의료정책포럼
 
객원 연구원 공고 ........ [2017-01-11]
초빙(특임) 연구위원 ... [2017-01-11]
2017년 정유년 새해 .... [2017-01-02]
 
 
의료기관의 개인정보 보호의 현황과 향후 개선방안 / 황 지 환
 
<편집자 주> 행정자치부가 작년 10월 말에 의료기관의 개인정보보호법 위반을 적발하고 총 1억여 원의 과태료를 부과했다. 대규모 수익사업을 하는 곳이 아닌 의료기관으로서는 정부의 이러한 단속이 부담되는 일이다. 개인정보보호법에 위반되지 않도록 시스템 구축을 위한 자금조달도 부족하며, 의료기관이라고 해서 정부자금을 더 지원받을 수도 없는데 개인정보를 처리해야 하는 시스템을 완벽하게 구축하는 것은 불가능하다는 현장의 목소리도 있다. 현재 의료기관의 개인정보보호 현황과 향후 개선방안을 알아보고자 한다.
 

1.들어가며

2008년도에 정보통신망이용촉진 및 정보보호 등에 관한 법률 시행규칙이 개정되면서 개인정보 보호 필수기관에 의료기관도 포함되기 시작했고, 이어 2011년도 9월에는 개인정보보호법이 국회를 통과하면서 여타 업종에 비해 민감한 개인정보를 많이 취급할 수 밖에 없는 의료기관의 개인정보 관리가 뜨거운 감자가 되기 시작했다.
2013년에는 약국 청구 프로그램인 PM2000을 이용하여 약학정보원이 환자 처방 정보를 불법적으로 유출시킨 사건이 발생하였으며 이를 계기로 2015년 8월에는 개인정보범죄 정부합동수사단이 환자 진료・처방정보 불법 수집과 관련해 기소 방침을 발표했다. 이에 대한 후속조치로 행정자치부와 보건복지부는 건강보험심사평가원을 통해 전국 요양기관의 개인정보보호 책임자들을 대상으로 자율점검 교육을 실시하겠다고 발표했다.
2015년 이후 매년 실시 중인 요양 기관 개인 정보 자율 점검 및 자가 점검은 초기 단계의 혼선과 불편함으로 일선 의료 기관으로부터 상당한 불만을 사는 등의 진통을 겪으면서 진행 중이나 최근 행정자치부 측에서 법령 근거가 미약한 건강보험심사평가원 주도의 자율 점검 대신 자율 규제 단체 선정을 위주로 하는 개인정보보호법 개정을 추진하고 있어 또 다른 변화를 예고하고 있다.
2016년 10월에는 행정자치부가 병원급 의료기관 위주로 개인정보 보호 관련 현장 실사를 벌여 막대한 과태료 등을 부과한 바 있어 일선 의료기관의 부담이 더 가중되고 있는 실정이다.
이에 개인정보 보호 관련 현황과 향후 개선 방안을 살펴보고자 한다.


2. 의료기관 개인정보 보호 강화 연혁 및 현황

1) 정보통신이용촉진 및 정보보호 등에 관한 법률 개정

2010년 9월 서울지역 대형 종합병원 10곳이 경찰의 수사를 받았다. 환자의 개인정보를 동의 없이 수집하고 보관하여 정보통신망이용촉진 및 정보보호 등에 관한 법률(이하 정통망법)을 위반했다는 혐의였다. 구체적으로 환자 정보의 이용 목적과 기간 등을 알리지 않은 채 진료신청서를 받고, 신청서에 기록된 개인정보를 전산화해 보관했다는 것이다. 병원에서 환자의 이름과 주민등록번호・주소・전화번호 등을 기록하고 보관하던 업무가 당연하던 시대에서 환자의 동의없이 정보를 수집하는 행위가 갑자기 범죄 취급을 받게 된 시대가 된 것이다.
2008년 정통망법 시행규칙이 개정되면서 ‘개인정보 보호 필수기관’에 통신회사 같은 정보통신서비스 제공자뿐만 아니라 의료기관 등도 확대 포함되면서, 일선 병의원도 환자 개인정보의 수집・이용 목적과 수집 항목, 보유・이용 기간을 알리고 동의를 받도록 의무화되었기 때문이다.
의료법 제22조와 제23조는 의료인이 진료기록부 등에 의료행위에 관한 사항과 의견 등을 상세히 기록하고 이를 보존토록 의무화 하고 있다. 특히 의료법 시행규칙은 진료기록부에 환자의 이름과 주민등록번호・주소 등을 정확히 기록하도록 명시하고 있다. 환자의 동의를 구하라는 조항은 들어 있지 않다. 병원 입장에선 의료법과 정통망법, 어느 장단에 춤을 춰야 할지 난감하다는 불만이 터져 나왔다.


2) 개인정보보호법 제정

2008년 8월에 당시 행정안전부는 국가사회 전반을 규율하는 개인정보 보호원칙과 개인정보 처리기준이 부재하고, 개인정보 보호 관련법의 적용을 받지 않는 개인정보 보호의 사각지대가 발생할 뿐만 아니라 개별법률 간 처리기준이 상이해 혼란을 야기하고 있으며, 개인정보의 유출, 오・남용 등 개인정보 침해사례가 지속적으로 발생함에 따라 국민의 프라이버시 침해는 물론 명의도용・전화사기 등 정신적・금전적 피해를 초래하고 있기 때문에 새로이 국가 차원의 개인정보보호법을 제정하겠다고 입법 예고하였다.
2010년 국내 유명 포털 사이트의 데이터베이스에 저장된 가입자의 아이디와 비밀번호, 이름, 주민등록번호・연락처까지 해킹되어 3500만 명 분량에 이르는 정보가 유출되는 사고가 발생하였고 개인정보보호법안은 급물살을 타고 통과되었다.
개인정보보호법은 적용대상을 공공과 민간 구분 없이 모든 개인정보 처리자로 규정하고, 전자적으로 처리되는 개인정보는 물론 일반 문서까지 개인정보의 보호범위에 포함했다. 개인정보의 수집・이용・제공 등 단계별 보호기준을 마련, 정보주체의 동의나 법률의 규정이 있는 경우 등 일정한 기준에 해당하는 경우에도 정보주체에게 일정 사항을 알린 후 개인정보를 수집・이용하거나 제공할 수 있도록 했지만, 개인정보를 수집하거나 이용해 목적을 달성해 불필요하게 된 때에는 지체 없이 파기하도록 규정했다. 개인정보의 수집・이용, 제공, 파기에 이르는 각 단계별로 개인정보처리자가 준수해야 할 처리기준을 구체적으로 규정, 안전한 처리가 이뤄지도록 의무화했다. 주민등록번호 등 법령에 의해 개인을 고유하게 구별하기 위해 부여된 고유식별정보는 원칙적으로 처리를 금지했으나, 별도의 동의를 얻거나, 법령에 의한 경우 등 제한적으로 예외를 인정했다.
당시 의료계에서는 “의사 입장에선 환자로부터 많은 정보를 얻을수록 치료에 도움이 되는데 최소한의 정보 수집이라는 개념 자체가 의료와는 전혀 맞지 않는 것”, “기본적으로 의료 현실을 무시한 법”, “애초 시행 대상에 병・의원을 포함시킨 것 자체가 실수”라는 등의 불만이 줄을 이었다.


3) 개인정보보호법 관련 주요 준수 사항

일선 의료기관은 개인정보처리방침을 수립, 출력하여 환자들이 열람할 수 있도록 진료접수창구에 비치해야 하고, 홈페이지를 운영하는 병・의원은 홈페이지에도 개인정보처리방침을 게시해야 한다. 진료 목적 외에 병・의원 홍보나 학술정보 안내서비스를 환자에게 이동통신 수단이나 인터넷 등을 이용해 제공하려면 보다 강화된 개인정보처리방침을 작성, 비치해야 하고, 환자로부터 개인정보 수집 및 활용 동의서를 반드시 받아야 한다.
개인정보처리자는 개인정보가 분실・도난・유출・변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적・관리적 및 물리적 조치를 해야 하며한다. 이를 위해 개인정보의 안전한 처리를 위한 내부 관리계획의 수립・시행(상시 근무인원 6인 이상부터 해당), 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치, 개인정보를 안전하게 저장・전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치, 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조・변조 방지를 위한 조치, 개인정보에 대한 보안프로그램의 설치 및 갱신, 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치를 해야 하고, 수기 기록을 사용하고 있는 의료기관은 개방형 보관함에 잠금장치를 설치하거나 잠금 장치가 구비된 별도의 차트보관실을 확보해야 한다.
그 외에 개인정보보호책임자를 지정해야 하고, 개인정보를 열람할 수 있는 담당자를 최소한으로 지정해 열람기록 및 권한부여・변경・삭제 기록을 보관해야 하며, 내부직원에 의한 개인정보 유출을 방지해야 하는 의무도 지게 된다.
다만 현행 의료법은 진료 목적을 위한 환자의 개인정보를 수집하도록 규정하고 있고, 환자 정보는 5년, 진료기록은 10년 동안 보관하도록 의무화 하고 있으며, 의료법 시행규칙에 환자의 주소, 성명, 주민등록번호, 병력, 가족력을 수집할 수 있도록 명기돼 있기 때문에 별도의 환자 동의 없이 진료 예약, 진단, 검사 결과 통보, 증명서 발급 등을 할 수 있다. 의료법 시행규칙에 명기돼 있지 않은 전화번호와 이메일의 경우 진료 목적을 위해 불가피한 경우 환자의 동의없이도 수집할 수 있다는 유권해석을 받은 바 있다.
또한 국민건강보험법에 따라 건강보험 요양급여 청구를 위해 요양기관이 건강보험심사평가원에 환자의 주민등록번호등 개인정보가 포함된 요양급여비용명세서를 제출하는 경우에도 환자에게 제3자 제공 동의를 받을 필요가 없다.


4) 건강보험심사평가원의 개인정보보호 자율 점검 및 자가 점검

2013년 대한약사회와 한국제약협회가 출자한 약학정보원이 환자 건강정보 약 300만 건을 불법 유출한 혐의로 서울중앙지검의 압수 수색을 받았다. 검찰은 약학정보원이 약국의 처방 관리 프로그램 PM2000을 통해 처방전 내용을 중앙서버로 축적한 뒤 한국IMS헬스에 넘겼다고 밝혔다. 또한 의사 1201명을 포함한 일반 국민 2102명은 환자정보 유출 사건 이후 대한약사회와 약사회 산하 재단법인 약학정보원, 한국IMS헬스 등 3곳을 상대로 위자료 청구소송을 2014년 2월 제기했는데, 청구한 위자료만 54억500만원으로 약사회와 약정원은 민형사 재판결과에 따라 큰 타격을 입을 수 있으며, 약학정보원은 약사회 출연기관으로 약사회장이 약학정보원장을 임명하기 때문에 환자 정보를 약사회가 앞장서서 유출했다는 도덕적인 비판에서도 자유롭지 못할 것으로 보인다.
문제는 이와 같은 환자 정보 유출 사태 이후 행정자치부와 보건복지부 측에서 약국뿐만 아니라 일선 의료기관 등 전국 8만 4275개 요양기관 전체에 대해 건강보험심사평가원을 통산 개인정보보호 자율 점검 등을 시행하는 후속 조치를 취한 것이다. 환자 정보 유출 사태 이후 행정자치부와 보건복지부 측에서 약국뿐만 아니라 일선 의료기관 등 전국 8만 4,275개 요양기관 전체에 대해 건강보험심사평가원을 통산 개인정보보호 자율 점검 등을 시행하는 후속 조치를 취한 것이다.
이미 건강보험심사평가원에서는 2014년 8월 개인정보자율점검 지원 모델 개발 및 시스템 구축을 시작했고, 2014년 12월 자율점검 시범 서비스를 실시하였으며, 2015년 8월부터 전국 요양기관을 대상으로 자율점검 서비스를 제공하기 시작했다. 온라인 점검 서비스인 자가 점검의 경우 첫해인 2015년도에는 75,002개의 요양기관이 점검을 신청했고 이 가운데 70,821개 요양기관이 자가점검을 완료했다. 2016년도에는 58,551개의 요양기관이 점검을 신청했고 이 가운데 52,112개 요양기관이 점검을 완료했는데 의원급의 경우 30,290개소 가운데 22,362개 기관이 신청, 73.8%의 신청율과, 20,720개 기관이 완료, 90.6%의 완료율을 나타냈다. 2016년도 자가 점검은 점검 항목을 전년도 59개에서 49개로 줄이고, 입증자료 제출을 간소화했음에도 불구하고, 신청율이 전년도에 비해 떨어진 이유는 자가점검을 매년 시행함을 인지하지 못하였거나 연속적인 자가점검에 대한 피로감 누적 등으로 분석되고 있다.
한편 현장 지원 서비스인 자율 점검은 2015년 4월에 자율점검 서비스 추진단을 구성한 후 2015년 8월부터 12월까지 약 5개월, 2016년 7월부터 11월까지 약 5개월에 걸쳐 시행하였으며, 2015년도에는 56개 기관을, 2016년도에는 신규 53개 기관, 유지 39개 기관 도합 92개 기관에 대한 현장 지원을 시행하였다.


5) 개인정보 자율 점검 제도의 변화 - 자율규제단체 지정

행정자치부는 2016년 8월 개인정보보호 자율규제단체 지정 등에 관한 규정을 제정하여, 민간 개인정보처리자가 자율규제단체를 통해 개인정보보호 활동을 하도록 재촉하고 있다. 2016년 11월 행정자치부는 병원 의료정보화 발전 포럼에서 각 단체별 자체규율을 수립 배포하고, 각 단체별 자율점검을 실시하고, 최약 항목에 대한 이행계획서를 작성, 실행하도록 전제하고 자율규제단체 회원은 행정자치부 현장점검을 제외하며, 개인정보 유출에 따른 행정자치부 현장점검 시 행정처분을 유예하는 등의 인센티브를 제공하겠다고 밝힌 바 있으며, 관련 법 개정도 추진하겠다는 의지도 피력했다.
이에 따라 향후 현재 건강보험심사평가원에서 제공하는 자율점검 서비스가 법적 근거를 상실하여 기존에 오랜 시간과 재원을 들여 구축한 시스템이 휴지조각이 될 것이라는 우려가 제기되고 있다. 반면 각 협회는 건강보험심사평가원이 구축한 정도의 시스템을 각 협회가 독자적으로 새로 구축해야하는 큰 부담을 안게 될 우려도 제기되고 있다.


3. 현재 개인정보보호 자율점검의 문제점과 향후 개선 방향

개인정보보호법이 제정되던 초기에 개인정보를 여타 업종에 비해 월등히 많이 다룰 수밖에 없는 의료기관에 대한 파급력이 클 수밖에 없는 데에도 보건복지부 등이 대처를 선제적으로 하지 못한 점은 매우 아쉽다. 당시 개인정보보호법 예외조항 적용을 받는 언론, 종교단체, 정당 등에 준한 업종으로 지정받는 노력을 했다면 현재 일선 의료기관의 부담은 훨씬 감소했을 가능성도 있다. 그러나 2013년 약학정보원의 환자 정보 대량 유출과 이에 따른 중처벌, 그리고 요양기관 전체에 대한 자율점검 후속조치로 인해 이제는 일선 의료기관들도 어느 정도의 개인정보보호 조치를 정기적으로 자체 시행해야 하는 상황이 되었다.
2회 시행한 건강보험심사평가원 자가점검 서비스가 항목 및 제출자료 축소에도 불구하고 아직 일선 요양기관에서 행정부담을 호소하고 있으므로 소규모 의료기관 등에 걸맞게 점검 항목 등을 대폭 축소 혹은 조정하고, 제출 자료도 보여주기식의 증빙 자료가 아닌 실제 의료기관 등에서 반드시 필요한 자료 위주로 구비하도록 조정할 필요가 있다.
또한 국가에서 강제하는 건강보험 청구 및 청구에 필요한 프로그램 구입 유지 그리고 보안 관리에 대한 비용은 건강보험 및 국가 재정에서 지원함이 당연하므로 향후 건강보험수가 결정 과정에서 정보 관리 및 보안 관련 비용을 충분히 산정해주어야 할 것이다.
문제는 행정자치부 측의 강력한 의지로 현재 자가점검 방식에 또 다른 큰 변화가 예고되고 있다는 점이다. 2년간 산고 끝에 일정 정착한 현재의 자가점검 서비스의 장점과 편리성을 어느 정도 살리면서 각 단체별 자율적 항목 선정 등을 접목할 수 있도록 행정자치부, 보건복지부, 각 의약 단체의 충분한 의견 수렴과 합의가 반드시 필요하다.

 

 

 

 

작성일 :

 2017-01-20

 
 
의료정책포럼 Untitled Document
 

 

2016 제 14권 4호   

전문가 평가제 시범사업의 의미 및 자율규제의 바른 방향성 모색 / 김 봉 천
2017-01-20
 

2016 제 14권 4호   

국민건강 향상을 위한 일차의료 활성화 방안 / 고 병 수
2017-01-20
 

2016 제 14권 4호   

수천년전 한방고서에 나오면 안전하다는 잘못된 믿음 / 한 정 호
2017-01-20
 

2016 제 14권 4호   

생활화학물질 노출에 따른 국민건강 문제에 대한 보건학적 고찰 / 조 용 민
2017-01-20
 

2016 제 14권 4호   

의료기관의 개인정보 보호의 현황과 향후 개선방안 / 황 지 환
2017-01-20
 

2016 제 14권 4호   

공공보건의료지원단의 현황과 시사점 / 고 창 원
2017-01-20
 

2016 제 14권 4호   

한국・미국・호주의 의료취약지 인센티브제도 비교 분석 / 박 지 은
2017-01-20
 
  Untitled Document
 

Untitled Document