의료 마이데이터, 실제로 쓸 수 있는 기관 7곳입니다
2025년 3월부터 내 진료기록을 내가 원하는 곳으로 전송할 수 있는 ‘의료 마이데이터 전송요구권’이 시행됐습니다. 그런데 1년이 지난 지금, 실제로 이 권리를 쓸 수 있는 특수전문기관은 7곳뿐입니다. “어디서든 자유롭게 보낼 수 있다”는 말이 사실과 얼마나 다른지, 공식 자료로 직접 확인했습니다.
의료 마이데이터 전송요구권, 결론부터
2025년 3월 13일, 개정 「개인정보 보호법」 제35조의2가 시행되면서 국내 의료 마이데이터 제도가 본격적으로 열렸습니다. 핵심은 단순합니다. 내가 동의하고 제공한 정보, 그리고 내 활동으로 생성된 정보를 내가 원하는 곳으로 전송해달라고 요구할 수 있는 법적 권리입니다. EU GDPR 제20조 ‘데이터 이동권(Right to Data Portability)’을 참고해 국내 실정에 맞게 설계된 제도입니다. (출처: 대류법무법인 공식 인사이트, 2025)
그런데 막상 쓰려고 하면 “어디서 신청하죠?”라는 물음부터 막힙니다. 생각보다 복잡한 구조 탓입니다. 결론부터 말씀드리면, 의료 분야에서 실제로 내 진료기록을 제3자 서비스에 전송할 수 있는 특수전문기관은 현재 7곳입니다. (출처: 한국보건의료정보원 PHR사업단 장민철 단장 발표, 메디칼타임즈 2026.02.04) 이 숫자가 왜 중요한지는 섹션 3에서 자세히 설명합니다.
포커스 키워드인 의료 마이데이터 전송요구권은 이 제도의 공식 법률 명칭입니다. 일상에서는 ‘의료 마이데이터’, ‘건강정보 고속도로’라고 불리기도 합니다.
전송요구권 행사해도 과태료가 없는 이유
💡 공식 법 조문과 실제 집행 구조를 같이 놓고 보니 이런 차이가 보였습니다. 대부분의 블로그는 “신청하면 다 된다”고 쓰지만, 전송을 거부해도 직접적인 과태료 조항이 없습니다.
많은 분이 “내가 전송을 요구하면 병원이 거부할 수 없겠지, 거부하면 벌금 맞겠지”라고 생각합니다. 실제로는 다릅니다. 개인정보 보호법 제35조의2에 따른 전송요구권 위반에 대한 직접적인 형사처벌이나 과태료 부과 규정은 존재하지 않습니다. (출처: 대류법무법인 의료전문 공식 인사이트 문서) 다만, 전송 과정에서 보안성·신뢰성을 확보하지 못하면 개인정보 보호법 일반 조항에 따른 제재가 적용될 수 있습니다.
이 구조가 의미하는 바는 명확합니다. 병원이 정당한 사유 없이 전송을 거부하면 개인정보보호위원회에 민원을 넣는 방식으로 대응해야 하고, 즉각적인 강제 이행 수단은 현재 제한적입니다. 금융 마이데이터처럼 금융위원회가 인허가 취소까지 할 수 있는 강력한 제재 구조와는 다릅니다.
단, 시행령 제42조의6에 따라 정당한 사유 없이 전송을 거부하거나 지연하면 해당 사실과 이유를 정보주체에게 반드시 통지해야 하며, 이를 어길 경우 개인정보보호법 일반 규정의 행정처분 대상이 됩니다. (출처: 개인정보 보호법 시행령 제42조의6②, 2025.03.13 시행)
지금 당장 내 진료기록을 보낼 수 있는 곳
의료 마이데이터 전송요구권에서 가장 먼저 알아야 할 것은 전송 경로의 구조입니다. 금융처럼 “토스나 카카오로 내 계좌 정보를 불러오면 끝”이 아닙니다. 보건의료 정보는 반드시 한국보건의료정보원(KHIS)이라는 단일 중계전문기관을 통해서만 전송됩니다. (출처: 시행령 제42조의6④, 2025.03.13 시행) 중계전문기관을 건너뛰는 직접 전송은 불가능합니다.
그리고 그 전송의 최종 목적지, 즉 내 의료데이터를 받아서 서비스를 제공할 수 있는 특수전문기관이 현재 7곳입니다. 카카오헬스케어, 메라키플레이스, 룰루메딕 등이 여기에 포함됩니다. (출처: KHIS 장민철 PHR사업단장, 메디칼타임즈 2026.02.04) 이 7곳이 아닌 앱·서비스에는 보건의료 정보를 제3자 전송으로 보낼 수 없습니다.
| 단계 | 주체 | 역할 |
|---|---|---|
| 1단계 | 정보 전송자 | 상급종합병원 47개소, 건보공단, 심평원, 질병관리청 |
| 2단계 | 중계전문기관 | 한국보건의료정보원(KHIS) — 유일한 경로 |
| 3단계 | 특수전문기관 | 현재 7곳 (카카오헬스케어, 룰루메딕 등) |
| 전송 정보 종류 | K-RCDI 표준 핵심 교류 데이터 10종 위주 (의료기관 정보·의료인 면허 정보 2종 제외) | |
내가 직접 “내 건강보험 진료기록을 나한테 보내줘”라는 본인 전송 요구는 암호화 API 방식을 통해 바로 본인에게 전송할 수 있습니다. 하지만 “특정 앱에 내 진료기록을 연결해줘”라는 제3자 전송은 반드시 위 경로를 따라야 합니다.
의료 마이데이터가 금융 마이데이터와 다른 결정적 구조
💡 공식 발표문과 실제 사용 흐름을 같이 놓고 보니 이런 차이가 보였습니다. 금융 마이데이터에서 익숙해진 방식으로 의료 마이데이터를 접근하면 예상과 다른 지점에서 막힙니다.
금융 마이데이터는 ‘마이데이터 사업자’로 허가받은 핀테크 회사가 직접 은행·카드사에 API를 연결해 정보를 가져옵니다. 수백 개 사업자가 허가를 받았고, 토스·카카오페이 등 친숙한 앱에서 곧바로 쓸 수 있습니다.
의료 마이데이터는 구조가 근본적으로 다릅니다. 병원이 직접 특수전문기관이 될 수 있습니다. 강북삼성병원이 2025년 말 국내 의료기관 최초로 특수전문기관 1호로 지정됐습니다. (출처: 블로터 2026.01.01) 이 구조에서는 강북삼성병원에 진료받으러 온 환자가 타 병원 진료기록까지 통합해 볼 수 있는 서비스가 만들어질 수 있습니다. 데이터를 받는 곳이 핀테크 앱이 아니라 병원 자체인 셈입니다.
한편, 금융 마이데이터는 스크래핑 방식을 허용하다가 나중에 API로 전환했지만, 의료 마이데이터는 처음부터 스크래핑 방식이 명시적으로 금지됩니다. (출처: 시행령 제42조의6⑦) 안전성을 우선시한 설계이지만, 덕분에 서비스 출시 속도는 금융보다 느릴 수밖에 없습니다.
2026년 2월 시행령 개정 이후 달라진 것
2026년 2월, 개인정보 보호법 시행령이 한 차례 더 개정됐습니다. 핵심은 두 가지입니다.
첫째, 본인전송요구권 범위가 의료·통신·에너지에서 전 산업 분야로 확대됐습니다. 이제 유통, 교육, 고용, 부동산, 복지 등 10개 분야로 순차적으로 확장됩니다. 에너지 분야(한국전력, 도시가스)는 2026년 6월부터 적용됩니다. (출처: 머니투데이 2026.03.11, 개인정보보호위원회) 올여름이면 내 전기·가스 사용량 데이터도 에너지 절약 앱이나 금융 서비스로 전송할 수 있게 됩니다.
둘째, 민간 대기업의 전송 의무는 아직 유예돼 있습니다. 2026년 8월에는 공공기관 중심으로 먼저 시행되고, 평균 매출 1,800억 원 초과·정보주체 100만 명 이상의 대규모 민간기업은 2027년 2월부터 의무가 부과됩니다. (출처: 머니투데이 2026.03.11) 지금 당장 모든 대형 플랫폼이 내 정보를 내보내줘야 하는 건 아닙니다.
| 시점 | 적용 대상 | 내용 |
|---|---|---|
| 2025.03 | 의료·통신 | 전송요구권 본격 시행 |
| 2026.02 | 전 산업 확대 | 시행령 개정, 본인전송요구 전 분야로 |
| 2026.06 | 에너지 분야 | 한국전력·도시가스 정보 전송 시작 |
| 2026.08 | 공공기관 | 주요 시스템 보유 공공기관 의무 적용 |
| 2027.02 | 대규모 민간기업 | 매출 1,800억·정보주체 100만 명↑ 의무 |
실제로 써보면 막히는 3가지 상황
💡 업계 세미나 발표자료와 시행령 조문을 교차해서 보니 현장에서 기업들이 막히는 지점이 구체적으로 드러났습니다.
① LLM에 내 의료 정보를 넣으면 개인정보보호법 위반 소지
전송받은 의료 데이터를 AI 서비스에 분석시키려 할 때 문제가 생깁니다. 범용 LLM(예: ChatGPT, Claude 등)에 민감 의료 정보를 입력하면 개인정보보호법 위반 소지가 발생합니다. 특수전문기관으로 지정된 룰루메딕이 자체 폐쇄형 무저장 LLM을 따로 개발한 이유입니다. (출처: 메디칼타임즈 2026.02.04) 전송은 됐지만 쓰지 못하는 상황이 생길 수 있다는 뜻입니다.
② 전송 가능 데이터가 ’10종 위주’로 제한됩니다
상급종합병원 EMR 연계 시 의료계 의견을 반영해 ‘표준 핵심 교류 데이터(K-RCDI) 10종’ 위주로만 전송됩니다. 의료기관 정보와 의료인 면허 정보 2종은 제외됐습니다. (출처: KHIS 장민철 단장 발표, 2026.02.04) 내가 원하는 모든 진료 기록이 전송되는 건 아닙니다.
③ 기관마다 데이터 형식이 달라 서비스 오류가 생깁니다
병원마다 EMR 시스템이 달라 같은 ‘혈압 수치’도 저장 방식이 다릅니다. 표준화가 이뤄지지 않으면 전송 후 데이터 해석 오류가 발생할 수 있습니다. 개인정보보호위원회는 이를 해결하기 위해 ‘온마이데이터(On My Data)’ 범정부 지원 플랫폼 구축을 추진 중이지만, 아직 전 기관 표준화는 진행 중입니다. (출처: 네이버 개인정보보호 공식 블로그 2026.03.19)
Q&A — 자주 묻는 질문 5가지
마치며 — 권리는 생겼지만, 쓸 수 있는 통로는 아직 좁습니다
의료 마이데이터 전송요구권은 분명히 의미 있는 제도입니다. 내 건강 데이터가 병원 서버에만 잠겨 있지 않고, 내 동의하에 내가 원하는 서비스로 이동할 수 있다는 것은 데이터 주권 측면에서 실질적인 진전입니다.
다만 솔직히 말하면, 지금 당장 “어떤 앱에서든 내 진료기록을 불러와서 바로 쓸 수 있다”는 수준은 아닙니다. 특수전문기관 7곳, 단일 중계기관인 KHIS, 스크래핑 금지, 표준화 진행 중이라는 현실이 동시에 존재합니다.
제 판단으로는, 의료 마이데이터가 실생활에서 피부로 느껴지는 수준이 되려면 최소 2027년 이후를 봐야 할 것 같습니다. 민간 대규모 플랫폼 의무 시행(2027.02)과 에너지 분야 연동(2026.06)이 결합될 때, “내 진료기록 + 에너지 사용 패턴 + 통신 이용 이력”을 통합해서 분석하는 서비스가 실제로 나올 것입니다.
당장은 2026년 마이데이터 서비스 지원사업 공모(KISA, 접수 마감 2026.04.13)를 통해 어떤 서비스들이 나오는지 지켜보는 것이 현실적인 출발점입니다.
📚 본 포스팅 참고 자료
- 개인정보보호위원회 공식 블로그 — 전분야 마이데이터 제도 확대 내용 (naver.com 2026.03.19)
- 대류법무법인 — 개인정보 전송요구권 및 마이데이터 제도 전면 확대 (daeryunlaw-comp.com)
- 머니투데이 — 개인정보위, 마이데이터 서비스 본격 발굴 (mt.co.kr 2026.03.11)
- 메디칼타임즈 — 봇물 터진 의료 마이데이터, 디지털 헬스 생태계 거름될까 (medicaltimes.com 2026.02.04)
- 블로터 — 의료 마이데이터 본사업과 병원 보안 (bloter.net 2026.01.01)
- 개인정보 보호법 시행령 제35조의2, 제42조의2~42조의9 (2025.03.13 시행, 2026.02 개정)
본 포스팅은 2026년 3월 22일 기준 공개된 공식 자료를 바탕으로 작성됐습니다. 개인정보 보호법·시행령·고시는 정부 정책 변화에 따라 수시로 개정될 수 있습니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. 구체적인 법률 해석이나 권리 행사는 반드시 개인정보보호위원회(국번없이 118) 또는 전문가와 상담하시기 바랍니다.
댓글 남기기