병원 데이터가 연구와 업무로 쓰이기까지

데이터 거버넌스라고 하면 지켜야 할 규칙이 빼곡할 것 같지만, 정작 자주 부딪히는 건 규칙이 답을 정해 주지 않는 일이다.

IRB는 강제다. 사람을 대상으로 하는 연구는 법이 정한 절차를 반드시 거쳐야 하고, 빠뜨리면 연구 자체가 성립하지 않는다. 기준이 분명하고, 내가 정할 것도 없다.

DRB는 다르다. 강제도, 비강제도 아니다. 법이 직접 강제하는 절차는 아니지만, 가이드라인이 정한 심의여서 안 한다고 그냥 넘어갈 수도 없다. 보건의료 가명정보는 동의 없이 연구에 쓸 수 있고, 그 가명처리가 적정한지와 데이터를 내보내도 되는지를 DRB가 본다.

역할도 나뉘어 있다. 과학적 타당성과 연구윤리는 IRB가, 가명처리의 적정성은 DRB가 본다. 그런데 가이드라인이 정해 주는 건 거기까지다. 무엇이 ‘적정한’ 가명처리인지, IRB를 통과한 연구에 DRB를 어디까지 더 걸지, 어디까지를 심의 대상으로 볼지는 기관이 판단한다.

모든 연구에 DRB를 필수로 걸면 연구자는 반발하고, 그만큼 체계적으로 운영할 여력이 있는 병원도 많지 않다. 그래서 위험이 큰 쪽 — 상업적 활용, 제3자 제공, 데이터 결합 — 에 심의를 모으는 게 현실적인 타협이다. 다만 그렇게 좁히면 심의 건수가 줄어, DRB라는 조직의 존재감도 같이 옅어진다.

다른 나라는 그 경계를 더 분명하게 정해 둔다. 미국 HIPAA에는 정해진 식별자 18가지를 지우면 그 데이터를 비식별 정보로 보고, 추가 동의나 심의 없이 연구에도 상업적 활용에도 쓸 수 있게 하는 길이 있다. 유럽 GDPR은 반대로, 되돌릴 수 없을 만큼 익명화되지 않으면 거의 다 개인정보로 묶는다.

방향은 정반대지만, 둘 다 어디까지 쓸 수 있는지를 미리 못 박아 두었다. 좋은 거버넌스는 규제가 세냐 약하냐가 아니라, 그 경계가 미리 서 있느냐에서 갈린다. 우리 가이드라인은 “적정하게 가명처리하라”까지는 정하지만, 그 ‘적정’이 어디까지인지는 미리 정해 주지 않는다.

그래서 그 판단이 실무자에게 온다. 나는 그것을 임시로라도 정해 둔다. 지금의 법과 가이드라인 안에서 설명할 수 있는 선을 정하고, 어떤 연구에 어느 수준의 심의를 적용할지 기준을 세우고, 연구자가 물으면 왜 그렇게 정했는지 근거를 댈 수 있게 해 둔다. 완벽한 기준은 아니다. 지금 책임질 수 있는 기준이다.

법과 가이드라인은 몇 해마다 바뀌고, 그러면 작년의 기준이 올해는 느슨하거나 과할 수 있다. 그래서 한 번 정하고 끝내는 게 아니라, 정해 둔 기준을 그때마다 다시 본다. 정답이 없다는 건 기준 없이 일한다는 뜻이 아니다. 정답이 없을수록, 설명할 수 있고 다시 고칠 수 있는 기준을 직접 세워 두는 것이 이 일이다.

정답이 정해져 있지 않은 일에서 기준을 세우고 다시 보는 방법은 정답이 없는 업무에서 판단한다는 것에 적어 두었다.