해외 의료 IT 기업이 사우디에서 의료 IT 사업을 추진하려면 다양한 인허가 절차 및 규제를 반드시 숙지해야 합니다. 사우디의 현지 법규를 준수하지 않으면 사업 진행이 어려울 수 있기 때문에 사전에 철저한 준비가 필요합니다. 이번 글에서는 사우디에서 의료 IT 사업을 추진하는 경우 필수적으로 점검해야 하는 인허가 및 규제에 대해 설명하고자 합니다.
1. 사우디 주요 규제 기관
의료 IT 사업과 관련된 사우디의 주요 규제 기관 및 그 역할은 다음과 같습니다.
- 사우디 식약청 (SFDA, Saudi Food and Drug Authority): 의료기기 및 디지털 헬스 솔루션 인증 담당
- 정보통신기술위원회 (CITC, Communications and Information Technology Commission): IT 보안, 데이터 보호, 클라우드 컴퓨팅 등 규제
- 국가사이버보안국 (NCA, National Cybersecurity Authority): 사이버보안 정책과 표준을 정립, 필수 사이버보안 제어 및 클라우드 사이버보안 제어에 대한 평가 실시
- 사우디 데이터 및 인공지능국 (SDAIA, Saudi Data and Artificial Intelligence Authority): 국가 데이터 관리, 데이터 프라이버시, AI 활용 등에 관한 정책 관리
2. 의료 IT 사업을 위한 인허가 및 규제
해외 의료 IT 기업은 사우디에서 의료 IT 사업을 추진하는데 있어 다음과 같은 인허가 취득 의무 및 규제를 적용받게 됩니다.
(1) SFDA 의료기기 인허가
의료 데이터를 다루거나 의료 판단에 영향을 미치는 모든 의료 IT 시스템과 소프트웨어는 SFDA의 의료기기 분류에 따른 인허가를 받아야 합니다. 특히 주목할 점은 2023년부터 의료용 소프트웨어(SaMD, Software as Medical Device)에 대한 규제가 강화되었다는 것입니다. 임상의사결정지원시스템(CDSS, Clinical Decision Support System), 원격의료 플랫폼, 의료영상 분석 소프트웨어 등은 위험도에 따라 등급이 분류되며, 각 등급별로 요구되는 기술 문서와 임상 데이터가 상이합니다. 의료기기 제조업체에 대한 일반적인 인허가 절차는 다음과 같습니다.
- 공인 대리인(AR, Authorized Representative) 지정: 사우디에 현지 법인이 없는 해외 기업은 반드시 사우디 내 공인 대리인을 지정해야 합니다. 이들은 SFDA와의 모든 공식적인 소통을 담당하며, 이와 관련된 면허를 취득해야 합니다.
- 의료기기 국가등록 (MDNR, Medical Devices National Registry): 공인 대리인은 국가 의료기기 등록시스템에 사업체 등록 및 의료기기 정보를 제공해야 하고, SFDA는 각 사업체에 국가등록번호 및 의료기기 신고번호를 부여합니다.
- 의료기기 사업체 허가 (MDEL, Medical Devices Establishment License): 현지에서 의료기기를 유통하거나 제조하려면 MDEL을 취득해야 합니다.
- 의료기기 시판허가 (MDMA, Medical Devices Market Authorization): SFDA는 의료기기와 관련된 모든 제품에 대해 MDMA 승인을 요구합니다. 이를 위해 기술 파일 제출, 갭 분석, 수수료 납부, 평가 과정을 거쳐야 하며, 승인까지 약 90일이 소요됩니다.
(2) CITC 인증 및 규제
의료 IT 시스템이 클라우드 기반이거나 네트워크를 사용하는 경우, CITC에서 발행하는 기술 표준 인증을 받아야 합니다. CITC 인증은 사우디에서 판매되는 통신 및 무선 장비, 무선 주파수 장비, 정보 기술 장비 및 기타 관련 제품에 적용되며, 데이터 암호화, 네트워크 보안, 시스템 안정성 등에 관한 엄격한 기준이 포함됩니다.
CITC는 인터넷 서비스 제공업체(ISP, Internet Service Provider), 클라우드 서비스 제공업체(CSP, Contents Service Provider) 등에 대한 라이센스를 발급하고 관리하는 역할을 수행하고 있습니다. 또한, CITC는 2018년 발효된 '클라우드 컴퓨팅 규제 프레임워크(Cloud Computing Regulatory Framework)'를 통해 CSP의 데이터 센터 위치, 주요 기능 등을 CITC에 공개하도록 하고, 보안침해 또는 정보유출 발생 시 이를 클라우드 고객에게 통지하도록 강제하고 있습니다.
(3) NCA 사이버보안 규제
의료 데이터는 사우디에서 중요한 국가 자산으로 간주되므로, 의료 IT 시스템은 NCA의 사이버보안 규제를 반드시 준수해야 합니다. 이는 정기적인 보안 감사, 취약점 평가, 침투 테스트 등을 포함하며, 해외 기업의 경우 NCA의 추가 보안 심사가 요구될 수 있습니다. 특히, 클라우드 기반 의료 서비스를 제공하려는 해외 의료 IT 기업은 사우디 내 데이터 센터 구축 또는 공인된 현지 클라우드 서비스 사용에 관한 의무사항을 준수해야 합니다. 특히, NCA에서는 민감한 데이터를 다루는 의료 IT 분야 등에 대해 다음과 같은 규제를 적용하고 있습니다.
- 필수 사이버보안 제어(ECC, Essential Cybersecurity Controls): ECC는 모든 조직이 기본적으로 준수해야 하는 사이버보안 표준으로, 네트워크 보안, 액세스 제어, 데이터 암호화 등 다양한 보안 요소를 포함합니다. 이는 사우디 내 모든 조직에 적용되며, 해외 의료 IT 업체도 그 적용 대상에 포함됩니다.
- 클라우드 사이버보안 제어(CCC, Cloud Cybersecurity Controls): CCC는 클라우드 서비스 제공자와 클라우드 기반 시스템을 사용하는 조직에 특화된 규제로, 클라우드 환경에서의 데이터 보안, 액세스 관리, 인시던트 응답 등에 대한 구체적인 요구사항을 정의하고 있습니다. 해외 의료 IT 업체가 클라우드 기반 의료 IT 서비스를 제공하는 경우, 이러한 CCC 규제를 준수해야 합니다.
(4) SDAIA 데이터 프라이버시 규제
의료 데이터는 민감정보로 분류되므로 SDAIA에서는 사우디 개인정보보호법(PDPL, Personal Data Protection Law), PDPL 시행령 등에 명시된 데이터 프라이버시 규제를 통해 개인정보 보호 및 안전한 처리를 보장하기 위한 다양한 기준을 마련하고 있습니다. SDAIA 데이터 프라이버시 규제는 사우디아 내에서 개인정보를 다루는 조직이 해당 데이터를 보호하고 프라이버시를 강화하는데 중요한 역할을 합니다. SDAIA 데이터 프라이버시 규제의 주요 내용은 다음과 같습니다.
- 데이터 수집 및 처리 기준: 개인정보의 수집, 저장, 처리에 대한 명확한 기준을 제공합니다. 이는 데이터의 최소화, 명확한 목적, 동의 기반의 데이터 처리 등을 포함합니다.
- 데이터 보호 책임: 개인정보를 다루는 조직은 데이터 보호 책임자(DPO, Data Protection Officer)를 지정하여 데이터 보호 정책의 준수와 모니터링을 담당해야 합니다.
- 데이터 보안 조치: 암호화, 액세스 제어, 데이터 백업 및 복구 절차 등 다양한 보안 조치를 통해 데이터의 안전성을 보장합니다.
- 데이터 주체 권리 보호: 데이터 주체의 데이터 접근, 수정, 삭제 등의 권리를 보호하고, 이를 위해 필요한 절차를 마련합니다.
- 사고 응답 계획: 데이터 유출이나 보안 사고 발생 시 신속한 대응을 위한 사고 응답 계획을 수립하고 실행합니다.
- 감사 및 준수 모니터링: 정기적인 감사와 모니터링을 통해 데이터 프라이버시 정책의 준수를 확인하고, 필요 시 개선 조치를 취합니다.
결론
해외 의료 IT 기업이 사우디에서 의료 IT 사업을 추진하기 위해서는 SFDA, CITC, NCA, SDAIA 등 규제 기관의 인허가 절차 및 관련 규제를 철저히 이해하고 준수하는 것이 필수적입니다. 즉, 해외 의료 IT 기업은 위에 설명된 필수 점검 인허가 및 규제에 대한 이해를 바탕으로 사우디 의료 IT 사업 추진 시 데이터 프라이버시와 관련된 위험을 면밀하게 관리하고 민감한 의료 데이터를 보호해야만 합니다. 그러한 노력을 통해 해외 의료 IT 기업은 사우디 내에서 신뢰할 수 있는 의료 IT 서비스 제공자로서의 입지를 강화할 수 있을 것입니다.
