#개인정보보호법 시행 5년이 지났지만, 의료현장의 불만의 목소리는 여전히 나아지지 않았다.

경기도병원회 주최, #메디칼타임즈와 (주)드림이앤씨 공동주관으로 26일 아주대의료원 대강당에서 열린 '의료기관 개인정보보호 정책토론회'에서는 의료현장을 비롯해 정보보안업체, 소비자단체, 법조계로부터 개인정보보호법과 관련한 다양한 목소리가 나왔다.

이에 정부는 법률적, 현실적 문제로 제기된 부분의 목소리를 모아 대안책을 마련하겠다는 입장을 전하기도 했다.

◆의료기관 개인정보의 법률적 문제

이번 정책토론회는 '병원급 개인정보보호 이대로 방치할 것인가'를 주제로 진행됐다.

제1주제로 진행된 의료기관 개인정보의 법률적 문제의 주제발표는 구태언 테크앤로 법률사무소 변호사가 맡았다.

구 변호사는 국내 의료 개인정보 보호 실태의 문제점으로 ▲환자 진료·처방정보 불법 수집·판매 ▲환자 동의없는 처방전의 저장은 의료법·개인정보보호법 위반 문제 발생 ▲의료정보의 전산화·상업화로 인한 환자 정보 유출 ▲의료기관 개인정보보호법령 위반으로 형사처벌 가능성 ▲해킹 취약 등을 지목했다.

그는 "의료정보는 일반적인 개인정보 뿐 아니라 전문가 소견 등 생성된 개인정보라는 특수성이 존재한다"며 "의료정보취급기관, 보험자, 고용주, 법행정기관 등 다양한 이용자에 의해 접근이 가능하다"고 밝혔다.

따라서 향후 정부와 의료기관은 원격의료 보안위협 대비 안전성 확보조치 점검, 개인정보보호법 강화에 따른 행자부, 복지부 의료분야 현장점검 지속, 최소한의 개인정보보호 체계 구축을 위한 개인정보보호교육 등이 필요하다는 의견을 개진했다.

패널토의를 맡은 홍화영 보건복지부 보건의료정책과 사무관은 환자 개인정보를 보호해야 하는 측면과 활용해야 하는 측면에서의 정부 역할에 대해 언급했다.

홍 사무관은 "국내 정보 자원이 개인정보보호라는 걸림돌로 충분히 활용되지 못하고 있다는 지적이 있다"며 "다른 한쪽에서는 민감한 환자 개인정보가 불법적으로 유통되면 문제점이 있다는 목소리를 내고 있다"고 말했다.

따라서 정부 차원에서는 개인정보보호가 제대로 지켜줄 수 있도록 자율점검, 교육, 가이드라인을 보급하는 한편, 코호트연구 등에서 비식별정보가 다양하게 활용될 수 있는 두 가지 방안을 함께 고민하고 있다고 덧붙였다.

이와 관련 좌혜선 소비자단체협의회 사무국장은 정부가 추진하려고 하는 빅데이터 산업에 대해 우려의 목소리를 제기했다.

좌 사무국장은 "IMS헬스케어, 약학정보원, 지누스 등의 개인정보유출 사건으로 민·형사 소송이 진행 중"이라며 "피고 측에서 개인정보를 암호화 했다고 했지만, 하버드대학교에서 익명 해제 실험을 했고, 주민등록번호 2만3163개의 암호를 모두 풀었다는 논문이 나왔다"고 지적했다.

이러한 상황에서 정부가 비식별화 가이드라인을 발표하고 건강보험 빅데이터를 누구나 편리하게 이용할 수 있도록 활용하겠다는 것과 관련, 좌 사무국장은 "소비자단체는 법안을 막을 것"이라며 "비식별 조치를 없애기 위한 법안을 만들기 위해 노력할 것"이라고 주장했다.

강요한 드림이엔씨 본부장은 병·의원에 외래환자가 방문할 경우, 1회 방문에 진료 접수 시 건강보험 자격조회, 투약시 DUR, 진료비 청구 등의 과정에서 3번 정도 개인정보 제공이 이뤄지고 있다는 점을 강조했다.

강 본부장은 "이 과정은 의료기관에서 환자 진료 목적이 아닌 보험제도의 효과적인 운영을 위해 도입된 것"이라며 "실질적 이익의 수혜자는 보험자로, 의료기관에 최소한의 보상없이 개인정보보호를 위한 추가적인 투자를 요구하면 안된다"고 밝혔다.

결국 의료기관 내에서 개인정보보호가 이뤄지기 위해서는 국가차원의 검증과 인증이 선행돼야 한다는게 강 본부장의 입장이다.

유혜령 퓨쳐시스템/아이리노테크 부장은 네트워크 보안측면에서 의료 개인정보 보호조치 방안에 대해 설명했다.

유 부장은 "9월 30일부터 민감정보 안전성 확보조치 의무화가 시행된다"며 "병원에서 노출된 정보의 위험요소를 보호하기 위해 VPN을 이용한 암호통신, 무선침입탐지시스템 또는 보안AP 도입, 망분리 기능도입이 필요하다"고 제안했다.

의료기관 개인정보의 법률적 문제와 관련, 좌장을 맡은 이왕준 명지병원 이사장은 "정보보호가 이뤄지지 않은 상황에서 원격의료, 스마트헬스케어 인프라가 구축될 수 있을까 하는 우려가 있다"며 "보안강화를 위해서는 수가책정이 불가피할 것 같다"고 언급했다.

이에 홍 사무관은 "개인정보보호를 위한 수가 책정은 오늘 내일 이야기가 아니다"라며 "수가 책정을 위한 명분은 있지만, 실제 누구에게 얼마를 줘야 하는지 구체적인 레퍼런스가 현장에서 나오고 있지 않다"고 아쉬움을 토로했다.

홍 사무관은 "의협, 병협과 함께 계속 논의하고 있다"며 "이 밖에 의료분야의 사이버 침해를 막기 위한 실시간 병원 네트워크 대응센터 운영 방안도 함께 고민하고 있다는 점을 알려주고 싶다"고 덧붙였다.

◆의료기관 개인정보의 현실적 문제

병원 내 개인정보 유출 사건을 막기 위해 건강보험심사평가원은 요양기관 자율점검 서비스를 진행하고 있는 상태다.

이영곤 심평원 정보통신실 부장은 제2주제인 의료기관 개인정보의 현실적 문제에서 '병원, 개인정보보호관리 이대로 좋은가'에 대한 주제발표를 맡았다.

이 부장은 "5년 전 개인정보보호법이 시행 의료기관에 도움을 주기 위해 자율점검 서비스를 만들었다"며 "지난해 7만5002개의 점검을 마쳤고, 올해 신청한 5만101개에 대한 점검을 진행하고 있다"고 밝혔다.

심평원의 자율점검 서비스는 IMS헬스케어의 개인정보유출 사건이 시발점이 됐다. 앞으로 요양기관 스스로 개인정보보호법 규정을 이해하고 준수할 수 있도록 각 기관의 개인정보관리실태를 자율적으로 파악, 보완할 수 있도록 도움을 주겠다는 취지다.

이 부장은 "지난해와 올해는 8~10월까지 자율점검이 진행됐는데, 내년부터는 2월부터 진행할 것"이라며 "의약단체가 병원 개인정보보호를 독려하고 자율점검을 지속적으로 지원할 수 있도록 도와달라"고 당부했다.

패널토의를 맡은 김용학 행정자치부 개인정보보호정책과 팀장은 기본원칙의 중요성에 대한 입장을 강조했다.

김 팀장은 "앞으로 고유식별정보와 민감정보에 대한 안전성 확보조치 정책은 더욱 강화될 것"이라며 "각 분야별 협회, 단체의 자율적인 개인정보보호 활동이 절실히 필요하다"고 말했다.

최근 언론 보도에 따르면 '병원 비밀번호 1234, 해킹 초짜에 뚫렸다'라는 내용이 있었는데, 김 팀장은 "비밀번호를 복잡하게 해야 한다는 사실은 누구나 다 알고 있다"며 "하지만 지켜지지 않았고 결국 개인정보유출 사고가 터졌다"고 지적했다.

의료분야는 민감정보인 건강정보 등의 개인정보가 많은 만큼, 기본 원칙을 준수해 의료법 이외 다른 사람이 열람할 수 없도록 해야 한다는 점을 강조했다.

이를 위해 오는 9월 30일부터 민감정보를 처리하는 경우 민감정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 해야 하는 조항과, 모든 공공기관 5만명 이상의 고유식별정보를 처리하는 자에 대해서도 행자부가 2년마다 1회 이상 정기적으로 조사를 하게 되는 조항이 새롭게 시행된다.

김 팀장은 "심평원을 비롯한 여러 의료기관에서도 국민의 개인정보를 합리적이고 효율적으로 보호하고자 하는 자율규제 활동에 적극적으로 협조해달라"고 말했다.

배준익 법무법인 엘케이파트너스 변호사는 개인정보보호법과 의료법이 충돌을 일으키고 있다고 지적했다.

의료기관 소유 진료기록부의 특성을 간과한 개인정보보호법의 적용은 바람직하지 않은 만큼 의료정보에 관한 특별법 제정이나 의료법 개정을 통해 의료기관의 수집, 보유하고 있는 정보를 그 특성에 맞춰 규율하는 방법으로 해결해야 한다고 제안했다.

반면 병원급 의료기관 내부의 개인정보보호에 대한 인식 변화도 필요하다는 입장을 덧붙였다. 배 변호사는 "의료기관의 정보는 민감한 사생활에 밀접한 관련이 있다"며 "의료기관 내부에 개인정보보호 관련 부서를 신설하고 보호책임자를 지정해야 한다"고 강조했다.

홍성권 회계법인 EY 한영 이사는 의료기관의 개인정보보호에 대한 인식 부족, 복잡한 개인정보보호 관련 법률의 문제점을 지적했다.

홍 이사는 "의료기관의 장은 개인정보보호를 위한 적극적 후원을 진행하고, 던담부서를 만들어야 한다"며 "투자와 교육이 병행돼야 개인정보보호에 대해 능동적으로 대응할 수 있을 것"이라고 언급했다.

백설경 아주대병원 의무기록팀 팀장은 "병원 내 개인정보취급자가 굉장히 많기 때문에, 개인정보유출도 크다는 인식을 가지고 있는 경우가 많다"며 "현장점검 시 그 부분에 대한 편견을 배제해줬으면 한다"고 당부했다.

백 팀장은 "병원 안에서 개인정보 이용 및 접근권한을 제한하는 등 개인정보보호를 위해 노력하고 있다"고 병원 현장의 목소리를 전했다.

플로어에서 개인정보보호를 위한 시스템 구축 및 관리 비용 신설에 대한 요구 목소리도 나왔다.

이와 관련해 김용학 팀장은 "개인정보보호를 위한 시스템 구축 비용에 대한 문제는 의료분야 뿐 아니라 다른 분야도 마찬가지"라며 "안전성 확보조치 기준을 3단계로 나누어 영세소상공인을 배려하고 있다"고 설명했다.

김 팀장은 "정부가 예산으로 지원하면 좋겠지만 예산 수립이 쉽지 않다"며 "협회, 단체 등이 기금 형식으로 운영하는 방법도 생각하고 있다. 채찍 보다는 다 같이 참여할 수 있는 지원 수단을 마련할 수 있도록 노력하겠다"고 밝혔다.