환자 사망한 후에도 진료와 관련한 정보 누설 시 법적 책임 부과
환자 진료결과 등 개인인터넷방송 통해 공개...민사책임 부담해야
정보통신기술의 발달로 개인 인터넷 방송, SNS, 인터넷 블로그 등의 매체 이용이 일상화되면서 의사, 간호사, 물리치료사, 행정직원 등 여러 의료기관 종사자들도 해당 매체들을 활용해 자신의 일상이나 의견, 정보 등을 다른 사람들이 알 수 있도록 하는 경우가 많아지고 있다.
그런데 얼마 전 자신이 병원에 입원하였을 당시의 진료기록부와 검사 영상을 해당 병원 의료진의 개인 인터넷 방송에서 보았다는 환자와 법률상담을 한 적이 있다.
해당 환자는 자신의 상태에 대한 의학정보를 얻기 위해 인터넷 검색을 하던 중 자신이 입원하여 수술을 받았던 병원 의료진이 자신의 일상을 소개하는 개인인터넷방송이 있어 시청하였는데, 환자 본인의 나이, 이름, 성별, 환자등록번호 등 인적사항이 그대로 드러나는 환자명단과 병명과 수술명, 수술일자가 기재된 수술기록지, 안면CT 영상이 익명화처리 없이 그대로 노출되었다고 하였다.
의료법 등 관련 법령에 따라 의료인이나 의료기관 종사자는 의료, 조산, 간호 및 진료기록 관련 업무를 하면서 알게 된 다른 사람의 정보를 누설하거나 발표하지 못한다. 이를 위반한 경우에는 행위당사자는 3년 이하의 징역이나 3천만원 이하의 벌금에 처해질 수 있고, 해당 의료기관의 개설자는 3천만원 이하의 벌금형에 처해질 수 있으며, 이와는 별도로 면허자격정지처분도 내려질 수 있으며 민사손해배상책임도 인정될 수 있다.
의료법이 누설 및 발표를 금지한 다른 사람의 '정보'란 일반에게 알려지지 않은 사실로서 타인에게 알려지지 않는 것이 본인에게 이익이 되는 것으로 의미하고 본인이 다른 사람에게 알려지는 것을 금한 경우도 포함되는 바, 환자의 내원여부, 보호자의 동반 여부, 인적사항, 진단명, 과거력, 진료내용, 수술명, 검사결과 등 의료인 등 의료기관 종사자가 의료기관에서 업무를 수행하면서 알게 되는 다른 사람의 모든 정보가 환자나 보호자 등 정보주체의 주관적 의지에 따라 의료법이 누설 및 발표를 금지한 '정보'에 해당할 수 있다.
또한 의료기관 종사자에 대하여 정보 누설 및 발표를 금지한 의료법의 취지는 의료기관 종사자와 환자 사이의 신뢰관계 형성과 함께 이에 대한 국민의 의료인에 대한 신뢰를 높임으로써 수준 높은 의료행위를 통하여 국민의 건강을 보호하고 증진하는 데 있어서 의료기관 종사자의 정보보호의무는 개인의 정보를 보호하는 것뿐만 아니라 정보보호에 관한 공중의 신뢰라는 공공의 이익도 보호하고 있다고 보아야 하므로 의료기관 종사자와 타인 사이에 형성된 신뢰관계와 이에 기초한 의료기관 종사자의 정보보호의무는 해당 타인이 사망한 후에도 그대로 인정되어 사망자에 대한 정보 누설시에도 법적 책임이 부과될 수 있다.
위 개인인터넷방송 사례에 나온 안면CT 영상과 환자명단, 수술기록지 등은 해당 환자가 의료기관으로 입원하여 진료를 받으면서 생성된 정보로서, 다른 사람의 '정보'에 해당한다.
따라서 해당 의료진이 환자 본인에게 환자의 검사내용과 진료결과 및 진단명 등 정보를 개인인터넷방송을 통해 대중에게 공개함을 설명하고 동의를 구하지 아니하였음에도 해당 환자의 정보를 개인인터넷방송을 통해 공개하였다면, 이는 의료법이 금한 다른 사람의 정보 누설에 해당하여 의료법이 정한 형사처벌 및 행정처분의 대상이 되고, 해당 의료진과 소속 의료기관은 비밀누설로 인하여 환자에게 발생한 손해에 관하여 배상하여야 할 민사책임을 부담하여야 한다.
앞에서 언급한 의료진 일상 소개를 위한 개인인터넷방송 사례뿐만 아니라 의료기관 홍보, 의학정보 제공, 시사문제에 관한 의견 제시 등을 위하여 여러 의료기관 종사자들이 개인인터넷 방송이나 SNS, 인터넷 블로그 등을 활용하면서 환자 등 다른 사람에 관한 영상이나 진료기록을 해당 정보주체의 동의를 받지 않았음에도 익명화 등을 하지 않은 상태로 사용하고 환자의 진료내용이나 진료과정에서 알게 된 여러 정보를 그대로 알려주는 경우가 종종 발생하고 있다.
의료기관으로서는 의료기관 종사자가 업무수행과정 중 알게 된 환자, 보호자 등 다른 사람의 정보가 누출되어 법적 문제가 발생하는 것을 예방하기 위해서 정보전달, 홍보, 의견제시 등 선의의 목적이라 하더라도 환자 등 다른 사람에 관한 모든 정보가 법령의 근거나 정보주체의 동의 없이 외부에 알려지지 않도록 정보보호체계를 점검하고, 개인정보보호에 관한 직원교육을 하는 등 지속적으로 의료기관에서의 개인정보보호에 관심을 가져야 할 것이다.
아무리 의료기관 종사자 개인의 부주의에 의한 우발적 법 위반행위라 하더라도, 의료기관 측이 정보보호체계를 구축하여 시행하지 않거나 평상시에 소속 직원들에게 정보보호 관련 교육을 하지 않으면 의료기관의 개설자도 사용자책임에 의한 민사손해배상책임이나 양벌규정에 의한 형사처벌을 피할 수 없기 때문이다.