테크플러스

구글이 미국인 수백만 명의 건강 정보를 무단으로 수집한 사실이 드러났다. 수집 사실은 환자들에게 알리지 않았다.

월스트리트저널(WSJ)이 입수한 구글 내부문서에 따르면 구글은 미국서 두 번째로 큰 헬스케어 시스템 기업 어센션(Ascension)과 제휴를 맺고 건강 소프트웨어를 개발하는 '프로젝트 나이팅게일(Project Nightingale)'을 비밀리에 운영 중이다. 정보 수집은 이 과정에서 일어났다. 각종 진단 및 입원 기록과 실험 결과 등 의료 기록을 포함하며 어센션이 운영하는 21개 주에 위치한 의료 시설에서 수집한 정보다. 이 안에는 환자 이름과 생년월일이 들어있다.

정작 의사와 환자는 제휴를 통해 정보가 수집된다는 사실을 전달받지 못했다.

보도 이후 어센션 측은 "의료 정보 보안과 프라이버시를 규제하는 미국 의료정보보호법(HIPAA)을 준수한다"라며 "의료 환경이 빠르게 발전해감에 따라 고객은 물론 헬스케어 서비스 제공자의 요구와 기대를 충족하기 위해 달라져야 한다"라는 보도자료를 냈다.

구글도 같은 날 성명을 냈다. 구글은 "어센션과의 제휴는 의료 분야에서 일반적인 관행"이라고 일축했다. 타릭 슈캇(Tariq Shaukat) 구글 클라우드 대표는 "어센션에서 제공하는 데이터는 서비스 이외 다른 목적으로 사용될 수 없다는 점을 분명히 말씀드린다"라며 "의료 정보는 구글 소비자 데이터와 결합할 수도 없으며 앞으로도 그럴 일은 없을 것이다"라고 말했다. 그는 "어센션과의 협력은 클라우드, 데이터 분석, 기계학습(Machine Learning) 등을 활용해 의료 서비스를 혁신하려는 것"이라고 덧붙였다.

이달 초 구글은 피트니스 트래커를 만드는 헬스케어 기업 핏비트(Fitbit)를 21억 달러(약 2조4천억원)에 인수할 예정이라며 주목을 받았다. 구글의 웨어러블 디바이스용 운영체제 웨어OS(Wear OS)와 핏비트의 하드웨어의 만남으로 소비자의 기대감을 높였다. 혹시나 하는 생각이었는지 핏비트 이용자 데이터를 광고에 활용하지 않는다고도 밝혔다.

불과 보름도 지나지 않아 벌어진 의료 정보 수집 건은 구글에 거는 기대를 우려로 만들었다.

의료 시스템에서 의료 기록을 다루는 기업과 협의를 통해 의료 정보를 공유하는 것이 불법은 아니다. 하지만 구글이라는 점에 사람들은 걱정한다. 개인정보보호법 위반으로 여러 차례 벌금을 문 일이 있었기 때문이다. 의료 정보를 다루는 구글의 행동이 논란이 된 것이 새삼스러운 일이 아니다.

2017년 영국 데이터 규제 기관 ICO는 로열프리 NHS 트러스트(Royal Free National Health Service Foundation Trust)가 구글 딥마인드(DeepMind)에 의료 정보를 제공했는데 데이터 보호 규칙을 지키지 않았다고 판단했다. 의료 정보 사용을 환자에게 밝히지 않았고 지나치게 광범위하게 정보를 제공했다는 점이 문제로 지적됐다.

지난 6월에는 구글, 시카고대학교, 시카고대학 메디컬센터(University of Chicago Medical Center)가 집단소송을 당하기도 했다. 의료 정보에서 환자를 특정할 수 있는 데이터를 삭제하지 않고 정보를 공유했다는 이유에서다. 스마트폰 위치 데이터와 기타 신상 정보를 조합하면 의료 기록 속 환자의 신원을 확인할 수 있었기 때문이다. 구글은 당시 HIPAA를 준수했다고 밝혔다.

테크플러스 에디터 나유권

tech-plus@naver.com