Medidata Blog
[NEXT+] 데이터로 생명을 구한다
Andrew Kopelman(SVP, Chief Privacy Counsel, Medidata)
Lee Parker(Director, Data Privacy, Biogen)
Anne Bahr(R&D Privacy Officer, Sanofi)
데이터로 생명을 살린 사례
데이터로 생명을 살릴 수 있으며, 실제 우리 주변에서 그 사례를 어렵지 않게 찾아볼 수 있습니다. 크게 ▶다양한 소스의 데이터 활용 ▶많은 수의 환자에 접근 ▶더 심도 있는 데이터 활용. 이 세 가지 카테고리로 나누어 사례를 살펴볼 수 있습니다.
다양한 소스의 데이터 활용의 예로는 코로나 연구 데이터베이스가 있습니다. 보험 정보, EHR 정보, 소비자 데이터(인구통계학적 데이터, 신용 정보, 라이프스타일, 정부 사망률과 실험실 데이터 등) 등을 코로나19 예방 치료 및 소수 집단에 미치는 영향에 대한 연구 등에 활용하고 있으며, 입원 예측변수 파악에 활용하고 있습니다.
많은 환자에 대한 접근의 예로는 애플사의 시험을 들 수 있습니다. 약 1년 전 애플사는 학계와 다른 연구진과 함께 정신 건강 및 폐경기 건강과 관련된 디지털 시험을 발표했습니다. 이때 애플워치가 연구 키트로 활용되어 수면과 심박수 등을 측정했습니다. 이 연구는 50만 명을 대상으로 장기적으로 연구를 진행할 예정입니다.
더 심도 있는 데이터와 관련한 예로는 희귀질환인 캐슬만병 사례가 있습니다. 희귀질환은 환자별로 충분한 데이터 수집이 어렵습니다. 따라서 프로테오믹스 데이터를 일부 수집하고, 실제 세계의 데이터와 결합하여 연구 대상 치료제에 다르게 반응하는 환자 그룹을 파악하는 데 활용되었습니다. 그리고 분자 관련 연구이기 때문에 진단과 치료에 큰 도움이 될 수 있습니다.
데이터 2차 사용의 어려움
앞서 언급한 것처럼 데이터는 인간의 생명을 살리는 중요한 기반입니다. 하지만 실제 임상시험에서는 데이터 사용을 가로막는 요소가 많습니다. 우선, 임상시험에서 개인정보의 2차 사용과 관련하여 어디까지 할 수 있는지가 불분명합니다.
1차 사용, 1차 연구에서도 상당 부분이 모호하지만 2019년 1월, 유럽 데이터 보호 이사회가 의견을 내고 제약회사나 연구 기반 기관들이 임상시험 데이터 처리에 있어 기댈 수 있는 법적 근거를 발표하면서 이 부분은 어느 정도 해결됐습니다. 물론, 독일의 경우 의료법에서 데이터 처리도 동의를 받아야 한다고 명시하고 있어 독일 기관들은 다른 법적 근거에는 의존하지 못하는 상황이고, 독일 윤리위원회도 동의서 외 다른 것은 받아들이지 않고 있습니다.
문제는 2차 연구입니다. 2019년 문서에서 유럽 데이터 보호 이사회가 아주 간략하게 임상시험에서 데이터의 2차 사용에 대해 언급했지만, 자세하게 다루거나 어떤 법적 근거를 바탕으로 해야 할지에 대한 결론을 제시하지는 못했습니다. 따라서 여전히 여러 회사 입장에서는 동의를 받아야 할지, 재동의를 받아야 할지, 아니면 다른 GDPR의 부분들에 의존하면 되는지 등 혼돈이 남습니다.
몇 년 전 처음 GDPR 초안을 읽었을 때 ‘이를 바탕으로 개인정보를 다른 치료제 연구에 쓸 수 있겠다, GDPR의 89조에 명시된 세이프가드만 있다면 가능하겠다’고 생각했는데, 유럽 데이터 보호 이사회에서 논란이 계속되고 있으며, 다른 유럽의 데이터 보호 당국도 명확한 가이던스를 내놓지 못하고 있는 상황입니다.
이처럼 불명확한 상황으로 인한 피해는 고스란히 환자에게로 돌아갈 수 있습니다. 아주 명확한 가이던스가 나오고, 그리고 과학적 연구의 목적이라면 데이터의 2차 사용이 허용될 수 있다면 좋을 것 같습니다.
익명 연구의 한계
개인정보 재사용과 관련한 적절한 법적 근거를 찾기가 어렵기 때문에 대안으로 ‘익명화’가 논의되고 있지만, 익명화 또한 명확한 정의가 없습니다. 오피니언 216/2014년도 자료의 제29조 작업반의 익명 처리 기법에 대한 내용을 보면 ‘익명’으로 바라보는 것의 기준이 사실 매우 어렵습니다.
익명으로 간주되기 위해서는 개별화, 상관관계 파악, 추론. 이 세 가지를 할 수 없습니다. ▶개별화는 그룹 내에서 누구의 정보인지 파악할 수 있는 경우입니다. Singling out이라고도 합니다. ▶상관관계 파악은 다양한 소스의 데이터를 특정 개인에게 연결할 수 있는 경우입니다. ▶추론은 어떤 사람이 그룹의 일부라는 이유만으로 이 사람의 무언가를 이용할 수 있는 경우입니다. 즉, 이 사람에게 이름표를 붙일 수는 없어도 세 가지 중 하나가 가능하다면 데이터셋이 익명으로 인정되지 않는 것입니다.
그래서 당국은 누군가의 재식별화 가능성을 원하지 않고, 이것이 불가능해야만 데이터가 익명으로 간주됩니다. 세 가지 조건을 충족시키려면 DPIA를 통해 재식별화 리스크가 0이라는 점을 증명해야 하는데, 이는 정말 어려우며 그런 데이터는 과학적 연구에 재사용되기 어렵습니다.
한편, 코로나 팬데믹 상황에서는 원격 및 가상 시험이 생명을 살릴 잠재력이 있습니다. 하지만 이 또한 쉽지 않습니다. 환자의 기관 방문이 어려워지면서 제약회사와 IT 회사들이 원격이나 재택 시험 솔루션을 개발하고 있습니다만 새로운 데이터 보호 이슈가 발생합니다.
특히 환자를 직접 만나지 않고 동의를 받아야 할 때 환자 ID의 원격 검증, 의료 정보 및 환자 정보 기밀 유지 등의 문제가 발생합니다. 기밀 유지와 관련해서는 GCP 컴플라이언스 문제가 발생할 수 있습니다. IT 앱을 통해 원격으로 동의서를 받을 때는 시험자와 환자 사이에 IT CRO가 있게 됩니다. 그런데 IT CRO는 이런 정보에 접근할 수 있도록 허가되지 않았습니다. 어떤 환자에게 어떤 문제가 있는지 알게 되면 의료 기밀 원칙이 깨지고, GCP 컴플라이언스나 환자 신뢰 문제, GDPR 컴플라이언스 문제가 발생합니다.
결국 솔루션을 개발할 때 PII 정보, 예를 들면 이름이나 환자의 건강 정보에 동시에 접근할 수 없게 해야 합니다. 연구 코드, 환자 코드 모두 건강 정보로 간주됩니다. 벤더들이 이 정보에 직접 접근하는 것이 금지되어 있습니다. 즉, 원격 서비스는 사무실에서 얼굴을 보고 할 때와 동일한 수준으로 보안을 보장할 수 있어야 합니다.
따라서 IT 회사는 데이터 정리 방법에 대한 생각을 바꾸고, 데이터의 완전한 분리가 가능한 솔루션을 개발해야 합니다. 물리적/논리적으로 이름이나 주소 등 식별 정보를 분리하여 연구팀만 접근할 수 있도록 하고 CRO나 스폰서에게 가는 정보, 예를 들면 집이나 실험실에서 전달하는 치료제 목록 등과 완전히 분리되어야 합니다. 이는 준수 측면에서도 필요하지만 환자 건강 정보 기밀 유출 방지 측면에서도 매우 중요합니다. 앞으로는 업계가 IT 회사들과 긴밀히 협력하고 데이터 보호 관련 당국도 참여하는 민-관 협력이 이뤄져야 합니다.
데이터 국제 이전
제약회사는 기술 기업이 아닙니다. 환자에 대한 프로필을 만들어 관리할 이유도 없습니다. 세계 곳곳으로 개인 정보를 이전하는 이유는 규제 당국에 제출(submission)하기 위해서입니다. 약물 감시를 통해 임상시험 중인 약물, 시장에 나가있는 약물의 안전성을 보장하기 위한 것입니다. 그리고 임상시험에서 다양한 데이터를 다양한 국가에서 평가받기 위해서입니다.
일반적으로 정부 요청을 받지는 않습니다. 정부의 법 집행기관에서 관심을 가질만한 정보를 제약회사가 가지고 있지 않기 때문입니다. 그로 인해 유럽연합사법재판소가 슈렘실 판결에서 프라이버시 실드를 무효화하면서 데이터를 이전할 수 있는 방법이 하나 줄었습니다.
데이터 이전 없이 임상시험을 할 수는 없습니다. 임상시험을 국가마다 사일로로 진행하여 개인정보를 해당 국가에서만 분석하고 익명으로 비교 분석하는 것은 불가능합니다. 임상시험은 세계 각국의 다양한 기관에서 진행되며, 보통은 미국에 위치한 중앙 저장소에서 데이터를 분석합니다. 법적으로 데이터를 EU에서 미국이나 타국으로 이전할 방법이 없어진다면 정말 큰 문제입니다.
이 판결의 또 한 가지 문제는 표준 계약 항목에도 영향을 준다는 사실입니다. 이제 EEA에서 이전하게 될 국가마다 데이터 보호법의 유효성을 평가하고 정보를 받는 회사가 표준 계약 항목을 준수할 수 있을지도 봐야 하기 때문에, 데이터 보호 영향 평가에 더해 소위 ‘슈렘실 영향 평가’까지 진행하여 국제 이전이 가능할지까지 판단해야 하는 상황입니다. 사람의 생명을 살리기 위한 약을 개발하는 회사에게 또 하나의 장애물이 생긴 것입니다. 표준계약조항에 기반한 국제 이전이 계속될 수 있기를 희망합니다. 데이터를 세계 각국으로 이전하는 것이 매우 중요하기 때문입니다.