가정용 DNA·건강 검사에 숨은 가장 큰 위험.
출처: ZDNet
Elyse Betters Picaro / ZDNETZDNET 팔로우: Google에서 선호 소스로 추가하기*
ZDNET의 주요 요점
- 가정용 DNA 및 건강 검사는 HIPAA 적용 대상이 아닐 수 있습니다.
- 유전 데이터가 본인이나 친척을 노출시켜 보험 위험을 초래할 수 있습니다.
- FDA 검토와 사후 관리 수준은 크게 다릅니다.
키트가 도착합니다. 크지는 않아요.
우편함에서 꺼내 카운터에 올려 둡니다. 친근하고 재미있는 색상으로 인쇄돼 있죠.
면봉으로 채취하고, 침을 뱉고, 손가락을 찔러서 샘플을 채취한 뒤 다시 우편으로 보냅니다. 곧 당신은 호르몬, 가임력, 암 위험, 알츠하이머 소인, 대사, 음식 민감성, 혹은 전체 유전체에 관한 새로운 정보를 얻게 됩니다.
이것이 가정용(‘소비자 직접’) DNA 및 건강 검사의 매력입니다. 밤늦게, 스마트폰만 있으면 보험이 없든, 호기심이 있든, 몸이 숨기고 있을 비밀이 궁금하든, 거의 모든 검사를 주문해 집에서 할 수 있습니다.
하지만 직접 주문하기 전에 저는 먼저 구글링을 해봤습니다.
처음엔 간단한 답을 찾고 있었습니다. 검사가 FDA 승인을 받았나요? 회사가 HIPAA 적용 대상인가요? 의사가 결과를 설명해 주나요? 읽을수록 상황은 복잡해졌습니다. FDA 관련 문구는 드물었고, 보이는 경우에도 특정 검증서, 보고서, 혹은 채취 키트에만 국한돼 있었으며, 전체 회사나 서비스 전체에 적용된 것은 아니었습니다.
몇몇 회사는 HIPAA 준수를 주장했지만, 다른 회사는 그렇지 않았습니다. 거의 모든 회사가 CLIA 인증 또는 CAP 인증 실험실을 언급했지만, 이는 실험실 품질 기준일 뿐입니다. 상담 및 사후 관리 역시 크게 달랐습니다. 그래서 저는 세부 조항을 파고들었습니다: 내 정보가 법 집행기관에 공유되거나 광고·연구에 사용될 수 있나요?
그 답은 대부분 사람들이 절대 읽지 않는 정책에 숨겨져 있었습니다. 저는 10개 회사를 직접 살펴봤습니다.
- Everlywell
- LetsGetChecked
- Labcorp OnDemand
- Nebula Genomics / DNA Complete
- Nucleus
- SiPhox
- myLAB Box
- CircleDNA
- SelfDecode
- 23andMe
언급한 모든 회사에 코멘트를 요청했으며, 바이오윤리·유전학·HIPAA·보건법·FDA 규제·소비자 프라이버시·사이버보안 분야 전문가 12명과 인터뷰했지만 인용한 사람은 여섯 명에 불과합니다.
Everlywell / Elyse Betters Picaro / ZDNET
내 건강 데이터는 내가 생각하는 만큼 보호되지 않을 수도 있다
첫 번째 위험은 채취용 랜싯, 면봉, 튜브가 아니라, 검사를 주문할 때부터 시작됩니다. 대부분 사람들은 “회사가 건강 관련 데이터를 다루니 내 정보도 다른 의료 기록처럼 보호받을 것”이라고 가정합니다.
미국에서는 1996년 제정된 건강보험 이전 및 책임법(HIPAA)이 ‘보호 대상 엔터티(covered entities)’와 그 비즈니스 파트너가 생성·보관·전송하는 개인 건강 정보(PHI)를 보호합니다. 이는 모든 사람을 위한 포괄적 프라이버시 법이 아닙니다.
아이오와 대학교 법학전문대학원(David H. Vernon 교수)인 Anya Prince는 건강·유전 프라이버시를 연구합니다. Prince은 ZDNET에 “핵심 질문은 해당 기업이 HIPAA 적용 대상인지 여부”라며, “DTC(Direct‑to‑Consumer) 실험실은 보호 대상 엔터티에 해당하지 않을 수 있다”고 설명했습니다. “그들이 보유한 건강 정보는 PHI가 아니라 기업의 프라이버시 정책에 따라 다뤄진다”고 덧붙였습니다.
인기 있는 가정용 DTC 회사를 살펴보니, HIPAA 문구를 사용하는 경우와 그렇지 않은 경우가 뒤섞여 있었습니다.
- Everlywell은 HIPAA 고지에서 “HIPAA에 따라 귀하의 개인 식별 가능 건강 정보를 보호한다”고 선언했습니다.
- Labcorp은 HIPAA 정책에서 “법에 따라 건강 정보의 프라이버시를 유지해야 한다”고 명시했습니다.
- Nucleus는 “HIPAA‑준수”라고 주장했습니다.
- SiPhox는 “HIPAA‑등급 보안”을 제공한다고 밝혔으며, myLAB Box는 키트와 연계된 정보·샘플이 “HIPAA에 의해 보호된다”고말했습니다.
다른 회사들에 대해서는 현재 공개된 페이지에서 HIPAA 준수 여부를 확인할 수 없었습니다.
Engage Compliance 설립자이자 DTC 건강·유전 검사의 외부 데이터 보호 책임자(DPO)인 Julian Gage는 ZDNET에 “‘HIPAA‑등급’·‘HIPAA‑준수’라는 표현은 마케팅 용어일 뿐, 실제 보호를 의미하지 않는다”고 전했습니다.
“HIPAA‑등급 암호화는 보안 설정에 대한 진술일 뿐이며, HIPAA가 실제로 적용되는지 혹은 회사가 결과를 어떻게 활용할 수 있는지는 전혀 언급하지 않는다”고 Gage는 말했습니다.
예를 들어, DTC 기업이 주문을 의사나 원격진료 네트워크를 통해 처리하면, 해당 의사·네트워크는 HIPAA‑보호 대상이 될 수 있고, 그들이 생성·보관하는 데이터 조각은 HIPAA 적용을 받을 수 있습니다. 하지만 이는 검사를 수행하는 기업 전체나 전체 소비자 거래가 HIPAA 적용을 받는다는 뜻은 아닙니다. “결과적으로 한 층의 얇은 보호만 받고, 나머지는 체크아웃 시 선택한 약관에 따라 운영될 수 있다”고 Gage는 설명했습니다.
또한: [Airtable을 활용해 매일 패스트푸드 습관을 5분 식단 계획으로 바꾼 방법](https://www.zdnet.com/article/how-i-used-airtable-to-swap-my-daily-fast-food-habit-with-5-minute-meal-planning/