개인정보 접근, 정보보호법 위반

구글의 AI 회사인 딥마인드(Deep Mind)와 영국의 국민건강보험(NHS)간 계약이 정보보호법 위반이라는 조사결과가 나왔다.

3일(현지시간) CNBC 보도에 따르면, 영국의 주요 규제기관은 딥마인드와 NHS간의 계약이 정보보호법을 준수하지 못했다고 밝혔다. 지난 해 5월부터 양사 간 협약의 위법여부를 조사해 온 영국의 정보보호 감시기관(ICO)은 이날 딥마인드의 정보보호법 위반 여부에 대한 최종 조사결과를 발표하고 향후 시정조치를 요구했다.

구글 딥마인드는 지난 2015년 신장질환 환자를 모니터링하는 ‘스트림(Streams)’이라는 앱을 개발하기 위해 NHS 재단신탁(Royal Free NHS Foundation Trust)과 계약했다. 스트림은 환자의 상태가 악화되면 적절한 임상의에게 경고 알람을 보내는 앱으로, 환자의 건강정보를 필요로 한다.

문제는 딥마인드가 환자의 신장질환 정보 이외의 건강정보에도 접근할 수 있다는 점이다. ICO조사에 한달 앞서 과학전문지 뉴사이언티스트(New Scientist)가 보도한 양사 계약서 전문에 따르면, 딥마인드는 해당 계약을 통해 환자 160만 명의 광범위한 건강정보에 접속이 가능하다. 신장질환 정보뿐 아니라 약물 과다복용 여부나 HIV(AIDS 원인바이러스) 감염여부에도 접근할 권한이 있다.

ICO는 환자들이 자신의 정보가 이런 식으로 사용되리라는 점을 제대로 고지받지 못했다는 부분을 문제 삼았다. 다만 광범위한 접근권한 자체는 문제시하지 않았다. ICO는 그러나 NHS재단신탁이 개선 요구사항을 이행한다면 해당 앱은 계속 사용가능 하다는 입장이다.

NHS재단신탁은 ICO의 성명 발표 직후 성명을 통해 “ICO의 조사결과를 수용하며 우려하는 문제를 해결할 적절한 과정을 만들었다”며 “환자를 관리하거나 환자의 안전을 보장하기 위한 용도 이외의 목적으로 사용되지 않는다는 점을 재확인시키겠다”고 밝혔다.

딥마인드의 공동설립자 무스타파 술레이만도 “우리가 틀렸다”며 “2015년 사업을 시작하며 빨리 목적을 달성하는 데 치중해 NHS 환자정보 규정의 복잡성과 대형 기술업체가 건강분야에 진출하는 것에 대한 세간의 잠재적 두려움을 과소평가했다”고 블로그를 통해 입장을 밝혔다.

김유진 기자/kacew@heraldcorp.com