EU Health Data Space와 한국 AI 의료기기: 학습 데이터 확보, 2차 이용, 규제 준비 체크리스트
EU Health Data Space 규제가 한국 AI 의료기기 개발사의 학습 데이터 확보와 2차 이용에 미치는 영향을 분석하고, EHDS 준수를 위한 실행 체크리스트를 제공한다.
왜 한국 AI 의료기기 개발사가 EHDS를 지금 알아야 하는가
2025년 3월 26일, EU Health Data Space(EHDS) 규정(Regulation 2025/327)이 발효되었다. 이 규정은 EU 전역의 전자건강기록(EHR) 상호운용성을 의무화하고, 건강 데이터의 2차 이용(secondary use)을 위한 법적 프레임워크를 확립한다.
한국 AI 의료기기 개발사에게 이 규정은 두 가지 의미를 갖는다. 첫째, EU 전역의 표준화된 건강 데이터에 접근할 수 있는 새로운 채널이 열린다. 2029년 3월부터 대부분의 데이터 카테고리에 대해 2차 이용이 가능해지며, AI 모델 학습 데이터로 활용할 수 있다. 둘째, EU 외부로 데이터를 반출할 수 없다는 원칙이 기존 워크플로우를 근본적으로 변화시킨다. 한국 본사에서 EU 데이터를 다운로드하여 학습하는 방식은 더 이상 불가능하다.
이 글에서는 EHDS의 1차·2차 이용 구조, 한국 AI 의료기기 개발사의 데이터 접근 경로, 그리고 규제 준비 체크리스트를 정리한다.
EHDS 규제 타임라인: 2025~2034
| 시점 | 이벤트 | 한국 기업에 미치는 영향 |
|---|---|---|
| 2025년 3월 | 규정 발효 | EU 전역에 EHR 상호운용성 의무화 시작 |
| 2025년 6월 | 각국 디지털 보건 당국 지명 | HDAB(Health Data Access Body) 설립 시작 |
| 2026년 1월 | EHR 시스템 인증 의무화 | EHR과 연동되는 AI 제품은 상호운용성 요건 충족 필요 |
| 2027년 3월 | 1차 이용 조항 적용 | 국경 간 환자 데이터 이동, 비개인 건강 데이터 요청 가능 |
| 2029년 3월 | 2차 이용 조항 적용 | 대부분의 데이터 카테고리에 대해 AI 학습 목적 데이터 접근 가능 |
| 2031년 3월 | 유전·분자·임상시험 데이터 2차 이용 | 정밀의료 AI 학습 데이터 확보 가능 |
| 2034년 3월 | 제3국 HealthData@EU 가입 | 한국이 동등성 입증 시 직접 가입 가능 |
핵심: 2029년 3월이 한국 AI 의료기기 개발사가 실질적으로 EU 건강 데이터에 접근할 수 있는 시점이다. 그 전까지는 준비 기간이다.
1차 이용 vs 2차 이용: 무엇이 다른가
1차 이용 (MyHealth@EU)
1차 이용은 환자 진료를 위한 전자건강데이터의 처리다. 대상 데이터:
- 환자 요약, 전자 처방, 전자 조제
- 의료 영상 및 보고서
- 검사실 결과, 퇴원 보고서
환자는 언제든지 이유 제시 없이 옵트아웃할 수 있다. 이는 AI 학습에 활용 가능한 데이터 풀(poor)이 옵트아웃 비율에 따라 축소될 수 있음을 의미한다.
2차 이용 (HealthData@EU) — AI 학습에 관련된 핵심
2차 이용은 데이터가 원래 수집된 목적 이외의 목적을 위한 처리다. EHDS가 승인하는 2차 목적:
- 공중보건, 환자 안전, 의약품·의료기기 안전성
- 통계, 정책 입안, 규제 활동
- 과학 연구, 교육 및 훈련 ← AI 학습 데이터 수집에 가장 관련
- 진료 제공 개선, 치료 최적화
EHDS는 "과학적 연구"를 광범위하게 해석한다. 기술 개발·시연, 기초·응용 연구, 민간 자금 지원 연구도 포함된다(Recital 61). 즉, 한국 기업의 사내 AI R&D도 "과학적 연구"로 인정받을 가능성이 있다.
2차 이용의 핵심 제약
| 제약 | 내용 | 실무적 영향 |
|---|---|---|
| 데이터 현지화 | 데이터는 안전한 처리 환경(SPE) 내에서만 분석. EU 외부 반출 불가 | 한국 서버로 데이터를 가져올 수 없음 |
| 데이터 형태 | 익명화, 가명화, 통계적 형태로만 제공 | 원시 환자 데이터 접근 불가 |
| 결과 공개 의무 | 2차 사용 결과는 18개월 이내 익명 형식으로 공개 | 독점적 AI 모델 성능 결과 공개 필요 가능성 |
| 금지 목적 | 광고/마케팅, 불리한 결정, 보험·신용 제외, 차별적 사용 | AI 모델의 특정 활용 방향 제한 |
| 허가 기간 | 최대 10년, 추가 10년 연장 가능 (총 20년) | 장기 프로젝트 설계 가능 |
데이터 접근 경로: 한국 기업이 취할 수 있는 3가지 경로
경로 1: EU 내 법인을 통한 직접 접근
EU 회원국에 법인을 설립하고, 해당국의 HDAB(Health Data Access Body)에 데이터 접근 허가를 신청한다.
- 장점: EU 내 기업과 동일한 조건으로 접근 가능
- 단점: EU 법인 설립·운영 비용, SPE(Secure Processing Environment) 인프라 구축 필요
- 소요 기간: HDAB 접수 후 3개월 이내에 허가 여부 결정 (Platis-Anastassiadis)
경로 2: EU 내 파트너 기관을 통한 간접 접근
EU 내 대학, 연구소, CRO와 협약을 맺어 해당 기관이 HDAB에 신청하고, 공동 연구 형태로 데이터에 접근한다.
- 장점: 법인 설립 불필요, 기존 학술 네트워크 활용
- 단점: 데이터 통제권이 파트너에게 있음, IP 협약 필요
- 실무 포인트: EU 학술기관과의 연합 학습(federated learning) 프로젝트가 가장 현실적
경로 3: 2034년 이후 HealthData@EU 직접 가입
2034년 3월부터 제3국이 2차 이용을 위해 HealthData@EU에 가입 신청할 수 있다. 단, 동등성(equivalence) 입증이 필요하다:
- EHDS 규정을 준수함
- EU 기업에 동등한 조건으로 접근 권한을 제공함
- 유럽 위원회로부터 확인받음
실무 포인트: 2034년까지 한국이 자체 건강 데이터 거버넌스 체제를 EHDS 동등성 수준으로 발전시켜야 한다.
삼각 규제: GDPR + AI 법 + EHDS
한국 AI 의료기기가 EU 시장에서 건강 데이터를 다룰 때, 세 가지 규제가 동시에 적용된다:
| 규제 | 핵심 요건 | 한국 기업 영향 |
|---|---|---|
| GDPR | 특수 카테고리 데이터(건강 데이터) 처리 제한, 국경 간 전송 제한 | EU 내 데이터 처리 필요, 한국 전송 제한 |
| AI 법 (2024.8 발효) | MDR/IVDR 의료기기인 AI 시스템 → 자동 고위험 분류 | 고위험 AI 규정 준수 체계 전면 적용 |
| EHDS | 건강 데이터 접근 거버넌스, SPE 내 분석 원칙 | 데이터 접근 경로와 분석 환경의 제약 |
핵심 긴장 관계: EU 건강 데이터와 비EU 건강 데이터를 혼합하는 것은 GDPR, AI 법, EHDS 중 하나 이상을 위반할 가능성이 높다. (CEPA/CSIS, 2025) 기업은 EU와 비EU 데이터셋을 분리된 상태로 유지해야 한다.
AI 법 고위험 분류의 실무적 의미
EU MDR/IVDR에 따른 의료기기인 AI 시스템은 자동으로 고위험 AI로 분류된다(MDCG 2025-6 FAQ). 이 경우:
- 적합성 평가: CE 인증 발급 전 제3자 평가 기관(Notified Body)의 AI 시스템 평가 필요
- 기술 문서: AI 모델의 학습 데이터, 검증 방법, 성능 지표 문서화
- 사후 모니터링: 시장 출시 후 AI 모델 성능 지속 감시 체계 구축
- 투명성: 사용자에게 AI 시스템임을 명시
핀란드 Findata 파일럿: 운영 실사례
EU 최초의 HDAB인 핀란드 Findata의 2024년 운영 데이터는 EHDS의 실제 운영을 보여준다:
| 항목 | 수치 |
|---|---|
| 2024년 자문 건수 | 131건 |
| 신청당 평균 비용 | EUR 1,600 (중앙값: EUR 700) |
| 허가 처리 기간(중앙값) | 82일 (그중 2/3는 정보 대기) |
| 허가당 평균 데이터 통제자 수 | 4개 이상 |
| Findata 직원 수 | 약 20명 |
| 연간 예산 | 약 EUR 250만 |
이 데이터가 시사하는 바: 데이터 접근 허가 자체는 비교적 저렴하지만(EUR 700~1,600), SPE 내에서 분석을 수행할 인프라와 인력 비용이 별도로 발생한다. 다국가 데이터를 결합하려면 여러 HDAB와 조율해야 하므로 복잡도가 증가한다.
한국 학계의 분석: 장기적 정책 시사점
이화여대 연구진(Won Bok Lee 등, Healthcare Informatics Research, 2023)은 EHDS의 2차 이용 조항을 분석하고 한국을 위한 정책 권고안을 발표했다:
"EHDS 제안은 공공 부문이나 민간 부문에 상관없이 건강 데이터에 대한 접근을 넓혀 2차 연구를 촉진하는 것이 사회에 가치를 더할 것임을 상기시킵니다. 이것은 한국이 장기적으로 고려해야 할 정책입니다."
한국의 건강보험심사평가원과 국민건강보험공단이 보유한 방대한 건강 데이터를 EHDS 동등성 수준으로 개방할 수 있다면, 한국도 EU 기업에 데이터를 제공하는 교환 카드를 확보하게 된다.
규제 준비 체크리스트: 단계별 실행 항목
즉각 준비 (2025~2026)
- EHDS가 자사에 미치는 영향 평가: 데이터 보유자 역할인지, 데이터 사용자 역할인지 분류
- EU 법인 설립 여부 결정: 데이터 접근 권한 획득을 위한 EU 내 법인 필요성 평가
- 현재 AI 학습 데이터 파이프라인 매핑: EU 소스 데이터 사용 여부, 비EU 데이터와의 혼합 여부 파악
- GDPR 규정 준수 감사: EU 기반 인프라에서 특수 카테고리 데이터 처리를 위한 법적 근거 확보
- AI 법 고위험 분류 영향 파악: MDR/IVDR에 따른 의료기기인 AI 시스템의 자동 고위험 분류 인지
- EHDS 2차 이용 지침 공개 자문 모니터링 (2025년 가을~2026년 봄 예정)
중기 준비 (2026~2027)
- EU 내 SPE(Secure Processing Environment) 인프라 구축 또는 파트너십 체결
- 연합 학습(federated learning) 역량 투자: 다국가 분산 데이터 분석 인프라 확보
- 데이터 세분화 전략 수립: EU 건강 데이터와 비EU 데이터를 분리하여 관리
- EU EHR 상호운용성 표준 준비: 제품이 EHR 시스템과 상호운용성을 갖는 경우 EHDS 필수 요건 충족 (Art. 27(1))
- HDAB와 관계 구축: 주요 EU 회원국의 HDAB가 지명되면 조기 접촉
장기 전략 (2027~2031+)
- 2029년 3월까지 2차 이용 데이터 접근 허가 신청 준비 완료
- 2031년 유전·분자·임상시험 데이터 접근 준비
- 18개월 이내 2차 사용 결과 공개 요건 준수 프로세스 확립
- 한국-국가 EHDS 동등성 입증 (2034년 HealthData@EU 직접 가입 목표)
- EHDS 시행법(implementing acts) 및 위임법(delegated acts) 업데이트 지속 모니터링
관련 내부 링크
- EU AI 법과 한국 AI 의료기기: SaMD 고위험 분류와 AI 법 준수 체계
- FDA PCCP: AI 의료기기 사후 승인 변경 관리: AI 모델 업데이트 규제 대응
- EU MDR CE 기술문서 작성: MDR 하 AI 의료기기 기술문서 요건
- GDPR 컨트롤러·프로세서 매핑: EU 병원 진입 시 GDPR 역할 분담
