건강을 위한 바른 소리, 의료를 위한 곧은 소리
updated. 2024-03-29 21:36 (금)
시론 개인정보 보호법 시행…의료기관 대책은?
시론 개인정보 보호법 시행…의료기관 대책은?
  • Doctorsnews admin@doctorsnews.co.kr
  • 승인 2011.10.14 09:43
  • 댓글 0
  • 페이스북
  • 트위터
  • 네이버밴드
  • 카카오톡
이 기사를 공유합니다

▲ 김남현(연세의료원 의료정보실장 개인정보보호책임자)

9월 30일부터 새로운 개인정보 보호법의 효력이 발생됐다.

이 법 이전에도 의료기관은 이미 2009년 7월부터 정보통신망법의 준용기관으로 지켜야 할 규정이 있었으므로 의료기관들이 그동안 정보통신망법을 잘 준수해왔다면 크게 문제가 될 것은 없지만 현실적으로는 완벽한 준비가 이루어지지 않은 것이 사실인 듯하다.

또한 의료기관은 진료라는 본연의 목적 달성을 위해 다양한 데이터를 종합적으로 검토해야할 필요성이 있으며 개인정보 보호법 자체가 의료기관에 특화된 법이 아니므로 몇 가지 이슈에서는 관련법들과 이해가 상충되어 현장에서의 혼란을 더욱 증폭시키고 있기도 하다.

이 글에서는 개인정보 보호법의 입법 취지에 부합하도록 의료기관이 최우선으로 이행해야할 사항에 대한 조언과 함께 의료기관이 봉착한 문제점과 그 대책을 간단하게 언급하고자 한다.

의료기관, 환자정보 보호 의지는 환자신뢰 제고

첫째, 개인정보 보호법에 따른 동의를 받는 것이 왜 중요한가?

의료기관의 개인정보 보호법 준수를 위한 첫 걸음이자 최우선 관리대책은 의료기관의 서비스 제공을 위해 수집 및 이용이 필요한 개인정보의 항목과 그 목적, 그리고 보유기간에 대하여 환자에게 고지하고 동의를 득하는 일이다.

이는 환자 스스로 정보의 주체로서 정보제공의 동의를 거부할 권리가 있다는 사실과 함께 그에 따른 불이익의 내용 또한 같이 고지함으로써 개인정보 처리 결정에 자율성을 부여하는 것으로 개인정보 보호법의 핵심 내용이라 할 수 있다.

따라서 의료기관은 진료 등 의료서비스 제공을 위해 반드시 수집이 필요한 정보를 구분하여 그 필요성을 전달하고 "○○외, □□등"과 같은 모호한 표현을 자제하여 문제의 소지를 최소화 하는 것이 유리하다.

이 법이 비록 주민등록번호와 같은 고유식별정보나 건강에 관한 민감정보의 수집 자체를 제한하는 것을 원칙으로 두긴 하지만 동시에 의료법 및 동법 시행규칙에 근거하여 주민등록번호, 병력 및 가족력 등 진료과정에서 필수적인 정보들은 다룰 수 있도록 규정하고 있으므로 의료법상 명기된 항목에 있어서는 별도의 동의가 필요치 않으며 그 외의 처리에 있어서는 의료기관이 환자에게 이러한 사항을 알리고 환자의 동의를 구하면 된다.

그러나 현실적으로 동의서를 받아야 하는 원무창구에서는 기존에 정보통신망법에 의해 동의를 받은 환자들에게도 개인정보 보호법에 따라 고유식별정보의 처리 등에 대한 별도의 동의를 구해야 하는 번거로움이 있으며 이에 따른 직원들의 반발 역시 만만치 않은 것 또한 사실이다.

동의서의 세세한 내용을 설명하고 답변하는 과정에서 창구가 혼잡해지고 그렇지 않아도 몸이 불편한 환자들의 대기가 길어지거나 법의 취지를 이해하지 못하는 환자들의 불만 제기가 늘어나는 등 혼란이 발생할 가능성도 있다.

필자 또한 병원의 개인정보 보호책임자로서 이러한 고충은 충분히 이해하지만 그럼에도 불구하고 의료기관이 스스로 앞장서 개인정보 보호법의 입법 취지를 이해하고 현업의 직원들이 이를 환자에게 친절하게 안내할 수 있도록 독려하여야 한다는 소신을 갖고 있다.

이는 개인정보 보호법이 피해갈 수 없는 법률적 규제로 존재하기 때문이기도 하지만 더 중요한 것은 환자의 개인정보를 보호하는 것에 소홀하지 않는다는 의료기관의 의지를 보여줌으로써 보다 바람직한 환자와의 신뢰관계를 구축할 수 있고 이는 의료기관의 미래 발전에 있어서도 큰 힘이 될 것이기 때문이다.

반면교사가 되길 바라며 고백하건대 부끄럽게도 필자가 몸담은 의료기관 역시 환자의 개인정보 수집 시 동의를 받는 노력을 소홀히 했던 탓에 정보통신망법에 저촉되어 올해 5월 기소유예 처분을 받았지만 이를 전화위복의 계기로 삼아 더욱 확고한 개인정보 보호원칙을 세우게 된 바 있다.

의료기관이 정보화의 혜택에 힘입어 진료의 정확성 뿐 아니라 경영 행정 효율의 향상, 연구의 활성화 등을 누리고 있는 반면 그 개별 정보의 가치나 정보를 제공한 주체의 권리보호는 간과하고 있는 것은 아닌지 성찰이 필요한 시점이다.

의료법과 충돌문제는 의료법 일부개정으로 풀어야

둘째, 개인정보 보호법 시행에 따른 의료법과의 충돌은 어떻게 할 것인가?

면밀하게 짚으면 여러 가지 이슈가 있겠지만 그 중 개인정보 보호법 제21조 제1항의 '개인정보 파기' 조항과 의료법 및 동법 시행규칙 제15조 제1항에서 명시하고 있는 '진료에 관한 기록의 보존' 기간의 문제를 거론할 수 있다.

개인정보 보호법은 보유기간의 경과, 개인정보의 처리 목적 달성 등의 시점에 지체 없이 그 개인정보를 파기하도록 정하고 있으며 의료법은 진료기록부의 보존을 10년으로 규정하고 있으므로 해당 기간 이후 진료기록부에 기재된 개인정보의 보존 문제는 논쟁의 여지가 있다.

이 문제는 최소한 해당 기간 동안은 진료기록을 보관해야 한다는 의료법의 취지에 입각하여 판단할 때 환자 주체 또는 공공의 이익을 위 명백한 사유에 의해 보유 기간을 확장할 수 있도록 의료법을 일부 개정하는 방향이 바람직할 것이다.

주민등록번호를 비롯한 개인정보와 법적으로도 각별한 처리를 규정한 민감정보인 의료정보를 필연적으로 취급해야 할 의료기관에서의 정보보호의 중요성은 아무리 강조해도 지나침이 없다.

나 자신의 개인정보·금융정보·의료정보의 중요성을 인식하고 개인정보 유출 사고를 우려하는 것과 같은 수준으로 환자의 정보를 대한다면 새로운 법의 시행에 당황하거나 저항하는 시행착오는 필요 없을 것이다.

최소한의 정보를 수집하되 관련 사실을 사전에 고지하고 적법한 동의 절차에 준한다는 대원칙부터 지켜나가는 것이 중요하다. 이는 고가의 보안장비를 구입하는 것보다 훨씬 비용이 적게 들고 효과가 클 뿐 아니라 엄중한 법의 처벌을 회피할 수 있는 가장 좋은 방법이며 병원의 고객인 환자들에게 신뢰를 높여 병원의 발전에 기여하는 지름길이기 때문이다.

그런 다음 의료라는 특수성으로 인하여 논란이 되고 있는 사안들을 개별법에서 신속하게 보완해 나가면 된다. 물론 환자와 의료기관, 그 종사자가 최대한 만족할 수 있도록 충분한 의견수렴 과정이 반영된 성숙한 입법이어야 할 것이다.


개의 댓글

0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음