빅데이터는 질병 확산의 예측과 의료의 개인화라는 막대한 잠재력을 지니고 있으나, 그 이면에는 개인의 의료 데이터에 대한 개인정보 보호 문제가 심각하게 상존한다. 웨어러블 디바이스와 스마트폰 앱의 사용 증가 추세 속에서 데이터의 소유자, 저장 위치, 접근 및 사용 권한, 그리고 사이버 공격으로부터의 보안 문제가 핵심 이슈로 부상하고 있다. 이러한 취약점을 홈즈 교수는 지적하면서 의료 개인정보 빅데이터의 몇 가지를 자세히 지적한다.
첫째, 익명화된 데이터의 재식별 가능성이 큰 문제로 지적된다. 익명화된 개인 의료 데이터는 합법적으로 판매될 수 있으나, 정보프라이버시 전문가인 '라타냐 스위니'(Latanya Sweeney, 1953-)와 '유지 수 유'(Yuji Sueu)가 수행한 실험에서 드러났듯이, 안전하다고 추정되는 암호화된 의료 데이터도 공공 기록과의 교차 확인을 통해 개별 환자를 식별해 낼 수 있는 취약성이 존재한다. 특히 한국의 의료 데이터를 사용한 사례에서 고유 식별자를 해독하고 공공 기록과 연결하여 개별 환자를 재식별할 수 있었다고 한다.
둘째, 비의료 분야에서의 데이터 오용 및 차별 문제이다. '피트니스 트래커'의 데이터가 고용주에게 활용되어 특정 지표를 충족하지 못한 사람을 판별하거나 원치 않는 정리해고 제안으로 이어질 수 있는 등, 노동 시장에서의 불이익 제공 가능성을 제기한다.
셋째, 기술적 보안 취약성과 데이터 무결성(Integrity) 확보 실패 문제이다. 2016년 독일 다름슈타트 공과대학교와 이탈리아 파도바 대학교의 공동 연구 결과, 피트니스 트래커 17개 중 데이터 변경을 막을 만큼 충분히 안전한 제품은 없었으며, 일부 제품은 데이터의 정확성 보존을 위한 조치도 취하지 않았다.
넷째, 대규모 데이터 유출 및 신원 도용 위험이다. 의료 기록은 사이버 범죄자들에게 매우 가치 있는 정보이며, 2015년 의료 보험사 앤섬(Anthem) 해킹 사례에서는 7천만 명 이상의 데이터베이스가 유출되었다. 이름, 주소, 사회보장번호 등 개인 식별에 중요한 데이터가 중국 해킹 그룹 딥팬더(Deep Panda)에 의해 유출되었으며, 미국의 고유 식별자인 주민등록번호가 암호화되지 않아 신원 도용의 가능성을 키웠다.
다섯째, 정교한 해킹 기법과 인적 오류에 의한 데이터 침해이다. 2010년 러시아 사이버 해커 그룹에 의해 세계도핑방지기구(WADA)의 ADAMS 시스템에 보관된 정상급 선수들의 의료 기록이 해킹된 사례는 맞춤형 사이버 공격 방식인 '스피어 피싱'(spear phishing)과 같은 사회 공학적 기법이 민감한 정보를 불법적으로 획득하는 주요 경로임을 보여준다.
여섯째, 인적 오류가 많은 보안 침해의 시작점이라는 점이다. 사람들은 바쁜 일상 속에서 URL의 미묘한 변화를 놓치거나, 플래시 드라이브와 같은 장치를 분실 혹은 도난당하며, 심지어 고의로 심어놓은 멀웨어 장치를 직원이 사용하는 경우도 있다. 불만을 품은 직원과 진짜 직원의 실수 모두 수많은 데이터 유출의 원인이 된다.
메이요 클리닉, 존스 홉킨스 메디컬, 영국의 공공의료시스템(NHS) 등 세계적으로 유명한 기관들이 클라우드 기반 시스템을 통해 권한이 부여된 사용자가 전 세계 어디서나 데이터에 액세스 할 수 있도록 하는 등, 의료 관리 분야에서 빅데이터 인센티브 도입 속도는 빨라지고 있으며, NHS는 2018년 스마트폰을 통한 환자 기록 접근을 실현하였다. 이러한 발전은 필연적으로 데이터에 대한 공격을 증가시키므로 효과적인 보안 방법 개발에 상당한 노력이 요구된다.
최근 의료 데이터 관련 이슈는 이러한 클라우드 기반 시스템 확대와 맞물려 더욱 첨예화되었다. 유럽연합의 GDPR 시행 이후 데이터 주권과 국경 간 데이터 이동 문제가 주요 쟁점이 되었으며, 인공지능(AI) 기반 의료 진단 시스템의 확산으로 인해 민감한 의료 데이터의 AI 학습 활용에 대한 법적 및 윤리적 통제 문제가 중요하게 부각되었다. 또한, 병원 간 데이터 공유 네트워크 및 건강보험공단 등 공공기관의 대규모 의료 데이터베이스에 대한 지속적인 랜섬웨어 및 해킹 공격이 빈번하게 발생하면서, 단순한 개인 식별 정보(PII)를 넘어 비식별화된 의료 정보의 안전성 및 데이터 거버넌스 강화에 대한 요구가 지속적으로 증가하고 있는 추세이다.