개인정보보호법 9월 30일 시행…의료계 전전긍긍
의료법이 우선 "관리 정보 파악 등 조치 이뤄져야"
Cover Story
네이트 데이터베이스에 저장된 가입자의 아이디와 비밀번호는 물론 이름·주민등록번호·연락처까지 해킹된 것으로 알려지면서 회원 탈퇴신청이 봇물을 이뤘다. 3500만 명 분량에 이르는 정보가 알 수 없는 곳으로 새어 나갔다는 소식에 많은 누리꾼들이 불안해 했다.
9월 30일 전면 시행에 들어간 개인정보 보호법은 어떻게 하면 네이트 사례와 같은 유출 사고를 막을 수 있겠는가에 대한 국가 차원의 답이라고 볼 수 있다. 주무부처인 행정안전부는 "대한민국 국민이 4천만 명인데, 지난해 개인정보 피해 사고는 1억 건 이상 발생했다"면서 법을 만들게 된 배경을 밝혔다.
이 법을 두고 의료계는 요즘 뒤숭숭하다. 의료기관이 환자정보를 어떻게 보호할지에 대한 개념 자체가 생소하기 때문이다. 포털사이트와 일반기업체 등과 다른 특성을 갖는 의료기관의 환자정보 수집 관행이 고민거리로 떠올랐다.
최영진 을지대 교수(의료경영학과)는 9월 23일 열린 한국병원경영학회 추계학술대회에서 개인정보 강화정책 추진 현황과 병원계에 미치는 영향을 주제로 발표, 준비 과정에서 느낀 분위기를 이렇게 진단했다.
"현재 굴지 대형병원 서너 곳을 제외하고는 의료기관들이 개인정보보호법에 어떻게 대비하고 있는지 정확한 상황 파악조차 할 수 없다. 정보보호 활동이 전무한 것은 아니지만 보안책임자를 선정하고 관리대상 정보를 파악하는 등의 관리 조치가 우선적으로 이뤄져야 할 것으로 보인다."
법 시행이 눈 앞에 다가온 시점에 마련된 이날 학술대회는 벙어리 냉가슴을 앓고 있던 병원 정보보안 관계자들이 그 동안의 고충을 털어놓는 성토의 장이 됐다. 개인정보 강화 정책에 대한 병원계 대응 전략을 논하기 위한 자리였지만 이렇다할 대책은 나오지 않았다.
"기본적으로 의료 현실을 무시한 법이다", "보건복지부가 의료기관 대상 별도 지침을 내놓을 때까지 기다리자", "애초 시행 대상에 병·의원을 포함시킨 것 자체가 실수"라는 등의 불만이 줄을 이었다.
특히 지난해 9월 정보통신망이용촉진 및 정보보호 등에 관한 법률(이하 정통망법) 위반 혐의로 방배경찰서에서 수사를 받는 등 '악몽'을 겪은 병원의 경우 불안감은 더했다.
대형병원 9곳이 기소유예 처분을 받으면서 사태는 일단락됐지만 보다 강화된 정보보호법 등장으로 '언제 다시 경찰로부터 호출 받을지 모른다'는 경계심이 팽배한 상황이다.
김남현 연세의료원 의료정보실장(의학공학교실)은 "조사를 받을 때 환자 주소도 중요하다고 (경찰 쪽에서) 강조했다. 병력 등의 의료정보를 모두 암호화해 이를 처리하다보면 시간이 지체돼 환자수가 반으로 줄어들 것"이라며 "악법도 법이니 지켜야겠지만, 최소한 해야 할 게 무엇인지 고민해야 할 시점"이라고 말했다<김남현 교수 시론 35면>.
"이용 동의서 서명 못하겠다" 버티는 환자에 난감
대한병원협회는 법 시행에 따른 이해 및 준수사항에 대한 설명과 실제 의료현장에서 발생하는 정보 보호 사례를 다룬 '의료기관 환자정보보호 매뉴얼' 제작 작업에 착수했다.
이미 지난달 20일 병원 전산담당자 등을 대상으로 설명회를 열고 매뉴얼 내용을 발표했지만 협회 안에서도 이견이 첨예해 수정을 반복하고 있는 상태다. 병협 관계자는 "골자는 정해졌는데 자세한 가이드라인을 정하는 과정에서 현실가능성이 없다는 판단 때문에 몇 번이나 내용을 다듬고 있다"고 귀띔했다.
병원급 이상 의료기관과 더불어 개인정보 보호 의무를 지니지만, 법률에서 요구하는 보안시스템 및 암호화 등의 작업이 현실적으로 수행 불가능한 개원가에서는 적극적인 대응이 어려운 실정이다.
서울의 한 비뇨기과 원장은 "개인정보 보호법 때문에 병원에서 이용 동의서를 받는데, 그거 못하겠다고 버티는 환자 분들도 더러 있다"면서 "그럴 때는 진료를 보지 말아야 하는지 난감하다"고 털어놨다.
윤형선 인천계양 속편한내과 원장은 환자 생일에 축하 메시지를 보내주거나 재검진 시기를 SMS를 통해 알려주는 업무를 담당하는 CRM(고객관계 관리) 회사의 권유로 법 시행에 맞춰 정보보호 관련 문구를 삽입한 케이스다.
윤 원장은 "초진 환자나 오랜만에 병원을 내원한 환자를 대상으로 하는 진료상황 기록부에 개인정보보호법 관련 안내문구를 넣었다"며 "해당 정보를 SMS로 받을지 동의 여부에 대한 승낙/거부를 표시할 수 있게 한 것도 전에는 없던 변화"라고 했다.
"차분히 준비…더 이상의 굴욕은 없다"
대표적으로 법이 발효되기 수년 전부터 전담 TF를 가동, 각종 체제를 정비해온 것으로 병원계에서 소문난 서울아산병원의 사례를 소개한다.
병원은 2008년 전자의무기록위원회 산하 정보보호 및 보안 소위원회를 구성, 2009년부터 의료정보실 산하 3개 팀(정보운영·관리·개발)·보안관리팀·e-med팀·원무팀 등 관련 6개 부서가 참여하는 PNS(Privacy and Security)팀으로 확대시켜 운영해왔다.
개인정보보호 관리체계에 대해서는 지난해 8월 국제표준 인준(ISO27001)을 획득하고, 전문 컨설팅을 받아 ▲계정 및 패스워드 관리 ▲접근권한 관리 ▲외부자 개인정보 이용 ▲동의 및 동의철회 ▲정정 등 24가지 항목으로 구성된 내부 지침을 만들었다. ISO27001은 인준 6개월 마다 사후 심사를 받고 3년에 한 번 재심사를 받아야 유지가 가능하다.
이번 법 시행과 관련해서는 동의서 양식을 규정에 맞게 다듬는 개정과 보안시스템을 체계화하는 작업이 이뤄졌다. 글로벌 표준의 개인건강정보 보호 및 보안관리 체계 운영과 개인건강정보가 보호되는 병원 문화를 선도적으로 구축한다는 목표다.
입소문을 타고 최근 서울아산병원에는 몇몇 중소병원으로부터 정보 활용 동의서 양식을 보내줄 수 없냐는 문의 전화가 빗발치고 있는 것으로 전해졌다.
실무를 담당한 유현정 의료정보운영팀 선임은 "정보보호 TF가 조직된 이래 가장 먼저 한 일이 정책 관련 지침을 만드는 일이었다"면서 "2주에 한 번씩 전체 직원들에게 뉴스레터를 발송하고, 신입직원 교육에 활용하는 등 홍보에도 주력했다"고 말했다.
정통망법 위반으로 기소유예를 처분 받은 일은 앞으로 없을 거라는 입장이다. 유 선임은 "당시 동의서는 준비해두고 있었는데 아무데서도 하지 않으니까 눈치를 봤던 것 같다.
열심히 준비해왔다는 걸 보여주는 게 아예 하지 않은 것보단 훨씬 낫다는 걸 깨달았다"면서 "다른 병원들도 눈치만 보지 말고 개별적인 상황에 맞게 준비해야 할 것"이라고 조언했다.
단일 의료기관으로서는 이례적으로 '정보보호의 날'을 제정, 직원 평점에 반영해 개인정보 보호에 대한 인식을 고취시키고 있는 점도 눈에 띄는 대목이다. 병원은 이달 10일 동관 대강당에서 전 직원을 대상으로 '제3회 아산 정보보호의 날' 행사를 개최했다.
행사에는 개인정보보호법 시행에 따른 준비사항을 주제로 차건상 행정안전부 전문위원과 구태언 변호사가 연자로 초빙됐다.
김우성 서울아산병원 의료정보관리실장은 "앞으로도 지속적인 교육과 다양한 활동을 통해 직원들의 정보보호 및 보안 의식을 높이고, 건강정보 보호 문화를 확산시켜 더욱 신뢰받는 의료서비스를 제공하도록 노력하겠다"고 강조했다.
<표>의료법 우선적용 원리
| 개인정보보호법 < 의료법 | |||
예외조항-제6조(다른 법률과의 관계제15조(개인정보의 수집·이용) |
-다른 법률에 특별한 규정이 있는 경우 -정보 주체(환자)와의 계약 체결 및 이행(진료서비스)을 위해 불가피하게 필요한 경우 |
제22조(진료기록부 등)·제23조(전자의무기록) 등 | 의료인이 진료기록부 등에 의료행위에 관한 사항과 의견 등을 상세히 기록하고 이를 전자문서로 작성·보존토록 의무화 |
진료 목적 정보수집 '합법', 2차 활용 동의 얻어야
그렇다면 개인정보보호법 시행에 따라 의료기관이 우선적으로 체질을 개선해야 할 부분은 무엇일까. 현재 의료계에서 가장 헷갈려 하는 부분은 환자정보를 활용하는 데 있어서 동의를 구하기 위한 동의서 작성과 식별정보에 대한 암호화 처리 여부다.
그 범위와 규정의 방대함으로 말미암아 혼란이 가중되는 양상이다.
개인정보보호법은 공공기관 및 민간기업·비영리기업·단체·개인으로 대상을 확대하고 있다. 이전까지 공공기관은 공공기관 개인정보보호법, 여행사와 백화점 등 준용사업자는 정보통신망법, 신용정보 제공 및 이용자는 신용정보법 등 분야별 개별법이 있는 경우에 한해 개인 정보 보호의무가 적용됐지만 정보처리를 다루는 모든 기관으로 적용을 넓힌 것이다.
법리적 관점에서 이를 해석하면 의료법과 상충되는 문제가 비교적 간단히 해결된다. 두 법을 비교할 때 개인정보보호법은 일반법, 의료법은 특별법에 해당한다.
전자 제6조(다른 법률과의 관계), 제15조(개인정보의 수집·이용)에서 '다른 법률에 특별한 규정이 있는 경우'를 예외로 한다고 규정하고 있어 의료인이 진료기록부 등에 의료행위에 관한 사항과 의견을 상세히 기록하고 전자문서로 작성·보존토록 의무화하고 있는 의료법이 우선시된다.
따라서 의료법에서 명시하지 않은 동의 또는 암호화는 기본 정보를 처리하는 과정에서 고민할 필요가 없다는 게 중론이다.
강요한 대학병원법무담당자협의회장(중앙대병원 원무팀)은 "어떻게 보면 법에 대한 이해가 부족해 벌어진 해프닝이다. 개별 병원에서 그들이 마음껏 획득할 수 있는 정보가 뭔지 모르고 있다는 게 문제"라면서 "선택진료에 관한 규칙 등을 면밀히 검토하고 참조한다면 크게 긴장할 필요가 없다"는 견해를 밝혔다.
그러나 의료법에 나와 있지 않은 환자 연락처·이메일 주소 등을 수집하거나 진료 이외의 목적으로 정보를 활용하고자 할 경우에는 동의 절차가 요구된다. 가령 성형외과에서 환자들의 성형 결과를 사진으로 촬영, 병원 홈페이지 '성공 사례'로 게시하는 경우 사업자는 개인정보를 수집할 때 정보주체에게 수집·이용목적을 고지하고 동의를 얻어야 한다.
만약 수집한 개인정보를 별도의 고지·동의 절차 없이 홍보 목적으로 임의 사용하면 이는 '개인정보의 목적 외 이용행위'에 해당, 위반 사유가 된다.
은상용 대한의사협회 정보통신이사는 "무작정 동의서를 받기 시작하면 의사들은 또 하나의 족쇄를 차는 셈이 된다. 환자정보를 중요하게 다뤄야 하는 건 분명하지만 꼭 받아야 하는 경우와 그렇지 않은 경우는 구분해야 할 것"이라며 "관련 사항을 보건복지부에 질의한 상태인데, 답변이 오는 대로 회원들의 혼란을 최소화할 수 있는 동의서 양식 등을 확정해 발표하겠다"고 말했다.
"정통망법이나 개인정보 보호법이 발의되기 전부터 환자정보 보호에 좀 더 신경 써야 한다는 생각을 갖고 있었다.
외래를 볼 때 환자이름을 실명으로 표기하는 관행도 최근에야 부분적으로 가리는 등의 조치가 취해진 게 아닌가. 법 때문이 아니라, 민감한 정보를 다루는 직원들의 마인드부터 달라져야 병원 문화가 바뀔 수 있다고 본다."
법에서 규정하고 있는 암호화 등의 작업으로 대기시간이 지연되고 환자 불편이 초래될 거라는 우려도 있는데.
"의료기관 종사자들이 흔히 갖고 있는 잘못된 인식 가운데 하나가 의료정보는 가용성이 있어야 하기 때문에 보안에 크게 신경 쓸 필요가 없다는 것이다.
암호화는 범위가 정해져 있어 시스템상 보완을 거치면 충분히 실현할 수 있다. 단 의료기관의 특성을 세밀하게 고려한 건강정보보호법이 별도로 제정돼야 할 필요성은 있다. 병원에 있는 정보가 다 민감정보인데 이번 법 추진과정에서 보건복지부가 지나치게 방관한 측면이 없지 않다."
환자정보에 대한 평소 철학이나 이번 법 시행과 관련해 의료기관 관련 담당자들에게 한마디 한다면.
"법은 죄가 없다. 법을 상황에 맞게 적용하는 건 의료기관의 몫이다. 우리 같은 대형병원이야 내부 동력으로 변화를 꾀할 수 있지만, 소규모 로컬의 경우 의협 등 의사단체 차원에서 도움을 주고 해결해나가야 할 부분이 있다고 본다.
가용성과 보호 개념을 별개로 보지 말고, 정보를 안전하게 보호하고 있다가 필요할 때 적절히 서비스할 수 있어야 한다는 생각으로 대비하기 바란다. 의료계에서 두 가지 개념을 같이 갖고 가야 하는데 그 동안은 보안 개념이 뒤처지는 경향이 있었다.
왜 국내 대기업 총수들은 한국을 놔두고 외국 유수 대학병원을 주로 이용할까. 앞으로는 환자가 다녀가도, 흔적을 남기지 않는 병원이 성공할 것이다."
