NHS, Palantir 계약자에게 환자 data_5iter.com에 대한 "무제한 액세스" 부여

NHS England는 Palantir를 포함한 회사의 외부 직원에게 주력 데이터 플랫폼의 일부 모듈을 작업하는 동안 식별 가능한 환자 데이터에 대한 무제한 액세스 권한을 부여했습니다. 내부 브리핑에 따르면 NDIT(National Data Integration Tenant)는 데이터가 "가명화"되어 다른 시스템으로 전송되기 전에 데이터의 "데이터 피난처"로 정의된 모듈입니다.

NDIT는 FDP(Federated Data Platform)의 일부입니다. FDP는 NHS의 분산된 데이터를 통합 시스템으로 통합하는 것을 목표로 합니다. 2023년 Palantir는 플랫폼 구축을 위해 3억 3천만 파운드 규모의 계약을 체결했습니다.

이 계획에 따라 NHS England는 "관리자" 역할을 만드는 데 동의했습니다. 브리핑에서는 이 역할이 "NHS 잉글랜드 직원이 아닌 직원이 NDIT 및 여기에 저장되어 있는 식별 가능한 환자 정보에 제한 없이 접근할 수 있도록 허용한다"는 점을 인정합니다.

Palantir 직원 외에도 FDP 프로젝트에 참여하는 컨설팅 회사의 직원도 이러한 액세스 권한을 받을 수 있습니다.

이러한 움직임은 현재 관행에서 크게 벗어난 것입니다. 이전에는 NDIT에 액세스해야 하는 사람은 누구나 특정 데이터 세트에 대한 명시적인 데이터 액세스 권한을 신청해야 했습니다.

지난 4월 NHS 고위 데이터 담당자가 작성한 브리핑 노트에서는 더 많은 권한을 부여하면 "환자 데이터 보호, 적절한 데이터 사용 및 액세스 제어"에 대한 대중의 신뢰가 상실될 수 있음을 인정했습니다.

처음에는 보안 허가를 통과한 NHS England 내부 직원만 전체 액세스 권한을 사용할 수 있습니다. 그러나 브리핑에서는 "필요한 독립적인 데이터 접근 권한(CDA)을 하나씩 신청하는 것이 너무 번거로울 것"이라는 이유로 외부 직원도 동일한 권한을 요청했다고 언급했습니다.

브리핑에는 다음과 같이 덧붙였습니다. "이 문제는 Palantir에만 관련된 것이 아니므로 우리는 이를 'NHS 영국 직원이 아닌 직원'이라고 부릅니다. 그러나 현재 Palantir와 그 직원이 환자 데이터에 접근하는 범위에 대한 대중의 관심과 우려가 높아지고 있습니다."

브리핑에서는 NDIT에 액세스할 수 있는 외부 관리자 수에 제한을 설정해야 하며 권한은 제한된 시간 동안 유효하고 정기적으로 검토되어야 한다고 제안합니다.

관계자들은 이 제안이 최근 승인되었음을 확인했지만 그러한 허가는 NHS가 아닌 극소수의 직원에게만 공개될 것이라고 강조했습니다.

하원 기술위원회 자유민주당 의원인 Martin Wrigley는 다음과 같이 말했습니다: "데이터 보안에 대한 이러한 부주의한 태도는 전체 FDP 프로젝트가 보안을 핵심으로 설계되지 않았음을 보여줍니다. 대중은 데이터 프라이버시가 주요 고려 사항으로 간주되지 않는다고 걱정할 이유가 있습니다."

NHS England는 데이터 방문자의 신원과 방문 내용 공개를 포함하여 5가지 "데이터 약속"을 이행하겠다고 약속했습니다.

브리핑 노트에서는 "언제든지 식별 가능한 환자 데이터에 누가 액세스했는지 정확히 아는 것이 핵심 우선순위"라고 경고합니다. "액세스가 개방될수록 이 목표를 달성하기가 더 어려워집니다."

NHS England 대변인은 다음과 같이 응답했습니다. "NHS는 중앙 데이터 수집 플랫폼 구축을 돕는 엔지니어의 작업 감독을 포함하여 엄격한 환자 데이터 액세스 관리 정책을 수립하고 규정 준수를 보장하기 위해 정기적인 감사를 실시합니다. 이 플랫폼은 NHS 운영 성과를 추적하고 환자 진단 및 치료 서비스를 최적화하는 데 사용됩니다. 모든 외부 액세스 담당자는 정부 보안 검토를 통과하고 NHS England 이사 이상의 승인을 받아야 합니다."

Palantir가 FDP 건설에 참여한 것은 회사가 미국 국방 및 이민법 집행 분야에서 오랫동안 근무했기 때문에 점점 더 논란이 되고 있습니다.

공동 창업자이자 CEO인 알렉스 카프(Alex Karp)는 도널드 트럼프(Donald Trump)의 대중 지지자입니다. 일부 NHS 직원은 회사에 대한 윤리적 우려로 인해 FDP 프로젝트 참여를 거부했습니다.

FDP 지지자들은 대기자 명단, 수술실 일정 등 운영 데이터를 통합하여 환자 진단 및 치료 개선에 도움을 주는 FDP의 능력을 높이 평가합니다.

Palantir 대변인은 "법적 조항에 따르면 우리는 NHS와 모든 고객을 위한 '데이터 처리자'일 뿐이며 고객은 '데이터 관리자'입니다. 이는 Palantir 소프트웨어가 고객 지침에 따라서만 엄격하게 데이터를 처리할 수 있다는 것을 의미합니다. 데이터의 무단 사용은 불법일 뿐만 아니라 기술적으로도 불가능합니다. NHS가 정교한 액세스 제어를 구현했기 때문입니다."