둘 다 생길 수 있는 것입니다. 그래서 생기는 것이 S항체 양성률이라고 볼 수 있고, N항체 양성률이라는 것은 감염을 통해서만 획득이 되는 면역입니다. 그래서 어느 정도의 감염이 이루어졌는지를 보여줄 수 있는 가장 중요한 지표라고 볼 수 있는데 아이들은 이미 90%가 감염이 되어 있습니다.
그리고 저희가 작년 12월 기준으로 볼 때 이제 어르신들 같은 경우에는 접종이 매우 높은 정도로 진행되었기 때문에 생각보다 절반 정도가 감염된 상황입니다. 그리고 젊은 인구층 같은 경우에는 60∼70% 정도가 감염이 되어 있는 상황입니다.
그리고 최근 데이터를 보면 백신접종을 하고 감염까지 되면 상당히 높은 면역이 오랫동안 유지가 된다는 데이터들이 나와 있기 때문에 이제 이 정도의 면역 수준이면 앞으로 계속해서 나아갈 수 있지 않을까라는 생각들을 하고 있습니다.
아까 과장님께서도 말씀해 주셨는데 저도 유행 예측하는 작업들을 지난 3년 동안 정말 지루하게 해왔습니다. 그런데 이 유행 예측이 왜 중요하느냐면 확진자가 내일 50만명 나오느냐, 60만명 나오느냐가 중요한 것이 아니라 50만명, 60만명이 나왔을 때 중환자 병상이 2,000베드 정도 필요할 것이다. 그리고 몇 월까지 몇 베드가 필요할 것이라는 것을 정부에 알려드려야 저희가 의료 대응 준비를 할 수 있기 때문에 이것이 매우 중요한 것들이었습니다.
그런데 이런 모형들도 수많은 변수가 들어가고 수많은 변수는 다 국내에서 측정한 자료들이 들어가야 합니다. 그런 과정에서 저희가 대규모의 연구용 데이터를 얻어낼 필요가 있었고 그런 것들을 바탕으로, 저는 오미크론 때가 인생에서 가장 바빴던 시기였는데 그때는 매우 정확하게 맞출 수 있었습니다. 정점에 거의 부합한 정도와 필요한 병상을 정확하게 예상할 수 있어서 그것이 매우 큰 도움이 되었다고 생각합니다.
그리고 이제 계속해서 재유행은 올 것인데 이번 재유행이 한 번 내려가서 지금은 다들 매우 행복하게 보내고 계시지 않습니까? 그런데 또 3월에서 5월쯤에 한 번 더 올 것이고, 올해 연말에 한 번 더 올 것이고, 또 내후년에 한 번 더 올 것이고 이런 식으로 계속해서 유행이 반복될 것입니다.
하지만 그런 유행이 반복될 때마다 규모는 줄어드는 경향을 가질 것이고 중증화열도 이 정도면 피해가 감당 가능한 수준이라고 볼 수 있기 때문에 지금의 정책적 기조가 계속해서 이어진다고 볼 수 있습니다.
이 앞부분들은 넘어가고 이것은 보여드리겠습니다. 이것은 뭐냐 하면 사회적 거리두기의 효과인데 델타 변이 때는 이 빨간 점이 강력하게 사회적 거리두기를 걸었던 지점입니다. 그리고 파란색이 감염 재생산수입니다. 얼마만큼 전파가 빠르게 이루어지고 있는지를 수치화한 정보인데 델타 때는 정책을 걸면 즉각적으로 반응해서 감염 재생산수가 뚝 떨어지는 것을 보실 수가 있습니다.
하지만 오미크론 때는 저희가 정책 조정을 해도 거의 반응이 없습니다. 그래서 오미크론 정도의 전파능력을 가지고 있고 대규모의 감염이 이루어지는 시기에 있어서는 예전과는 접근방법을 다르게 해야 한다는 의미이고 사회적 거리두기도 일종의 국민 권리의 제약이지 않습니까? 그래서 국민의 권리 제약이라는 것도 팬데믹의 진행이라든지 아니면 과학적인 근거를 바탕으로 이루어져야 한다는 것을 보여드리는 데이터라고 볼 수 있습니다.
그래서 장기적으로는 저희가 의무적·포괄적으로 모든 사람들이 하는 방식에서 계속해서 국민들이 자율적으로 참여할 수 있는 방식으로 정책들을 바꾸고 있습니다. 그 이유가 아까 보여드렸듯이 대부분의 방역정책들이 시간에 따라서 효과가 조금씩 바뀝니다. 예전에는 참여율이 좋았던 것이 참여율이 떨어지기도 하고 어느 정도까지는 감당이 가능하던 정책도 확진자가 너무 많아지면 감당불가능하기도 합니다. 그런 것들이 있기 때문에 효과가 계속해서 변화한다는 것을 보여드리는 것입니다.
최근 마스크 착용 의무화는 우리나라가 제일 마지막으로 의무화 조정이 이루어진 나라입니다. 그래서 우리나라를 마지막으로 이제 모든 실내에서 마스크 착용이 의무화되어 있는 나라는 없어진 상황입니다. 그리고 방역정책도 기본적으로 법적인 의무로서 강제적으로 적용하는 정책에서 국민들에게 의학적 권고로 계속해서 바꾸려는 노력들을 하고 있습니다.
특히 앞으로 조정이 될 확진자의 격리라든지 아니면 지금 조정된 실내 마스크 착용 의무들도 국민들에게 강제할 정도로의 필요성이 있는가에 대한 여러 가지 의문들이 있기 때문에 계속해서 의무화에서 권고로 바꾸는 것이 옳은 방향이라고 생각합니다.
사설이 너무 길었는데 이제 오늘의 주요 내용입니다. 제가 팬데믹 초기에는 역학조사관으로 인천에서 일을 했었고 팬데믹 중기에는 중앙정부에 들어가서 일을 하게 되었고, 그다음부터 질병관리청과 총리실, 대통령실에서 계속해서 일을 하게 되었는데 기본적으로 팬데믹에서의 개인정보 법적 근거에 대해 저희 쪽은 어떻게 이해를 하고 있느냐면 개인정보를 내가 얻을 수 있는 방법에 대해서만 저희는 고민합니다.
다른 말로는 개인정보 보호를 위한 노력보다는 저희는 당장의 팬데믹 대응이라든지 아니면 확진자에 대한 역학조사·추적 같은 것들이 초기에는 너무나 중요한 상황이었기 때문에 내가 어떠한 법적 근거로 그 데이터를 얻을 수 있느냐, 아니면 어떠한 법적 근거를 바탕으로 데이터를 결합할 수 있느냐의 관점에서 저희들은 항상 접근할 수밖에 없습니다.
그리고 이제 감염병예방법도 중간에 많은 개정이 이루어졌습니다만 기본적으로 역학조사의 목적으로 국민의 건강이나 질병의 확산 방지를 위한 목적으로는 정보를 쓸 수 있다는 취지로 계속해서 해석하여 그 데이터를 써오고 있었습니다. 그런데 그것이 사후로 보면 과연 옳은 일이었느냐에 대한 저희들도 많은 반성이 있습니다.
아까 한국에서의 역학조사 이야기를 해 주셨는데 초기에는 인천광역시의 역학조사관이 공보의 한 명밖에 없었고 감염병 전공한 교수가 인천에 저 하나여서 처음에 둘이서 정말 다 돌아다니면서 차에 항상 레벨D 방호복이 있고 그런 시절이 있었는데 처음에 역학조사를 하면 저희가 보는 정보가 너무너무 많았습니다. CCTV 보지요. 카드사용 기록 보지요. 티머니로 동선을 추적하지요. 그리고 면담을 하거든요. 그런데 그런 정보가 처음에는 우리가 너무나 당연히 수집을 해야 한다고 생각했습니다.
왜냐하면 한 명의 접촉자라도 더 많이 찾아서 격리를 많이 하게 되면 감염병의 확산을 막을 수 있을 것이라는 저의 개인적인 사명도 있었고 공중보건학적인 필요성이 있었기 때문에 정말 많은 정보들을 가지고 왔었습니다.
그런데 어느 시점부터 저는 약간 과도하다는 생각이 들었는데 그것이 어떤 시점이었느냐면 구청 홈페이지에 동선조사 결과가 계속해서 공개가 되기 시작했습니다. 그래서 저는 이것은 인천 안에서도 너무 과도하지 않느냐는 이야기들을 해 왔고 실질적으로 그것이 가지고 있는 역학적인 이득이 명백하지도 않습니다.
그때 같은 시점에 그 지역에 있었다고 해서 꼭 감염이 되는 것도 아니고 다 마스크를 쓰고 있는 상황인데 그런 분들에 대해서 과도하게 공포를 자극하거나 개인정보를 과도하게 공개하는 것이 과연 옳은 일이냐 그리고 이런 것들로 중간에 소송하거나 중간에 불의의 선택을 하시거나 그런 분들도 꽤 있으셨습니다.
그것은 너무 과도한 권리의 침해라고 생각을 했고 어느 순간에서부터는 이것을 하지 않게 되었지만 다음 팬데믹에 있어서는 우리가 공중보건을 위한 목적으로 개인정보를 public announcement하는 것이지 않습니까? 그런데 public announcement를 하는 것에 있어서는 굉장히 신중해야 하지 않을까라는 생각을 하고 있습니다.
다행히 작년 초 엠폭스(MPOX), 즉 원숭이두창이 우리나라에 유입되었는데 이 원숭이두창도 사회적 낙인문제가 있지 않습니까? 여러 가지 성지향이라든지 그런 문제들이 있어서 저희들이 그때는 개인정보를 발표하는 데 있어서 매우 주의를 기울였습니다. 그래서 그나마 예전보다는 많이 나아졌다라고 생각하지만 어떻게 보면 그분들은 고맙게도 자기가 스스로 신고해서 전파를 막아주신 분들입니다.
그런데 감사하게도 본인이 신고해 주신 분인데 우리의 입장에서는 그분의 동선과 어디에서 무엇을 하셨는지 그런 것들이 언론을 통해 하나씩 다 나가는 상황이 되는데 그런 것들은 앞으로 지양해야 하지 않을까라는 생각이 있습니다.
그리고 아까 과장님이 말씀해 주셨지만 역학조사서의 서식이 초기에는 이것이 꼭 필요한 정보들이었습니다. 왜냐하면 저희의 정책은 백신접종 때까지는 최대한 전파를 억제하면서 버티자, 잠그자는 전략이었기 때문에 당연히 필요한 정보들이었지만 어느 시점에서부터는 우리가 조사를 하기도 어렵고 쓰기도 어려운 상황들이 계속해서 되었기 때문에 그런 개정들은 필요한 상황입니다.
그리고 저희도 처음에 너무 힘들었고 그때 사람들도 정말 없었습니다. 저 데이터들이 지금 생각해 보면 참 어이가 없는 일인데 다 엑셀로 정리가 되었습니다. 대부분의 지자체들은 엑셀로 수기로 기록하고 정리하고 업데이트하고 카카오톡으로 왔다 갔다 하고 환자정보도 병상 배정할 때는 카카오톡으로 왔다 갔다 하고, 너무너무 급하고 시스템이 없었기 때문이지요.
그런데 이런 것들도 다음 대응할 때에 있어서는 최소한 이런 형태로는 일을 하면 안 되겠다는 문제의식은 가져야 한다고 생각합니다. 우리가 어떠한 폐쇄망을 쓰지는 못할지언정 이렇게 완전히 오픈된 공간에서 우리의 개인 PC에서 이런 정보가 돌아다니는 상황들이 지자체에서 너무나 비일비재하게 있었습니다. 그런데 저도 이렇게 일을 하는 사람인데 그것을 탓하기가 어려웠습니다. 그렇지만 다음에는 최소한 이런 정보는 보호하는 방향으로 가는 것이 좋겠다는 것입니다.
그리고 이런 것들은 저희가 인천 내부에서 조사하는 것입니다. 처음에는 N차 감염이라는 말이 있었지 않습니까? 1차 감염자가 있고 1차 감염자가 2차 감염시키고 2차가 3차 감염시키고, 그래서 한 명 한 명의 동선을 다 조사해서 이것이 신문에 나왔습니다. 처음 신문에 누가 언제 저녁 식사에 만나서 했다는 것이 보도가 될 정도였는데 이런 정보까지 수집하는 것이 과연 의미가 있는 것인가는 사후평가가 필요합니다.
예를 들어 2020년 초반에는 이런 정보들이 도움이 될 수 있었지만 어느 시점에서부터는 필요가 없었는지, 그다음에 필요하지 않은 부분은 무엇이었는지를 사후에 평가할 필요는 충분히 있다고 생각합니다.
이것은 제가 연구자로서 드리는 제안으로서 저도 개인정보 보호위원회를 항상 무서워하는 경향들이 있는데 저희 연구자 입장에서는 우리나라가 빅데이터 강국, 특히 의료 빅데이터 쪽에서 굉장히 발전된 위상을 가지고 있습니다만 저는 그 이유는 주민등록번호가 있기 때문이라고 생각합니다.
거기에 더해서 전 국민이 건강보험에 가입하고 있어서 전 국민의 건강정보가 국민건강보험공단이나 심평원에 다 모여 있는 상태이고 개인별 indexing이 주민등록번호 기반으로 된다는 것이 정말 큰 장점이라고 생각합니다. 그런데 팬데믹 대응에 있어서도 이것은 매우 장점입니다.
왜냐하면 팬데믹은 얼마만큼 빠른 정보를, 그러니까 몰랐던 감염병에 대해서 정보를 얼마만큼 빠르게 획득하느냐에 따라 저희의 대응 수준이 달라집니다. 그리고 이것이 순간적으로 몇 백 명, 몇 천 명의 생명과도 직결된 문제입니다.
저희가 지금 코로나19 빅데이터 플랫폼을 만들고 있는데 이 플랫폼 같은 경우에는 질병청의 백신접종력, 확진력 자료와 역학조사 정보들이 국민건강보험공단의 백본(backbone)에 들어가서 결합이 되는 형태로 되어 있습니다. 그리고 일반 의료기관 정보가 있으면 그것도 붙일 수 있게 저희가 노력을 했습니다만 아직까지는 질병청과 국민건강보험공단이 같이 조인을 해서 데이터베이스를 만드는 것으로 되어 있는데 이 데이터베이스가 굉장히 늦게 만들어졌습니다.
뒷부분을 보여드리면 2020년 초기에는 우리나라가 중국 다음으로 코로나19 확진자가 많은 시기가 있었습니다. 그것이 2020년 3월과 4월 정도였는데 그때는 심평원에서 어떤 식으로 분석해 줬느냐면 질병청에서 확진력을 가지고 오고 심평원에서 데이터를 붙여서 이것을 연구자들이 직접 돌리는 것이 아니라 SAS(single attachment station)나 분석코드를 심평원이 받아서 자기들이 돌려서 결과 테이블만 제공해 주는 형태로 제시가 되었고, 이것이 전 세계에서 가장 먼저 공개가 되었던 퍼블릭 데이터베이스 중 하나였습니다.
그런데 이것이 중간에 여러 가지 문제로 2020년 9월∼10월 정도에 한 번 종료가 됐었고 2021년을 넘어서서 백신접종의 이상반응에 대한 문제가 불거지기 시작하고 거기에 대한 평가가 빠르게 필요하다는 지적 때문에 그때 제가 총리실에 있었고, 그 후에는 인수위도 들어가게 되면서 계속해서 붙여보자, 해보자라는 이야기를 하면서 데이터베이스를 계속해서 늘리게 되었습니다.
그런데 처음에는 굉장히 잘 됐었는데 결국 중간에 우리나라가 데이터 공백이 1년 정도 있었습니다. 그 1년 동안은 해외 데이터에 의존할 수밖에 없는 상황이었습니다. 대표적으로 백신접종 이상반응에 대한 평가, 백신접종 효과에 대한 평가들, 치료제의 효과들은 국내 자료로 평가할 수 없는 상황들이 있었는데 이것이 부처 간 장벽의 문제도 있고 개인정보에 대한 문제들도 있었습니다만 누군가가 개인정보 결합을 책임지고 이끌어나갈 주체가 모호했다는 것이 가장 중요한 면이었다고 생각합니다.
그런데 아직 저희가 연구할 것이 아주 많이 남아 있습니다. 남아 있는 첫 번째로 지금 4회 접종과 2가 백신접종까지 하신 분들이 있으실 텐데 그러면 다음 백신접종 스케줄은 무슨 근거로 언제 권고해 드려야 할까에 대한 정보들도 만들어야 합니다. 그리고 새로운 변이가 등장하면 또 그 새로운 변이로 유입된 사람들은 저희가 또 역학조사를 해야 합니다. 그 역학조사에 대해서는 어느 정도의 강도로 얼마만큼의 공개범위를 가지고 갈 것인가에 대한 것들도 고민해야 합니다.
그리고 지금 저희 쪽 연구자들은 이제 대응체계는 끝났고 사후평가의 시간으로 넘어갔습니다. 그러면 예전에 했던 우리의 선택들이 어떠한 결과를 가지고 왔는지에 대한 고민들을 해 봐야 하는 시점이고 거기에 있어서도 저희가 데이터가 없으면 정량적인 평가가 불가능한 상황이기 때문에 그렇게 계속해서 하고 있습니다.
그래서 빅데이터 플랫폼도 저희가 Long COVID 문제도 있고 이상반응 문제들도 있고 여러 가지 것들이 있어서 계속해서 데이터들을 공개하고 있고, 많은 민간 연구자들이 같이 참여할 수 있는 기회를 만들기 위해서 노력하고 있습니다. 그리고 이제 가장 고생하시는 분이 역시나 질병관리청에 계신 분들이 많이 고생하고 계시지요.
다시 한번 이 슬라이드로 넘어가야 될 것 같은데 기본적으로 저는 이제는 어느 정도 팬데믹의 비상대응 체계는 끝났다고 생각합니다. 이제 일상으로 돌아갈 준비를 해야 하는데 일상으로 돌아가기 위해서는 법적인 규제로 이루어졌던 많은 정책들을 해소할 필요가 있고, 거기에 더해서 개인정보 보호의 관점에서도 우리가 잘못한 것이 무엇이었는지를 다시 한번 처절하게 반성할 필요가 있다고 생각합니다.
그런데 그것이 외부의 시선에서도 중요하지만 저희 역학자나 감염병 데이터를 하는 사람들의 입장에서도 ‘이 정도까지는 할 필요가 있었을까?’에 대한 것들을 다시 한번 살펴볼 필요가 있다고 생각합니다. 너무 길게 해서 죄송합니다. 감사합니다.“]
의장 윤종수 : [”발제 고맙습니다. 팬데믹 때 여러 가지 정보가 혼란스럽고 부정확한 연구도 많을 때 정재훈 교수님이 언론에 나와서 말씀하신 것을 신뢰를 가지고 들었던 기억이 있습니다. 역시 오늘도 신뢰가 가는 믿음이 가는 발표를 해 주신 것 같습니다. 다시 한번 감사드립니다.
이제 두 분의 발제가 끝나서 예정대로 10분 휴식 후 전체토론을 진행하겠습니다.“]
의장 윤종수 : [“속개하겠습니다. 이제 열띤 토론을 진행하도록 하겠습니다. 우리가 예전처럼 지정토론이 없기 때문에 여기 계신 분들께서 궁금한 것에 대해 질문할 것도 많으실 것 같고, 또 현장에서 고민하셨던 분들과 여기 개인정보 전문가들이 같이 고민을 더 해야 지금의 문제점을 끌어내고 미래에 어떻게 체계를 만들어가고 대응을 할 것인지에 대한 결론도 나오지 않을까 싶어서 오늘 이런 자리가 매우 중요한 것 같습니다.
그러면 자유롭게 토론해 주시면 될 것 같습니다. 김이식 위원님.”]
위원 김이식 : [“개인정보와 관련해서 굉장히 중요한 문제들이 다른 데서도 항상 발생하는 문제인데 코로나 관련해서도 발생했던 것 같습니다. 그래서 어쩌면 개인정보의 핵심 중 핵심이라고 할 수 있는 두 가지가 이번에도 다 관련이 되어서 코로나를 관점으로 돌이켜봤으면 좋겠습니다.
아까 발표하셨던 두 분의 발표자 모두 개인정보를 수집하는 것에 대한 죄책감과 반성이 있었는데 제 주장은 수집이 위험한 것이 아니고 대중공개가 위험한 것인데 이 2개를 분리해서 봤으면 좋겠다고 생각합니다. 수집은 위험하지 않은 것이고 대중공개가 진짜 위험한 것입니다.
좀 더 구분하자면 공개라는 것도 예를 들어 특정인에게 의료기관에서 보건소로 주는 것과 같은 공유와 대중공개, 아까 public announcement를 말씀하셨는데 이 2개를 완벽하게 구분해야 합니다. 공유는 위험하지 않고 대중공개는 무지막지하게 위험하다고 생각합니다.
그래서 실제 오늘 나왔던 사례도 대중공개로 나타났던 엄청난 피해의 그 근본원인이 우리가 수집을 잘못한 것이 아닌가 싶습니다. 그러면 수집부터 하지 않으면 아무것도 못할 수도 있어서, 물론 주의는 해야 합니다. 왜냐하면 의도치 않게 노출될 수 있는 위험도 여전히 존재하기 때문에 수집이나 공유를 때려잡을 것이 아니라 대중공개를 집중적으로 관리하는 것이 어떨까 생각합니다.
이유는 개인정보에 대해서 많은 이야기를 하지만 돌이켜보면 개인정보가 왜 위험하냐는 것입니다. 우리가 쇼핑몰에서 어떤 서비스를 받으려면 특정정보들을 내놓지 않으면 서비스가 불가능합니다. 그런데 왜 도대체 개인정보가 위험하다고 생각하느냐는 것입니다. 여러 가지 스미싱 사례, 아까 불륜 사례도 있었고 대중에게 노출되어서 자살하는 사례도 있었고 이 모든 사례의 핵심은 뭐냐 하면 결합입니다.
그런데 그 결합도 개인정보 보호법에 나와 있는 조항 그대로 보면 핵심단어가 뭐냐 하면 ‘다른 정보와 쉽게 결합하여’입니다. 여기에서 가장 중요한 단어가 무엇인지 생각해 보면 이것이 굉장히 간과되고 있는 것 같은데 다른 정보와 결합한다는 것이 중요한 것이 아니라 ‘쉽게’가 중요합니다. 가장 중요한 단어는 ‘쉽게’입니다.
그러면 ‘쉽게’와 ‘안 쉽게’ 무엇이 핵심인지 예를 들어보면 과거 증권통 사례가 있었습니다. IMEI(International Mobile Equipment Identity, 단말기고유식별번호) 정보와 유심번호를 식별해서 그것이 판결로는 잘못한 것으로 나왔는데 ‘쉽게’라는 것을 중점적으로 보면 증권통이라는 앱이 IMEI 정보를 가지고 있습니다. 그러면 그것이 개인정보로 문제가 되는데 IMEI 정보를 가지고 그것이 홍길동인지를 식별할 수 있는 데는 통신사밖에 없습니다. 통신사만이 그 정보를 가지고 있습니다.
그렇다면 증권통에 있는 사람이 IMEI 정보를 가지고 쉽게 그 사람을 홍길동이라고 식별할 수 있느냐? 쉽지 않지요. 그러면 그것을 어렵게 알아내면 그것이 잘못한 것이지요. 어렵게 한 그놈이 나쁜 놈인 것이지요. 그러니까 ‘쉽게’라는 것이 굉장히 중요한 용어인 것 같습니다.
그래서 대개 누구에게 특별하게 줄 경우 주의는 해야겠지만 쉽게 되는지를 봤을 때 그 사람은 특별한 정보를 가지고 있지 않기 때문에 쉽게 정보를 생산할 수 없습니다. 그래서 줬는데 쉽게 결합할 수 있는 사람이 있을 수는 있겠지요.
그래서 일반적인 공유는 문제가 되지 않는데 왜 대중공유가 문제가 되느냐? 대중공유를 해 버리면 ‘모든’이 되어 버립니다. 결합할 수 있는 모든 정보와 다 결합이 가능해집니다. 그러면 증권통에 있는 것이 대중공개가 되면 그 정보를 가지고 예를 들면 통신사의 누군가가 알 수 있지요. 그러니까 세상에 존재하는 모든 정보와 쉽게 결합할 수 있기 때문에 정말 위험해지는 것입니다.
그래서 우리는 수집을 때려잡을 것이 아니라 대중공개를 때려잡아야 할 것 같습니다. 그러면 아까 불륜 사례, 자살 사례는 누가 잘못한 것이냐? 홈페이지에 올린 사람이 잘못한 것이지요. 아니면 그것을 언론에 보도한 사람이 잘못한 것이지요. 그것 자체는 문제가 되지 않았었기 때문에 우리는 결합에서 ‘쉽게’라는 것에 대해 대중공개를 중점으로 잡고 이것만 잘 잡으면 실제로 크게 문제될 것이 많이 없습니다.
아까 스미싱 사례, 우리가 제일 두려워하는 것이 스미싱 이런 것이지 않습니까? 이것도 쉽게 결합할 수 없는 다른 정보와 결합하고 있기 때문에 나타나는 현상입니다. 그러니까 우리가 알고 있는 거의 모든 피해 사례는 이 ‘쉽게 결합’과 관련되어 있습니다. 그래서 이것만 잡으면 좋겠다는 것이 하나입니다.
두 번째로는 ‘쉽게’보다 개인적으로 더 중요하다고 생각하는 문제인데 범용식별자입니다. 범용식별자는 여러 번 이야기하고 있는데 이번에도 관련이 되어서 주민등록번호 같은 범용식별자 문제를, 그래서 그 해법은 뭐냐 하면 주민등록번호 같은 개인식별번호를 없애고 그 식별번호에 의하지 않고 데이터베이스에 의해서 누군가 결합해 줄 수 있는 전담 국가기관을 만들자는 것입니다. 그렇게 되면 ‘쉽게’라는 문제가 해결됩니다.
지금 주민등록번호가 있으면 이것이 공개되는 순간 누구나 쉽게 결합을 해 볼 수 있습니다. 자기도 주민번호 정보를 가지고 있는데 공개된 정보도 주민등록번호로 되어 있으니까 결합이 굉장히 쉬워지지요. 그러니까 쉽게 문제를 어렵게 만들어야 합니다.
그러면 아까 IMEI 정보를 통신사만 가지고 있었던 것처럼 주민등록번호를 결합할 수 있는 것을 특정기관만 할 수 있도록, 예를 들면 카카오톡 아이디와 구글 아이디 이 2개가 같다는 것을 결합할 수 있는 기관을 어떤 특정 정부기관 하나로 만들면 정말 쉽지 않습니다.
그러면 무슨 이점이 있느냐면 아까 발표자께서도 많이 말씀하셨는데 우리나라가 감염병에 왜 잘 대처했느냐? 주민등록번호가 있기 때문입니다. 그래서 쉽게 추적이 가능한 것이지요. 그것은 쉽게 하고 싶은 것입니다.
그런데 오히려 데이터 통합은 왜 어렵냐면 쉽게 결합할 수 있는 정보를 다른 기관들이 가지고 있을 때 개인정보로 문제가 될까 봐 겁나서 잘 내놓지 않습니다. 그러니까 가지고 있지만 결합을 쉽게 못 시킨 것입니다. 이것을 통제 가능하게 바꾼다면 우리는 전 세계에서 가장 잘 코로나를 추적했었던 것과 같이 쉽게 문제를 해결할 수도 있고 위험한 것들은 다 끊어낼 수도 있을 것 같습니다.
그리고 데이터베이스를 통합하느라고 아까도 발표자께서 말씀하셨는데 부처 간 장벽이 있어서 개인정보 결합주체가 있으면 좋겠다, 맞습니다. 이 결합주체가 있어야 합니다. 그렇지 않으면 기관들끼리 개인정보가 겁나서 절대 결합하지 못합니다. 그 이야기를 한번 꺼내는데 몇 년 걸립니다.
그러면 팬데믹이라든지 이런 것이 나와서 시간이 굉장히 급할 때 쓰지 못합니다. 그래서 차라리 범용식별자를 없애고 연결을 전담하는 국가전담기관을 만들면, 그것을 전에는 제가 게이트키퍼(gatekeeper)라고 했는데 연결하는 게이트키퍼를 하나 만들어두면 쉽지 않습니다. 그러면서도 필요할 때는 부처 간 이기주의 없이 다 열어줄 수 있습니다. 그래서 이 두 가지를 한다면 개인정보와 관련된 문제들이 코로나뿐만 아니라 근본적으로 해결될 수 있지 않을까 생각합니다. 이상입니다.”]
의장 윤종수 : [”고맙습니다. 대중공개의 문제점과 결합 관련해서의 해결방안에 대해서 말씀해 주셨습니다. 김우창 위원님.”]
위원 김우창 : [“두 분 발제 너무 잘 들었고, 먼저 두 분께 국민의 한 사람으로서 감사의 말씀을 드리는 것이 예의일 것 같습니다.
제가 근무하는 학교인 대구에서도 초기에 코로나가 터졌을 때 과기부에서 너희도 뭐 좀 하라고 돈을 주셔서 저도 그때 연구자로서 지역 의료체계가 붕괴되니까 다른 지역 리소스를 어떻게 할당해야 하는가라는 문제를 풀었고 꽤나 어려운 최적화 문제라서 논문의 형태보다는 웹 사이트 서버에 누군가는 써주시기를 바라는 마음에 올렸던 기억이 있습니다.
그런데 그것이 완성되는 시점은 이미 전국으로 퍼져서 별 의미는 없었던 기억이 있는데 그때 정지연 교수님께서 말씀해 주셨던 개인정보와 관련된 주체가 없다는 지점을 저도 느꼈습니다.
그러니까 대구에서 터져서 그때 병상이 제일 모자랐지만 의사선생님이나 간호사선생님들에 있어서 산소호흡기나 이런 여러 가지 리소스가 사라지는 상황에서 정보가 있어야지, 수학적 모델링은 저 같은 사람은 쉽게 하니까 할 수 있는데 그것이 현실에 적용되어야 하기 때문에 그때 모델링을 끝내고 학교를 통해, 그때는 질본이었지요. 질본을 통해 도움이 될 수 있도록 데이터를 줄 수 있느냐고 했는데 데이터는 있으셨던 것 같습니다. 그런데 그때 인터뷰도 많이 했는데 너무 바쁘셔서 차마 말씀을 못 드렸습니다.
그런데 그때 무엇을 느꼈느냐면 지난번에 제가 발제한 것도 이 코로나 때 느낀 것 때문에 한 것인데 코로나 기간을 쭉 지나서 보면 아까 정우진 과장님께서 발표해 주신 것처럼 이것을 하지 않아도 됐다는 것을 지나고 나면 알 수 있는데 그 시점에는 모르는 것 같습니다. 그리고 실무자분들은 불안에 떨고 있는 것이지요. 정말 생명을 갈아가면서 tracking하고 있는 의사선생님들 그리고 보건소에 계시는 여러 공보의분들이 정말 영혼을 갈아가면서 하는데 이분들이 소송도 당하시고 약간 그런 두려움이 있었습니다.
그것이 결국 어떻게 보면 밸류와 프라이버시의 트레이드오프가 시간에 따라서 매우 빠르게 바뀌고 현 시점에서 지나면 알겠지만 어떤 프라이버시까지 지키는 것이 정답인지를 모릅니다. 그러면 그것을 실무자들 입장에서 생각해 보면 책임은 오롯이 실무자들에게 가는 구조였던 것 같습니다. 그러니까 누가 어디 유흥주점에 갔다고 나와서 쇼하고 이런 일이 있었지 않습니까? 그것에 대한 반응은 오롯이 현장에서 고생하시는 분들에게 갔던 것 같습니다.
그래서 지난번에 했던 이야기의 반복일 수도 있겠습니다만 이러한 시급한 일이 있고 정확한 정보가 없는 상태에서 무엇을 해야 하는지 모르는 상태에서 효율적이고 무엇보다 현장에서 고생하는 실무자분들의 protection을 위해서라도 그것이 위원회 형태가 되든지 우리 개인정보 보호위원회 안의 소 조직이든 아니면 특정한 개인일 수도 있을 텐데 어떤 법적 권한을 가지고 여기까지는 해도 되고 하면 안 된다, 물론 그것이 정답은 아니겠지요. 그런데 그런 것을 누군가가 윗단에서 해 주셔야 현장에 계신 분들이 소신껏 일을 할 수 있지 않을까라는 생각을 해 봤습니다. 이상입니다.”]
의장 윤종수 : [“고맙습니다. 이 부분에 대해서는 발제자께서 나중이나 지금 하셔도 좋고, 매우 중요한 말씀을 하신 것 같은데 어떻게 보면 현장에 있는 분들의 곤욕스러운 처지와 이것이 과연 각자의 판단에 의해서 이루어져야 하는지, 아니면 뭔가 다른 방식의 시스템이나 근거나 뭔가 체계가 마련되어야 한다는 것에 대한 부분인데 먼저 오병일 위원님이 하시고 중간에 발표자들 의견을 들어보도록 하겠습니다.”]
위원 오병일 : [“코로나19 초기에 저도 상당히 고민이 많았는데 해외에서는 익명 위치정보 사용하는 것도 아주 난리가 났었고 또 접촉자 추적을 위해서 Contact Tracing 앱을 많이 사용했지 않습니까? 거기서도 가능한 한 분산형으로 하기 위해서 여러 가지 논란이 많았는데 국내에서는 아예 통신사 위치정보까지 활용해서 위치추적을 했습니다.
또 그것이 한국이 방역을 잘 대응하는 하나의 가장 중요한 요소라고 평가가 되는 상황에서 어떤 것이 균형지점이냐, 당연히 감염병 예방이라는 공익적 목적을 위해서 일정하게 개인정보 권리가 제한될 수 있다는 것에 동의하면서도 그것이 법적 근거 하에 추진되고 필요성이라든가 비례성 요건을 충족하는지 이 부분을 판단하는 것이 정말 쉽지 않았던 것 같습니다.
초기에 논란이 되었던 것이 오늘 발제에서도 나왔습니다만 동선공개였지 않습니까? 그래서 많은 사회적 논란이 있었는데 저는 정말 잘했다고 생각하는 것이 이 동선공개 관련된 정책이 몇 번에 걸쳐 개정되었고 처음에는 개개인의 동선을 다 공개하다가 이후에는 그럴 필요가 없었던 것입니다.
실제 그 취지가 특정시점에 특정장소에 있었던 사람들에게 “네가 혹시 감염이 될 수 있으니 검사를 받아봐라” 이런 것이라면 개인별 동선공개가 아니라 어떤 장소의 목록만 공개를 하면 되는 것이지요. 그러한 방향으로 개정이 되었고, 저희가 국내 상황에 대한 리포트를 했을 때 해외에서는 한국정부가 매우 responsible하다고 긍정적인 평가를 했습니다. 저도 그 바쁜 와중에 아주 빠른 규정 개정이 이루어진 것은 매우 칭찬할만하다고 생각합니다.
그런데 오늘 발표하신 것 외에 지금 전반적인 정책에 대해서 평가하는 시점이니까 엄격한 요건에 맞는 것이냐는 의문을 제기하고 싶은 몇 가지 정책들이 있는데 우선 현재 감염병예방법에 감염병 의심자 개념이 있습니다. 감염병 의심자 개념이 상당히 폭넓게 규정되어 있어서 누구까지 의심자이냐는 것들이 모호하고 자의적인 판단이 될 우려가 많습니다.
가장 극단적인 사례가 기지국 정보 수집이라고 생각하는데 예를 들면 이태원 사태가 났을 때 주변 기지국에 있는 사람들의 개인정보를 추적했고 또 광화문에서 태극기 집회가 있을 때도 주변 기지국을 통해 그 금방에 있던 사람들의 정보를 추적했는데 그것은 접촉자 추적을 위한 목적이 아니었습니다. 단지, 그 금방에 있는 사람을 파악해서 검사를 받으라고 문자메시지를 보내주는 용도였던 것 같은데 과연 그것을 위해서 기지국 정보를 수집했어야 됐느냐 이런 부분은 판단이 필요할 것 같습니다. 예를 들면 일반적인 언론 보도를 통해서 권고하는 정도로도 유사한 정도의 목적을 달성할 수 있지 않았나 하는 생각이 듭니다.
그리고 지금 방역패스 이야기가 나왔습니다만 방역패스 이전에도 출입명부 작성을 의무화했지 않습니까? 그런데 제가 보기에는 법적 근거도 명확하지 않은 상황에서 추진되었고 문제는 이것은 감염병 의심자를 넘어서 전 국민에 대한 의무라는 것이지요.
전 국민에게 “네가 어디에 갔었는지 일정기간 동안 보관을 해 놔라”라는 것인데 아무리 공익적 목적이 있더라도 이런 정도 수준의 정책이 추진되는 것이 과연 합당한 것인지 저는 이 부분에 대해서는 여전히 의문이 있습니다. 마치 그것은 모든 사람은 잠재적 범죄가 될 수 있기 때문에 일정기간 모든 사람의 일거수일투족을 어딘가 기록해 놓을 필요가 있지 않느냐는 논리로 발전할 수도 있다는 생각이 듭니다.
또 하나는 많이 시행된 것 같지는 않지만 손목밴드, 그러니까 일종의 전자팔찌, 전자발찌 같은 것이지요. 이런 자가격리 이탈자에 대한 손목밴드 정책도 추진됐었는데 과연 그렇게까지 강압적인 정책을 추진할 필요가 있었느냐는 부분도 평가할 필요가 있다고 생각합니다.
그리고 감염병예방법에서 일정한 개인정보 수집 부분에 대한 규정을 해 놓고 또 어떤 부분은 개인정보 보호법에 따른다고 규정해 놓고 있습니다만 현재 감염병 예방 목적으로 수집된 개인정보들이 어느 정도 보관되는지 어떻게 관리되는지 이런 부분들이 명확하지 않은 부분이 많습니다.
예를 들어 역학조사가 지원 시스템을 처음에 만들 때는 팬데믹 이후 삭제한다고 되어 있었습니다. 그런데 삭제하는 시점이 언제인지도 모호하고 또 실제 저희가 질의했을 때 감염병 당시에 수집된 개인정보가 여전히 지금까지도 보관되어 있다는 답변을 받았습니다. 그랬을 때 어떤 정보는 계속 보관되는 것이고 어떤 정보는 삭제가 되는 것인지 이런 것들이 명확하지 않았다는 생각입니다.
지금 상황이 어떤지 모르겠는데 저는 신뢰에 있어서 투명성이 중요하기 때문에 감염병 예방 목적으로 수집된 정보 중에서 어떤 부분이 어떤 시스템을 통해 수집·축적되고 어떤 것은 연구목적으로 어떤 방식으로 처리되어서 제공되고 또 어떤 정보는 삭제되는지 이런 부분들이 좀 더 정리가 되어 공개가 된다면 그런 신뢰회복에 도움이 되지 않을까 싶습니다.
전반적으로는 적법근거에 있어서도, 물론 급한 상황이기 때문에 그렇겠지만 여러 가지 한계가 있었다고 생각합니다. 그러니까 정부가 정책을 먼저 시행하고 국회에서 사후적으로 정당화하는 방식의 입법이 이루어졌는데 이번 사태를 계기로 입법적으로도, 그런데 지금까지 급할 때 추진했던 입법은 가능한 한 허용하는 방식의 입법이었습니다.
그렇다면 지금 이런 평가를 통해 안전조치를 마련하는 입법이 되어야 하는데 급한 상황이 지나면 국회에서는 그런 작업을 잘하지 않는다는 것이지요. 그래서 이런 부분들은 개인정보 보호위원회가 되든 질병관리청이 되든 입법적인 보완을 어떻게 할 것인지 이런 고민들이 필요하지 않을까라고 생각합니다.“]
의장 윤종수 : [”질문 또 있으십니까? 황창근 위원님.“]
위원 황창근 : [”지금 오병일 위원님이 말씀하신 것과 관련해서 말씀드리고 질문을 드리려고 하는데 2020년도에 코로나가 처음 생기고 나서 지금 말씀하시는 것들이 저는 법을 하다 보니까 2∼3월부터 큰일 났다는 생각을 했습니다. 그래서 3월에 1학년 신입생에게 그 문제를 이야기한 적이 있습니다. 이 정보공개 문제가 심각하다고 이야기한 기억이 나는데 그때 대구 구청에서 공개되었던 것을 제가 슬라이드로 띄워주면서 이것이 왜 문제인지에 대해서 이야기했던 기억이 납니다.
그 후에 제가 따로 연구하지는 않았지만 쭉 추적해 보니까, 아까 발표할 때 법을 보니까 2020년과 작년 연말까지 해서 감염병예방법이 총 13회 개정이 되었습니다. 2∼3년 내에 13번이 개정되었는데, 물론 그중에 타법개정이 있긴 합니다만 우리나라 입법 역사에서 단일 법률이 짧은 기간 동안 이렇게 많이 바뀐 적이 없지요. 물론 특수한 상황이 있어서 이렇게 된 것 같습니다. 그러니까 오병일 위원님이 말씀하신 것처럼 사후적으로 입법대응을 하는 방식이었던 것 같습니다.
그래서 차제에 어떤 문제가 있느냐면 지금 감염병예방법에 보면 법률로서는 굉장히 체계가 떨어진다는 느낌이 듭니다. 지금 땜질식 입법이 많이 있어서 전반적으로 손질을 할 필요가 있겠다는 생각이, 제가 분석한 것은 아닙니다. 딱 느낌이 그렇습니다.
그래서 제가 정우진 과장님께 질문을 드리고 싶은 것이 두 가지가 있는데 이 감염병예방법에는 개인정보 보호 관련해서 따로 모아놓은 조문이 있는 것은 아니고, 아까 역학조사 등에 있어서 개인정보를 수집하는 문제가 하나 있고, 정보를 공개하는 규정 이렇게 두 가지로 크게 나눠져 있는데 이것과 관련하여 질병관리청에서 지난 코로나 때 개인정보 보호와 관련한 내부지침이나 가이드라인이 공개된 것이 있는지, 제가 모르는 상태에서 묻는 것입니다. 아마 있을 것 같은데 공개되어 있는지 묻고 싶습니다.
두 번째는 지침이나 내부규정이 있다면 그것과 현행법을 비교해 보면 현행법이 어떤 점에서 향후 개선이 되어야겠다, 이런 인식을 하고 계실 것 같습니다. 그래서 오늘 발표에서는 일반적인 말씀을 하셨습니다만 구체적으로 어떤 점이 보완되었으면 좋겠는지 이 말씀을 부탁드립니다.“]
의장 윤종수 : [”구체적인 질문을 해 주셨습니다. 그리고 지금 온라인에서 윤영미 위원님이 발언하신 것 같은데 일단 윤영미 위원님 말씀을 들어보고 그 후에 진행방향을 잡도록 하겠습니다. 윤영미 위원님, 연결되어 있으십니까? 연결이 안 되는 것 같습니다. 혹시 다른 분 있으십니까? 최성진 위원님 먼저 말씀하시지요.“]
위원 최성진 : [“연결이 고르지 않은 관계로 제가 먼저 말씀드리겠습니다.
저는 두 가지 정도 말씀드리고 싶은데 하나는 어떻게 보면 감상일 수 있는데 여기에 계신 분들이 개인정보 관련해서 전문가들이고 개인마다 의견은 조금 다르시겠지만 개인정보의 보호와 활용을 굉장히 균형 있게 접근하자는 생각을 대부분 가지고 계실 것입니다.
그렇게 생각하는데 저는 팬데믹 상황에서 우리 국민들이 개인정보 보호를 굉장히 중시하는 것이 아니라 자신의 이익과 관련됐을 때, 그러니까 팬데믹 상황에서 개인정보도 공공의 이익과 개인의 자유·권리 측면에서 이것을 균형감 있게 접근하는 것이 가장 중요하고 그것을 위해서 오늘 참여해서 발제해 주신 두 분도 굉장히 노력하시고 정부 전체가 노력해서 일정한 성과와 한계가 있었습니다.
그런데 제가 주변에서 보니까 개인의 자유와 권리라고 할 수 있는 개인정보라든가 사생활의 노출은 특정개인의 자유와 권리에 대한 것이고 당장 언제 어디서 감염될지 모르는 공공에 대한 위협이 있으니까 굉장히 압도적으로 공공의 이익 쪽으로 쏠리는 것 같습니다. 더 적극적으로 공개해도 되는 것이 아니냐, 오히려 전문가들이 중심을 잡아서 그것을 그렇게 접근해서는 안 된다고 생각했지 어떻게 보면 대중의 인식은, 물론 팬데믹이라는 위험상황 때문에 당연히 그랬겠지만 그런 부분들이 있었던 것 같습니다.
그런데 저는 개인정보의 보호와 활용이라는 균형점으로 보면 일반국민들은 내 정보를 누가 함부로 가져가서 써서는 안 된다는 인식이 더 많고 그것이 공공의 이익이라고 생각하니까 계속 정보에게도 보호를 중점적으로 주문하고 그 정보를 잘 활용해서 뭔가 만들어내려는 사람은 기업이거나 뭔가 서비스나 연구를 통해서 개인, 기업의 자유와 권리에 해당하는 것이니까 그것에는 큰 관심이 없는 것 같다는 생각을 했습니다.
그런데 개인정보 보호에 우리 국민의 가치가 굉장히 높아서라기보다는 전문가들이 그 부분을 균형 있게 바라보고 정책을 설계하고, 왜냐하면 공공의 이익을 우선시하는 개인도 결국은 자유와 권리를 보호받아야 하는 민주국가의 개인이기 때문에 그런 부분들의 정책설계를 잘 해야겠다는 생각이 들었습니다.
다른 한 가지는 의견인데 저는 공공데이터 법제도분과에도 꾸준히 참여하고 공공데이터를 적극적으로 개방하고 활용할 수 있어야 한다는 차원에서 정부도 여러 가지 노력하고 있고, 저도 전문가로서 결합하고 있는데 공공데이터를 개방하는 이유는 이 데이터를 개방하게 되면 다양한 주체들이 이 데이터를 활용해서 새로운 부가가치를 만들고 그것이 사회 전체적으로 이익이 되는 방향으로 가기 때문에 당연히 데이터를 개방해야 한다는 것인데 대표적으로 개방되지 않는 데이터가 개인정보가 포함된 데이터입니다.
우리가 팬데믹 상황에서도 데이터가 적극적으로 개방되고 적절하게 제공되었을 때 그것이 공공이 할 수 있는 역량보다 더 큰 역할을 할 수 있다는 것을 발견했었습니다. 그러니까 무차별적으로 공개됐을 때는 개인의 권리 침해가 얼마나 심각하게 일어날 수 있는지도 확인했지만 마스크 공급이라든지 백신을 맞을 수 있는 것이라든지 또 여러 가지 감염과 관련된 spot을 쉽게 찾아볼 수 있는, 감염자가 방문했던 spot을 찾아볼 수 있는 것을 스타트업이라든지 개인 개발자 이런 사람들이 만들어서 제공하고 그것을 정부가 신속하게 대응할 수 없었던 부분에 대해 했던 경험들이 있습니다.
그래서 개인정보 노출로 인해서 또 아까 말씀하신 다른 정보와 결합해서 개인을 식별했을 때의 위험성만 적절히 통제할 수 있다면 개인정보가 포함된 데이터라고 하더라도 익명화, 가명화를 통해 적극적으로 개방하는 것이 당연히 좋다. 그래서 개인정보가 포함된 정보를 철저하게 관리하고 보호해도 것도 물론 중요하겠지만 저는 꾸준히 주장해 온 것이 공공데이터에 개인정보가 포함된 것을 개인정보 보호법령의 익명화, 가명화처럼 이미 처리할 수 있는 근거들이 마련되어 있고 처리할 수 있는 기준들이 마련되어 있기 때문에 적절한 위험통제를 통해서 적극적으로 개방하는 것이 중요하다고 생각합니다.
그래서 오늘 이야기한 개인정보가 포함된, 주로 감염되신 분들의 데이터들일 것이고 그것 외에도 굉장히 다양한 개인정보가 포함된 팬데믹이나 질병관리와 관련된 정보들이 있을 것이고, 그런 부분들을 공공에서 적극적으로 익명화, 가명화 또 적절하게 개인정보가 제거된 데이터들을 생성해서 활용할 수 있도록 개방하는 것도 관심을 기울여나가야 하는 또 하나의 영역이라고 생각합니다. 이상입니다.”]
의장 윤종수 : [“고맙습니다. 아까 대중공개의 위험성에 대해서도 김이식 위원님이 말씀하셨지만 반대로 공공데이터법에 따른 그 법이 의미하는 바가 있는데 그 부분과 어떻게 균형을 이룰 것인가 이 부분도 계속 고민되는 숙제가 아닌가 싶습니다. 현장 다시 연결해 보겠습니다. 윤영미 위원님. 정지연 위원님 말씀해 주십시오.”]
위원 정지연 : [“저는 두 분 발제를 들으니까 3년 동안 저희가 코로나 상황에서 겪었던 사건·사고들이 스쳐지나가는 것 같은데 어쨌든 두 분 같은 전문가로서 여기에 참여하면서 개인정보에 대한 부분들을 고민하면서 해 주셨기 때문에 이렇게 그런 부분들이 진화하면서 발전할 수 있었던 것 같다는 생각이 듭니다.
그리고 안타깝다고 생각했던 것이 그 어려운 상황에서도 정신없이 일을 하면서 개인정보에 대한 문제를 그렇게까지 고민하면서 할 수밖에 없는 환경이 안타깝다는 생각이 드는데 저희가 그런 소중한 경험을 했기 때문에 다음 감염병 상황에서는 훨씬 더 잘 대처할 수 있을 것 같다는 생각이 듭니다.
그리고 그 안에서 저는 개인정보 보호위원회의 역할이 굉장히 중요하다는 생각이 들었습니다. 그래서 컨트롤타워로서의 역할들을 앞으로 더 선제적으로 해 주셨으면 좋겠다는 생각이 들었습니다.
그래서 아까 그런 양식에서부터 열화상카메라며 QR이며 중간중간 여러 가지 문제가 있었는데 그런 부분을 선제적으로 개인정보 이슈에 대해서 대응하고 가이드를 준다면 일선에서 하시는 분들이 그런 고민 없이 업무할 수 있을 것 같다는 생각이 듭니다. 그런 차원에서 개인정보 보호위원회가 조금 더 그런 역할을 잘해 주셨으면 좋겠다는 의견을 드립니다.”]
의장 윤종수 : [“고맙습니다. 아까 윤영미 위원님 모습이 보이시던데 말씀하시면 됩니다.”]
위원 윤영미 : [“제 의견은 채팅으로 드렸는데 아까 인천에서 감염병 정책하셨던 선생님께서 발제하면서 팬데믹 상황에서 어느 시점에는 일일이 개인정보를 파악하고 공개하는 것이 무의미해져서 중단했다고 하셨지 않습니까?
그리고 엔데믹이 된 상황에서 그동안 정책대응 이런 것들을 점검해야 할 때인데 점검할 때 개인정보전문가 그리고 개인정보 보호위원회 쪽의 정책전문가들이 방역, 보건, 의료정책 담당자들과 함께 회의하면서 다음에 또 이런 대규모 감염병 상황이 도래할 경우 감염의 정도를 몇 단계로 분류해서 개인정보를 어떻게 공개하고 관리할 것인지 과거의 경험을 토대로 논의하고 대책을 미리 만드는데 우리 개인정보정책담당자, 전문가들이 함께 방역담당자들과 대책을 점검하고 만들면 좋겠다는 의견을 드립니다.”]
의장 윤종수 : [”고맙습니다. 지금 어느 정도 의견과 질문이 나온 것 같은데 이제 발표자들의 코멘트를 들어 보겠습니다.”]
위원 이동규 : [“위원장님, 카카오의 이동규입니다. 끝나는 마당인데 짧게 말씀을 드리려고 합니다. 주변에 소란스러운 것은 제가 외부에 있어서 그러는데 짧게 말씀드려도 되겠습니까?”]
의장 윤종수 : [”예, 말씀해 주십시오.”]
위원 이동규 : [“제가 오늘 의료 관련해서 너무 잘 들었는데 예전 생각이 많이 납니다. 당시에 초기 확산을 막기 위해 정부중심으로 방역당국과 매우 노력해서 민감하게 반응하고 적극적으로 하고 저희도 택시기사나 승객 감염에 대해서 대처했던 것이 기억이 납니다. 그래서 저희도 매우 긴장하고 조심스러우면서도 잘 협력해서 잘 극복했다고 생각합니다.
그러면서 자율적인 내부토론도 많이 하고 이것을 어떻게 극복할 것인지에 대해서 내부적으로 많은 고민이 있었습니다. 그러면서 문제가 최소화되었는데, 아까 최성진 대표께서도 가명처리 관련된 부분에 대해서도 많이 활용했으면 좋겠다고 말씀하셨는데 관련해서 지금 개보위에서 온라인 플랫폼 7대 분야 민·관협력 자율규제를 만들어서 자율규약에 대한 것을 제정하고 또 전문기관에서 이행여부를 모니터링하고 그렇게 많은 노력을 하고 있는 것으로 알고 있습니다.
그래서 기업에 있는 입장에서 이런 제도를 적극적으로 다른 분야까지 넓혀서 가명처리 처리방안에 대해서도 기업 내부에서 스스로 제정하고 또 기관이 승인하고 자체점검해서 통제를 강화하고 잘할 수 있는 기반을 만들면서 자율규제에 대한 노력들을 저희가 코로나도 잘 극복한 것처럼 하면 훨씬 더 비슷한 상황이 나온다 하더라도 적응하면서 나갈 수 있지 않을까라는 생각에서 가명 관련된 부분도 적극적으로 고민해 주셨으면 하는 말씀을 드리면서 마치도록 하겠습니다.”]
의장 윤종수 : [“고맙습니다. 그러면 다양한 이야기를 해 주셨는데 정리해 보면 우선 오늘 발제자 두 분께 감사의 말씀을 하신 분들이 많은 것 같고, 진짜 고생 많이 하셨던 것 같습니다.
그러면서 그 당시 어려움도 충분히 이해하는데 제일 문제가 필요성 판단에 따라서 비례성의 원칙 부분이 적용될 텐데 그 당시는 판단하기 아주 힘들었지만 저희가 굉장히 소중한 경험을 한 것이지 않습니까?
그래서 개인정보를 하는 입장에서는 여러 가지 법리적인 것이나 개인정보 보호 정책을 적용하겠지만 이런 상황에서의 개인정보 수집이 과연 어느 정도의 필요성이 있었고 그것이 지났을 때 결과적으로 어느 정도의 효과를 얻은 것인지, 그렇지 않은 다른 나라와 비교했을 때도 이것으로 인해서 우리가 공공의 이익이라는 측면에서 큰 이익을 얻었고 결과적으로 대응을 잘했다는 부분에 대한 그 평가가 각각의 여러 가지 방식에 의해서, 물론 조금씩 정책이 바뀌었지만 동선공개를 포함해서 말입니다.
그리고 감염병 의심자를 기지국에서 추적해서 문자를 보내주는 것 그리고 아까 말한 방역패스 이런 부분에 대한 효과가 필요했는지에 대한 것이 정리가 되어 있는지가 저도 궁금합니다. 과연 유사한 상황이 왔을 때 이 정도 수준에서는 할 수밖에 없다는 것이 어느 정도 나와 있는지가 궁금합니다.
그래서 그런 것이 아까 말씀하신 질문인 역학조사 수집이나 정보공개에서의 가이드라인, 그러니까 아직 법으로 해결이 되지 않았더라도 그쪽에서 일을 하는 분들 내부에서는 어느 정도의 공감이 있고 그것에 대한 내부 준칙이나 가이드라인 형태로도 존재하는지를 궁금해 하시는 것 같습니다. 그래서 그 부분에 대한 것을 발제자 두 분께서 말씀해 주시고, 더 나아가서 만약 내부적으로 고민했을 때 법률이 개선될 필요가 있는지, 혹시 법령의 개선 부분에 대한 의견도 내부적으로 있으셨는지 또 거기에 대해 정리된 것이 있는지도 말씀해 주시면 좋을 것 같습니다.
그렇게 한 후에 아까 말한 부분이 정리가 되면 개인정보 보호위원회를 포함해서 전문가들이 거기에 대해 법률적 평가나 여러 가지 다른 법 이야기를 하면서 균형을 찾아가야 할 텐데 말씀하신 대로 대중공개는 어떻게 보면 결합이 쉽게 일어날 가능성이 아주 커지기 때문에 진짜 위험하다는 측면인데 공공데이터의 개방이라는 측면, 효과라는 측면에서는 그것으로 인해서 아까 말한 필요성과 연결성을 얻을 수 있는 이익이 있었을 때 설마 그것까지 찾아가서 식별할 것이라고 생각지도 못한 사람들이 나타나지 않습니까?
그런데 그것은 일반적으로 생각할 수 없는 부분인데 그렇게까지 하고 또 우리가 그것에 대한 국민들의 반응이 이상한 쪽으로 가서 피해를 입히게 되는 사례를 봤는데 그런 부분에 대한 것까지도 고민해서 데이터의 개방을 싫어하지 못하게 만드는, 그래서 얻을 수 있는 효과를 얻지 못하게 되는 부분까지도 고민해야 하는지도 어려운 숙제인 것 같습니다.
그래서 그것은 앞으로 저희들이 계속 논의해 가면서 아까 말한 대로 균형에 대한 선을 찾아가겠지만 제가 말씀드린 대로 두 분이 현장에서 제가 궁금해 하고 많은 분이 궁금해 하는 이야기를 말씀해 주시면 앞으로 더 논의가 풍성하게 이루어지지 않을까 합니다.
정우진 과장님부터 말씀해 주시지요.”]
질병관리청 정보통계담당관 정우진 : [“질문의 90%가 제가 답변할 내용인 것 같은데 시간이 부족한 것 같아서 간단히 질문해 주셨던 것 위주로 설명을 드리도록 하겠습니다.
대중공개에 대한 질문을 해 주셨는데 대중공개에 대한 문제가 촉발했을 때 제가 질병청에 없던 시기여서 그때 어떤 식으로 질병청 내부의 논의가 있었는지는 찾아봐야 할 것 같습니다. 다만, 제가 왔을 때는 이미 대중공개에 대한 이슈들은 완전히 사라진 상태였습니다. 그래서 내부적으로 추정하건대 일반적인 동선공개는 하지 말자, 개별적으로 위험한 지역에 한해서만 선별해서 하자는 식으로 정리가 된 것 같습니다. 그래서 그것은 제가 확답을 100% 완벽하게 드릴 수 없을 것 같습니다.
그리고 결합에 대한 부분도 매우 많은 이슈가 있었습니다. 저희가 작년에 코로나 관련한 빅데이터를 해서 건보공단과 수집을 연계하여 실제 코로나 확진자의 Long COVID에 대한 영향분석을 하기 위한 결합을 시도했었습니다. 그러니까 예전에는 그런 시도가 많이 없이 spot 형태로의 연구를 했기 때문에 그랬는데 최근에 대량 유통데이터를 통해서 연구를 하려는 목적이 상당히 많이 강하기도 합니다.
그런데 그것을 일개 사업부서에서 단편적으로 결정하기에는 개인정보 이슈가 과거에 비해 많이 커진 상황입니다. 그래서 그런 것들은 이제 저희 정보통계담당관실에서 전담하여 뭔가 구조를 만드는 작업을 시작할까 합니다. 그렇지 않아도 작년 말에 그런 이슈가 국회에서 있었습니다. 그래서 그런 구조를 만드는 과도기적인 시기라고 이해해 주셨으면 좋겠습니다.
그래서 아마 제3자에 대한 정보제공이나 가명데이터에 대한 활용, 구조, 관리 이런 것들 전반에 대한 내용을 단기간에 혼자 해결하기는 어렵겠지만 진행 중이고 앞으로 필요할 때는 개인정보 보호위원회에서도 관심을 가져주시고 필요한 경우에 도움을 많이 주셨으면 하는 개인적인 소망도 있습니다.
동선공개 관련해서도 필요한 목록만 공개하고 실제로 방역대응과 관련이 없는 정보는 최소한도로 하는 것을 원칙으로 가져가는 것이 좋을 것 같습니다.
그리고 아까 EISS(역학조사지원시스템) 관련한 언급도 있었는데 그것도 국회 지적에 있었던 내용입니다. 그래서 EISS에 담겨 있는 개인정보 전량은 작년 말에 다 파기를 했습니다. 그래서 안심하셔도 되고 현재는 역학조사를 수행하지 않기 때문에 EISS에서 쌓이는 개인정보는 없고 필요한 경우에 수집은 하고 있는데 수집된 자료는 바로바로 파기될 수 있도록 조치하고 있습니다. 그래서 그렇게 진행되고 있다고 말씀드리면 될 것 같습니다.
그리고 입법 관련해서도 내용을 언급해 주신 분이 두 분 정도 계시는데 감염병예방법이 누더기가 되었던 이유는 대부분 급해서, 개인정보를 처리해야 할 이슈가 있었는데도 불구하고 관련한 절차가 법조문에 명시되지 않아서 대부분 질병청에서 “개정해 주세요”라는 목표 내지는 질병청에서 반대하는데 밀어붙여야 하는 국회의 입법적인 과정에서의 문제 때문에 허용해 준 사례가 꽤 많습니다. 그래서 최근에 개정이 많이 되었습니다.
그리고 그것이 대부분 코로나 한정이어서 코로나 외에 감염병은 그런 절차가 필요 없는데도 불구하고 개인정보를 처리할 수 있도록 허용해 준 부분도 있습니다. 그래서 이렇게 누더기 형태의 감염병 대응 관련한 것은 사실상 주무법이지 않습니까? 그런 것들이 지금 코로나 대응을 위해서 만든 법처럼 누더기화되어 있는데 이것을 정비할 필요가 있다고 해서 저희 질병청에서는 작년 1년 내내 전부개정에 대한 연구를 진행했고 그것에 대한 논의도 일곱 번인가 여덟 번 정도 한 것으로 알고 있습니다. 그래서 그것도 저희가 모르는 상황은 아니기 때문에 다음 감염병 대응을 위해서 준비를 많이 하고 있다고 봐주시면 될 것 같습니다.
개인정보 보호와 관련된 내부지침이나 가이드라인은 저희가 개청된 지 3년째인데 그동안 코로나 대응이나 예방접종 대응 때문에 정보통계담당관실 본연의 업무를 하기 어려웠던 측면도 있었습니다. 그래서 하지 못하다가 작년 말에 개인정보 보호와 관련된 일반지침을 마련했습니다. 그리고 그것 말고 특수한 상황에서의 각 시스템 운영에 대한 형태 그리고 그 업무 성향에 따라서 개인정보를 처리해야 하는 특수적인 규정도 필요합니다. 그래서 각 시스템별로 특수지침을 만들어야 할 이슈가 있는 것 같습니다. 그런 것도 올해부터 진행할 예정입니다. 그리고 구체적으로 보완해야 할 것이 있는지 아직까지 파악하지 못하고 있는데 진지하게 지켜볼 예정이긴 합니다.
그리고 하나만 더 말씀드리면 익명화, 가명화에 대한 내용을 많이 말씀해 주셨는데 고민이 익명화나 가명화를 했을 때 행정에서의 필요한 부분들은 익명화, 가명화된 데이터로는 업무를 전혀 처리할 수가 없습니다. 그 범위에 대해서는 아마 방역대응을 하는 실무자 외에 있는 분들이 데이터를 참조할 경우 허용해야 할 부분인 것 같습니다.
주민번호를 처리해야 하는 지자체나 질병관리청 직원들이 가지고 있는 가장 큰 문제는 팬데믹 상황에서는 시스템으로 활용하기가 불가능하고 현장에 가서 대응해야 하는데 현장에서 대응해야 할 대상자 명단을 일괄로 내려 받는 요인들이 꽤 많습니다. 시스템에 대한 부하가 걸리는 문제들이 있는데 그런 것들을 어떻게 제안하고 어떻게 하면 개인정보를 덜 다루면서 업무에 대한 편의는 최대한 줄일 수 있는지도 고민하고 있습니다.
답이 안 나오는 영역이기는 한데 그런 부분들까지 전반적으로 고려해서 관련시스템도 개편하거나 개인정보 관련하여 이렇게 해야 한다는 문제의식을 저희 청 내부에서는 많이 못 느끼고 있기 때문에 그런 것들에 대한 상황 전파하는 것을 올해는 중점적으로 진행해서 앞으로는 개인정보를 저희가 잘못 처리하여 불의의 피해자가 나오는 일은 최대한 없도록 하는 저희 부서의 목적도 만들어볼까 합니다. 저는 답변 이 정도로 하겠습니다.“]
의장 윤종수 : [”고맙습니다. 정재훈 교수님 말씀해 주십시오.“]
가천대학교 의과대학 교수 정재훈 : [”일단 정말 많은 좋은 말씀이 있으셨는데 첫 번째 저희의 변명 중 하나는 너무 바빴습니다. 사람이 너무 없고 너무 바빴습니다. 그리고 질병청에서 맨날 회의하다가 과제를 내려주면 과제하다가 방송 갔다 오라고 하면 방송 갔다 오고 이러한 삶들의 연속이었습니다.
첫 번째로 감염병예방법이 법적으로 구조가 떨어지지요. 떨어지는 것들에 대해서는 저희 학계에서도 충분히 이해하고 있어서 굉장히 큰 규모의 과제가 진행되고 있습니다. 그래서 부산대 윤태호 교수님 주도로 감염병예방법을 전면적으로 개정하는 것을 어떤 개념으로 잡고 해야 하는지가 진행되고 있다는 점을 말씀드리고, 저도 일부 참여하고 있어서 개인정보 보호에 대한 것들도 기회가 있으면 꼭 말씀드리도록 하겠습니다.
또 하나 초기대응에 대한 말씀을 많이 해 주셨는데 우리나라의 팬데믹 초기대응은 기본적으로 2015년에 있었던 메르스의 경험에 의존한 바가 매우 컸습니다. 그때는 동선공개가 되지 않았고 병원들에 대한 정보공개가 없었기 때문에 오히려 팬데믹 초기에 더 적극적으로 공개했던 경향들이 있었습니다.
그렇다면 이번에 다음 팬데믹 대응에 있어서는 벌써 두 번의 경험이 있고 한 번은 막아냈고 한 번은 결국 팬데믹이 된 상황이지 않습니까? 거기에 따라서 어떠한 접근해야 하는지를 사후에 평가하는 시기가 바로 지금이라고 생각합니다. 그래서 몇 분이 말씀해 주셨는데 지금 사후평가 과제들이 보건복지부에서도 나오고 있고 보건산업진흥원에서도 나오고 있고 범부처 사업단에서도 계속해서 나오고 있습니다.
그래서 저희가 경제학자들, 교육학을 하는 분들 다 모셔서 진행하고 있는데 거기에 더해서 개인정보 보호 관련 전문가들이 참여할 수 있도록, 저희도 생각을 못 했습니다. 그래서 혹시 기회를 주시면 저희가 충분히 이런 영역에 대해서 같이 연구할 수 있는 기회를 만들 수 있을 것 같습니다.
그리고 아까 김우창 교수님께서 말씀하셨던 것 같은데 현장에 책임이 지워진다는 것이 저도 굉장히 안타깝게 생각했습니다. 그런데 그때 떠올랐던 것이 뭐냐 하면 public announcement의 끝판은 언론보도입니다. 그런데 언론보도에 있어서는 우리나라가 2020년 4월에 감염병 보도준칙이 만들어졌습니다. 몇몇 기자님들이 해 주셔서 ‘반드시 전문가의 자문을 받아라’, ‘과학적으로 확인되지 않은 사실은 보도하지 말라’, ‘개인의 사생활이 과도하게 침해될 수 있는 정보는 쓰지 말자’는 식으로 준칙을 만들어놓고 나니까 기자들도 편하고 전문가들도 굉장히 편하다는 느낌을 많이 받았습니다.
그래서 준칙이라는 것이 법적인 강제성을 가지고 있는 것은 아니지만 직업적 윤리의 관점에서 접근하는 것이니까 저는 개인정보 보호에 있어서도 개인정보를 활용하는 사람들, 수집하는 사람들이 팬데믹 시기에 가져야 하는 기초적인 소양과 철학에 대해서 이런 준칙이나 매뉴얼에 대해 어느 정도 개념만 정리되어 있다면 현장에서 활용할 때 “저희는 준칙에 따라서 했습니다”, “매뉴얼에 따라서 했습니다” 이렇게 대답을 하면 되는 부분이어서 그것도 저희 감염병 연구하는 사람들과 개인정보에 관련된 학계에서 같이 진행할 수 있는 충분히 좋은 주제라고 생각하고, 이번 기회에 나오는 것이 제일 좋을 것 같습니다.
마지막으로 드리고 싶은 말씀은 저희가 “왜 우리 쪽에 대해서는 생각을 하지 못했니?” 이런 지적들을 다른 심포지엄이나 발표마다 항상 듣습니다. 그래서 경제학 쪽으로 가면 거기서도 사회경제적 피해에 대해서 왜 고민하지 못했느냐, 아니면 교육에 가면 영유아 언어발달의 지장은 어떻게 측정할 것이냐 이런 식으로 계속해서 말씀해 주시는데 이렇게 말씀을 많이 해 주셔야 저희들도 같이 연구할 수 있는 기회가 되고 뭔가를 만들어나갈 수 있는 상황이 되기 때문에 오늘 정말 좋은 말씀해 주셔서 정말 감사드립니다. 이상입니다.“]
의장 윤종수 : [”개인정보 분야에서만 이야기가 나오는 것이 아니고 다른 분야까지도 고민해야 할 것이 많은 것 같습니다. 어려운 작업인 것 같습니다. 그런데 분명하게도 메르스 때 대응해서 법이 개정되었을 때 저도 관심 없이 쑥 지나가버리듯이 법이 만들어진 것 같습니다.
거기에 대해서 개인정보 보호법 전문가뿐만 아니라 다른 분야에서도 그것에 대해서 고민 없이 통과되었다가 그것이 결국 코로나 때 하면서 다들 황당해하는 그런 사안도 벌어진 것인데 이번에 정리하면서 제대로 개인정보 분야에서도 많이 참여해서, 쉽게 말하면 그래야지 매뉴얼이 만들어질 것 같습니다. 법이 만들어지고 그에 따른 매뉴얼이 만들어져야 이것이 분명히 또 올 것 같으니까 그때 좀 더 효과적인 대응을 할 수 있지 않을까, 다시 한번 실수하면 안 될 것 같다는 생각입니다.
오늘 많은 분들이 좋은 말씀을 해 주셨고 벌써 시간이 다 된 것 같습니다. 마지막으로 매번 할 때마다 개인정보 보호위원회의 임무가 막중해진다는 느낌이 계속 들고 역할이 아주 강조되는데 위원장님께서 코멘트를 해 주시면 좋을 것 같습니다.“]
공동의장 고학수 : [”올 때마다 어깨가 점점 무거워지는 느낌이기는 합니다. 오늘도 굉장히 많이 배웠고 생각할 거리들이 굉장히 많았던 것 같습니다.
개인적으로는 위원회에 오기 전에 연구자로서의 이 영역을 보면서 그런 식의 비유를 하지요. 비행기를 만들어서 하늘을 날아가고 있는데 그 와중에 부품을 고치고 있는 것 같은, 그래서 추락하지 않고 이 단계에 온 것 같아서 일단 그 점에서 굉장히 다행스럽다는 생각을 합니다.
개인적으로는 코로나가 지나면서 논문을 많이 썼습니다. 그래서 자랑부터 한마디 말씀드리면 오늘 자료집 49페이지에 보면 보기 좋은 플로차트가 있는데 이 플로차트의 원 저자가 접니다. JAMA(Journal of the American Medical Association)라고 의학계에서 손꼽히는 저널에서 이때 내게 되어 제 평생 인용횟수의 수치는 잊어버렸는데 이런 인용횟수가 나올 수 없는 그런 논문을 쓰는 계기가 되어서 연구자로서는 평생 이 시기를 개인적으로 기억할 것 같습니다.
몇 분 말씀하신 것과 같이 코로나 상황을 앞으로 어떻게 정리할 것이고 다음에 이런 유사한 감염병 상황이 생기면 어떻게 대응할 것인지를 계속 고민해야 하고 그 고민을 정리할 필요가 당연히 있을 텐데, 그러니까 정재훈 교수님이 말씀하신 것과 같이 COVID-19 시작할 때는 그 전에 메르스 상황이 하나의 출발점이었고 나중에 이런 감염병 상황이 오면 메르스, 코로나, 그다음에 우리가 어떤 교훈을 얻었나 이런 생각을 하게 될 것이라서 지금 단계에서는 초기단계의 급박함 단계는 지나간 상황이니까 조금 더 체계적으로 고민하고 그 정리하는 작업이 필요할 것 같습니다. 그 정리 작업을 어떻게 하냐에 따라 우리가 다음의 위기상황을 어떻게 잘 대응할 것인지 달라질 것 같습니다.
그리고 그런 점에서는 질병청에서 데이터 플랫폼을 만들고 연구용으로 데이터를 제공하는 고민을 하실 때 저희는 너무나 당연히 참여할 수 있으면 좋겠고 참여하는 것이 오히려 국가적으로는 필요한 것이 아닌가라는 생각을 합니다.
그래서 개인정보 보호위원회에 대해서 거리감, 부담감을 느끼는 경우들이 왕왕 있는데 그러지 마시고 정재훈 교수님 쪽도 마찬가지이고 저희 위원회에 연락을 주시고 도움을 청하시면 저희가 적극적이고 전향적으로 협업할 수 있을 것이라고 생각합니다.
그리고 코로나 감염병 관련된 정보도 그렇고 굉장히 많은 영역에서 프라이버시에 관한 관심, 우려가 제기됩니다. 그러니까 제가 논문을 쓰고 연구자로서 이야기할 때도 어떻게 보면 이것이 우리나라 사회에서의 개인정보 보호를 바라보는 시각을 반영하는 것이라고 생각하는데 개인적으로 이 개인정보 보호에 관한 입장은 일관적이었다고 생각하는데 그 자리가 어떤 자리였는지 또는 그 자리에 어떤 분들이 참여했는지에 따라서 “그렇게 프라이버시를 강조하면 우리는 일을 어떻게 하라는 것이냐”라고 제가 비난을 꽤 많이 들었습니다.
또 정반대로 “그런 자세로 하면 개인정보 보호는 다 팽개치겠다는 것이냐”라는 식의 비난도 꽤 많이 들었습니다. 그래서 그런 사이의 균형 잡힌 시각을 유지한다는 것이 간단치 않은 것 같습니다. 그것을 어떻게 보면 다른 시각이 존재할 수 있고 개인입장 또는 개인이 가진 철학, 소신과 사회가 요구하는 것 또는 그때그때 언론이나 정치 지형 등 여러 가지에 따라서 다른 모양새가 나타날 수 있는 가능성도 시간이 조금 지난 시점에서는 정리할 필요가 있지 않나 하는 생각을 합니다.
한 가지만 더 말씀드리면 김이식 대표님이 매우 흥미로운 말씀을 해 주셨는데 실무적으로 아주 중요한 이슈입니다. 다만, IMEI 사건은 꽤 오래 전에 있었던 사건이고 현재의 법이 개정되기 전에 있었던 사건입니다. 그래서 IMEI 사건 같은 경우 현재 법으로 판단하면 현행법에는 다른 정부의 입수 가능성을 보게 되어 있기 때문에 무작정 “통신사에 있는 정보를 연결할 수도 있지 않아?”라는 관점은 현재의 법으로는 다른 결론이 나올 가능성이 높지 않나 하는 생각을 합니다.
오늘 생각할 것들을 많이 제공해 주신 발표자, 토론자 여러분께 감사의 말씀드립니다.“]
의장 윤종수 : [”고맙습니다. 워낙 위원장님이 전문가여서 이 이슈는 이번 기회에 잘 정리가 될 것 같으니까 정재훈 교수님도 그렇고 질병관리청에서도 많은 협업을 기대하겠습니다.
이렇게 해서 제8차 미래포럼을 마치도록 하겠습니다. 다음달 3월 15일 오후 3시에 제9차 회의가 있고, 그때 주제는 ‘개인일상의 위협, 개인정보 유출위험에서 자유로운 사회’라는 과제로 발제를 해 주실 것이고 발제자는 추후 공지해 드리겠습니다.
그러면 그때 좋은 토론을 기대하면서 오늘 「2022-2023 개인정보 미래포럼」제8차 포럼은 이것으로 마무리하겠습니다. 고맙습니다.“]