건강을 위한 바른 소리, 의료를 위한 곧은 소리
updated. 2024-03-28 17:57 (목)
coverstory 우리 병원에 '시·한·폭·탄' 숨어 있다
coverstory 우리 병원에 '시·한·폭·탄' 숨어 있다
  • 이석영 기자 lsy@doctorsnews.co.kr
  • 승인 2011.04.15 10:01
  • 댓글 1
  • 페이스북
  • 트위터
  • 네이버밴드
  • 카카오톡
이 기사를 공유합니다

개인정보보호법 국회 통과, 병의원 '초비상'
종이문서도 대상 "대형 사고 한 방 터질 것"

Cover Story

 
지난해 9월 서울지역 대형 종합병원 10곳이 무더기로 경찰의 수사를 받았다. 혐의는 정보통신망이용촉진 및 정보보호 등에 관한 법률(이하 정통망법) 위반.

환자의 개인정보를 동의 없이 수집하고 보관했다는게 주된 이유다. 구체적으로 환자 정보의 이용 목적과 기간 등을 알리지 않은 채 진료신청서를 받고, 신청서에 기록된 개인정보를 전산화해 보관했다는 것이다.

병원에서 환자의 이름과 주민등록번호·주소·전화번호 등을 기록하고 보관하는 것은 어제 오늘의 일이 아닌데, 어째서 갑자기 범죄 취급을 받게 된 것일까?

이는 경찰 수사가 벌어지기 1년 전인 2008년 정통망법 시행규칙이 개정되면서 '개인정보 보호 필수기관'에 의료기관도 포함됐기 때문이다.

통신회사 같은 정보통신서비스 제공자만 해당되었던 정통망법의 규제 대상이 의료기관으로 확대되면서, 일선 병의원도 환자 개인정보의 수집ㆍ이용 목적과 수집 항목, 보유ㆍ이용 기간을 알리고 동의를 받도록 의무화됐다.

병원들은 당혹감을 감추지 못했다. 현행 의료법 제22조와 제23조는 의료인이 진료기록부 등에 의료행위에 관한 사항과 의견 등을 상세히 기록하고 이를 전자문서로 작성·보존토록 의무화 하고 있다. 위반시 벌금 300만원에 처해진다.

특히 의료법 시행규칙은 진료기록부에 환자의 이름과 주민등록번호·주소 등을 정확히 기록하도록 명시하고 있다. 어디에도 환자의 동의를 구하라는 조항은 들어 있지 않다. 병원 입장에선 의료법과 정통망법, 어느 장단에 춤을 춰야 할지 난감한 상황이 돼 버린 셈이다.

일선 의료기관들이 갈피를 잡지 못하고 있는 가운데 지난달 국회에서는 '개인정보 보호법'이 새롭게 제정됐다.

9월 30일부터 발효되는 이 법은 공공·민간을 망라한 모든 기관·법인·단체·개인에게 개인정보 보호 의무를 강력히 부여하고 있다. 정통망법 보다 규제의 범위와 대상이 훨씬 넓어졌다.

이를테면 손으로 쓴 '수기 문서'까지 보호대상에 포함돼 있다. 이를 바라보는 일선 의료기관들의 표정은 한 마디로 '답답함' 그 자체다.

서울의 한 종합병원 정보시스템 관련 업무 담당자는 "무엇부터 시작해야 할지 난감하다"고 토로했다. 한 보안업체 관계자는 "조만간 대형 사고가 터질 것"이라고 예상했다. 개인정보보호법이 무엇이길래 의료계를 곤혹에 빠뜨리고 있는가.

일선 병의원 "지킬 수 없는 법"

개인정보 보호법은 제1조 '개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고…(이하 생략)'라는 조문을 통해 법의 목적을 밝히고 있다. 정보의 '활용'이 아닌 '단속'을 기본 철학으로 삼고 있음을 알 수 있다. 이렇다 보니 법의 세부 조항들은 한결 같이 규제 일변도다<주요내용 별표>.

개인정보보호법 주요내용 

조 항 내 용 벌 칙
법의 적용 대상 공공기관, 법인, 단체, 개인 / 전자적으로 처리되는 정보 외에 수기문서까지 보호대상에 포함  
개인정보 보호 원칙 최소한의 정보만을 수집, 목적외 용도 사용 금지, 가능하면 익명처리  
개인정보 수집 ·이용 정보주체 동의 없이 개인정보 수집 금지 5천만원 이하 과태료
개인정보 수집 제한 최소한의 정보 수집에 대한 입증책임은 개인정보처리자 부담  
  최소한의 정보 수집 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스 제공 거부 금지 5천만원 이하 과태료
개인정보 이용·제공 제한 정보주체 동의 없이 개인정보 제3자 제공 금지 5년 이하의 징역 또는 5천만원 이하 벌금
민감정보 처리 제한  건강·사상·신념·정치적견해·성생활 등 개인정보는 별도 동의 받아야 함 5년 이하의 징역 또는 5천만원 이하 벌금
고유식별정보 처리 제한 정보주체 동의 없이 주민등록번호 등 고유식별정보 처리 금지 5년 이하의 징역 또는 5천만원 이하 벌금
  인터넷 홈페이지 가입시 주민등록번호 사용하지 않고도 회원가입 할 수 있는 방법 제공해야 함 5천만원 이하 과태료
개인정보의 정정·삭제 정보주체가 개인정보의 정정 또는 삭제 요구시 지체없이 조치한 후 통보  5천만원 이하 과태료
개인정보 부당 취득 거짓이나 그 밖의 부정한 방법으로 개인정보 취득 및 처리 금지 3년 이하의 징역 또는 3천만원 이하 벌금
안전조치 의무 개인정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치 취해야 함 2년 이하의 징역 또는 1천만원 이하 벌금
개인정보 보호책임자 지정 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정해야 함 1천만원 이하 과태료
양벌규정 종업원이 법 위반시 사용자도 해당 조문의 벌금형 부과  
단체소송 다수의 정보주체가 권리침해 등 피해를 입은 경우, 시민단체 등이 개인정보처리자를 상대로 단체소송을 제기할 수 있음  

예를 들어 개인의 동의를 받거나 다른 법률에 특별한 규정이 없는 경우에는 개인정보를 수집할 수 없다(제15조제1항). 익명처리가 가능한 경우에는 익명으로 처리해야 한다(제3조제7항).

또 동의 없이 개인정보를 목적에 벗어난 용도로 사용하거나 제3자에게 제공할 수 없으며(제18조제1항), 개인정보 처리의 목적을 달성한 즉시 모든 정보를 파기해야 한다(제21조제1항). 특히 '건강'에 대한 정보는 사상·신념·정치적 견해 등과 함께 '민감정보'로 분류, 다른 개인정보와는 다른 별도의 동의를 받아야 한다(제23조).

무엇보다 개인정보의 보호 원칙에서부터 의료현실과 충돌하고 있다는 지적이다.

법률은 제3조에서 '최소한의 개인정보만을 적법하고 정당하게 수집해야 한다'고 못박고 있다. 이재호 울산의대 교수(서울아산병원 의료정보실)는 "의사 입장에선 환자로부터 많은 정보를 얻을수록 치료에 도움이 된다"며 "최소한의 정보 수집이라는 개념 자체가 의료와는 전혀 맞지 않는 것"이라고 지적했다.

의료계로서는 개인정보 보호법이 그 출발점에서 부터 '지킬 수 없는 법'인 셈이다.

의학 연구는 땅 파서 하나?

수집 목적을 달성한 직후 반드시 정보를 파기하라는 조항 역시 의료 현실과 너무나 동떨어진 규제다. 특히 의학연구 수행이라는 고유목적을 갖고 있는 대학병원으로서는 수긍하기 힘들다.

보건복지부의 EHR(전자건강기록)사업단에서 활동했던 이미정 단국의대 교수(단국대병원 소아청소년과)는 "진료정보는 환자가 원한다고 해서 쉽게 파기할 수 있는 것이 아니다"라며 "의학발전을 위해, 즉 국민의 건강을 위해 환자 정보는 영구적으로 보관·활용되어야 한다"고 강조했다.

이 밖에도 정보주체(환자)가 의료기관에 자신의 개인정보에 대해 정정 또는 삭제를 요청할 수 있는 권한을 주고(제36조제1항), 요청 받은 의료기관으로 하여금 복구·재생되지 않도록 삭제 조치를 의무화(제36조제2·3항)한 규정 등도 현실적으로 이행이 불가능하다.

정보주체로부터 각각의 사항별로 구분해 고지하고 별도의 동의를 받도록 한 규정(제22조제1·2항)을 지키려다가는 병원 업무가 마비될게 불보듯 뻔하다.

개인정보 보호법의 '개인정보' 범위는 전자적으로 처리되는 정보 외에 '수기(手記)' 문서까지 포함돼 있다. 법을 엄격히 적용하면 의사가 회진을 돌며 기록하는 챠트도 환자 동의 없이는 기록할 수 없고, 환자가 원하면 즉시 파기해야 한다.

한방에 '훅' 가는 '집단소송'

법을 어긴 경우 받게 되는 벌칙은 무시무시하다. 우선 ▲정보주체의 동의를 얻지 않고 개인정보를 제3자에게 제공한 경우 ▲동의 없이 건강정보 등을 수집한 때 ▲개인정보를 목적외 용도로 이용한 경우 등에는 각각 5년이하의 징역 또는 5000만원 이하의 벌금에 처해진다.

또 ▲거짓이나 기타 부당한 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받은 경우 3년 이하의 징역 또는 3000만원 이하의 벌금 ▲주민등록번호 등 고유식별정보가 분실·도난·유출·변조·훼손 되지 않도록 암호화 등 안전성 확보에 필요한 조치를 다하지 않은 경우 2년 이하의 징역 또는 1000만원 이하의 벌금 ▲정보주체로부터 동의를 받을 때 개인정보의 수집·이용목적 등을 제대로 알리지 않은 경우 5000만원 이하의 과태료 등 처벌을 받게 된다.

특히 개인정보의 '최소 수집' 규정을 지켰는지 여부에 대한 입증책임을 개인정보처리자, 즉 의료기관에 부여하고 있다. 개인정보와 관련된 환자와 소송이 발생했을 때, 의료기관이 자신의 '무과실'을 입증해야 하는 것이다.

구태언 변호사(김앤장 법률사무소)는 "최근 법원의 판례 경향을 살펴보면 개인정보 유출에 대한 손해배상액으로 1인당 10만원 내지 70만원 선까지 인정하고 있다"고 말했다. 구 변호사는 "개인이 갖고 있는 정보 가운데 가장 민감한 의료정보는 이 보다 더 많으면 많았지 적지는 않을 것"이라고 말했다.

1일 외래 환자 7000명을 돌파했다는 모 대학병원을 예로 들면, 단순 계산으로 하루치 외래환자 정보만 유출됐다 하더라도 손해배상액이 최소 49억원에 달할 수 있다는 얘기다.

개인정보 보호법은 한 술 더 떠 '단체 소송' 조항을 별도로 두고, 환자와 병원간에 개인정보 관련 집단분쟁이 발생한 경우 소비자단체 등이 집단소송을 제기할 수 있도록 명시하고 있다.

발등에 불…대책은 '없다'

일선 병원들은 정통망법 시행규칙이 개정된 이후부터 개인정보 보호에 관심을 집중하고 있다. 전담 위원회나 태스크포스를 구성하고 세부 대응방안을 마련하고 있으며, 하드웨어적인 보안 조치 강화에도 적극 투자하려는 움직임이다.

그러나 의료현장과 어울리지 않는 정통망법이나 개인정보 보호법의 규제를 따라가야 하는 현실적인 어려움에 신음하고 있다. 김용근 서울성모병원 정보지원팀장은 "병원내에 정보보안위원회를 구성하고 개인정보 보호 관련한 프로그램을 점검하고 있다"며 "그러나 환자의 동의를 받고 있는 것 외에 특별히 준비하고 있는 것은 없다"고 전했다.

김 팀장은 "현재로선 시행령·시행규칙이나 별도의 지침 같은 것이 나와주기를 기다리고 있을 뿐"이라고 토로했다.

다른 병원도 사정은 마찬가지다. 연세의료원의 경우 작년부터 개인정보보호위원회 및 실무위원회를 구성해 가동 중이다. 하지만 이렇다 할 방안이 나오지 않고 있다. 병원들끼리 서로 눈치만 보고 있는 형편이다.

연세대의료원 소속 한 관계자는 "정통망법 시행규칙이 개정되기 전이나, 개인정보 보호법이 만들어지기 전에 의료계의 입장이 충분히 전달됐어야 했다"며 "취지가 아무리 좋아도 현장의 목소리가 반영되지 않으면 유야무야한 법이 되지 않겠나"고 지적했다.

중소병원·의원 90% '무방비 상태'

그나마 대형병원들은 상황이 나은 편이다. 중소병원이나 의원급 의료기관은 그야말로 속수무책이다. 개인정보 보호법 제29조에 따르면 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 내부 관리계획을 수립하고, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다.

이 같은 의무를 이행하지 않으면 2년 이하 징역 또는 2000만원 이하의 벌금에 처해진다.

또 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정해야 하며, 위반시 1000만원 이하 과태료 처분을 받는다. 인력이나 시설 등에 투자할 여력이 부족한 영세한 의료기관으로서는 난감할 수 밖에 없다.

의료정보 업체인 비트컴퓨터 송인옥 팀장은 "국내 의원급 의료기관 중에서 환자 개인정보 보호를 위해 하드웨어 또는 소프트웨어 환경을 구축한 곳은 10% 미만으로 추정된다"고 밝혔다. 송 팀장은 "의료기관 컨설팅을 해 보면 일선 병의원들이 개인정보 보호에 대해 피부에 와닿도록 느끼는 분위기는 아닌것 같다"고 덧붙였다.

한 보안업체 관계자는 "최근 들어 보안에 대한 의료기관들의 관심이 높아졌지만 실제 시스템 도입으로 이어지는 경우는 드물다"며 "현 상태로라면 병원 한 두 군데가 시범 케이스로 크게 당하는 일이 벌어질 것"이라고 말했다.

뒷짐 진 복지부 "일단 두고 봐야"

분위기가 이러한데도 보건의료 주무부처인 복지부는 별 관심 없는 듯한 태도를 보이고 있다.

보건의료정책과 임대식 서기관은 "현재 구체적으로 논의되고 있는 것은 없다"면서 "일단은 두고 보아야 할 것 같다"고 말했다. 그는 "의료법과 상충되는 부분이 있다면 보완해야 하지 않겠느냐"며 "아직 이렇다할 (보건복지부의) 방향이 없기 때문에 여러가지 의견을 수렴하고 있는 단계"라고 밝혔다.

복지부의 이같은 안일한 태도에 일선 병원은 울분을 감추지 못하고 있다. 익명을 요구한 국내 대학병원의 한 관계자는 "지금까지 개인정보 관련 세미나, 공청회 같은 곳에 수도 없이 참석해 보았는데 거의 다 행정안전부·방통위 주관이었다"며 "의료기관과 관계된 이야기는 당연히 나오지 않았다"고 지적했다.

그는 "행안부가 개인정보 보호법을 만드는 동안 복지부는 거의 손을 놓고 있었던 것"이라며 "병원은 복지부 관할인데 자기들은 모르겠다고 하면 기준을 누가 잡아주나?"고 목소리를 높였다.
 

지난해 병원들이 경찰 수사를 받게 된 것도 따지고 보면 복지부 책임이라는 주장이다. 정통망법 시행규칙이 개정된 이후 뒤늦게 복지부가 배포한 '의료기관 개인정보보호 가이드라인'이 그나마도 제 구실을 못했기 때문이라는 것이다.

의료현실 맞는 법·지침 시급

전문가들은 의료 정보 분야에 특화된 법규가 만들어져야 한다고 입을 모으고 있다.

이미정 교수는 "정통망법이나 개인정보 보호법에 의료분야만 따로 언급하는 것은 법 체계상 맞지 않고, 기존 의료법을 수정·보완 하는 것도 기술적으로 어려울 것 같다"며 "의료정보 보안 및 활용에 대한 별도의 법을 만드는 것이 가장 현실적인 방안일 것"이라고 말했다.

이재호 교수는 "정보를 제대로 활용하지 못하게 규제하거나 동의 절차 등 프로세스를 복잡하게 하면 할 수록, 결국 국민의 권리와 이익 증진이라는 법의 목적 자체와 멀어지게 된다"며 "의료현실에 특화된 개별법, 최소한 지침 정도라도 서둘러 나와 주어야 한다"고 강조했다.

이경권 변호사(분당서울대병원 법무전담교수)도 "독립 법이든 기존 법의 수정·보완이든 법의 형식보다는 담기는 내용이 중요하다"며 "현재 일선 병원들이 가장 필요로 하는 것은 매우 상세하고 실용적인 업무 매뉴얼"이라고 지적했다.

현재 대한병원협회가 의료기관 정보관련 업무 매뉴얼을 개발 중이며, 5월 중 1차 발표가 있을 예정인 것으로 알려졌다.

지금 당장 실행에 옮겨야

특히 이 변호사는 "정보 관련 사고의 70%는 해킹 등 외부 요인이 아니라 조직 내부에서 발생하는 것"이라고 일침했다. 공개돼선 안되는 정보가 담긴 서류를 발급해주거나, 경찰이 요구한다고 아무 정보나 함부로 알려주는 등 법에 저촉되는 행위임에도 현장 실무자들이 모르고 있는 경우가 다반사라는 것. 그는 "의료기관내 보안 관련 업무 종사자들이 해도 되는 것과 해서는 안되는 것을 명확히 구분해 숙지하고 있어야 한다"고 강조했다.

구태언 변호사는 의료기관 대표의 인식 변화가 우선이라고 지적했다. 그는 "가장 보안상태가 철저한 금융기관도 해커에 당할 정도로 정보유출을 시스템적으로 100% 막는 것은 사실상 불가능하다"면서 "법에서 요구하고 있는 사항 중에서 실천 가능한 부분부터 당장 실행에 옮겨야 한다"고 강조했다.

의원급 의료기관의 경우 기본적으로 업무용 컴퓨터와 개인용 컴퓨터를 분리해서 사용하고, 환자 대기실에 인터넷 접속이 가능한 PC를 설치하는 것은 피할 필요가 있다는 충고다.

업무용 PC에 담긴 환자 데이터를 암호화하는 소프트웨어적인 조치도 바람직하다. 비트컴퓨터 송인옥 팀장은 "의원급 의료기관 수준에 맞는 보안솔루션 도입을 신중히 고려할 필요가 있다"면서 "조금만 신경 쓰면 소잃고 외양간 고치는 우를 범하지 않을 수 있다"고 말했다.

한동석 대한의사협회 정보통신이사는 "일선 의료기관들이 정통망법이나 개인정보보호법을위반해 피해를 입는 경우가 없도록 대회원 교육·홍보에 집중할 것"이라고 밝히고 "정부 지침이나 법률 제개정 때 의료계의 입장이 충분히 반영되도록 최선을 다하겠다"고 다짐했다.


개의 댓글

0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음