행안부, "의료계 의견 조회 못했다"...대응책 마련 시급
Cover Story
해킹 등으로 고객의 개인정보가 유출되는 사고가 하루가 멀다하고 일어나도 동네의원은 안전지대였다. 의료법상 환자 진료정보는 유출해서는 안되는 중요한 정보지만 정보 보호를 위해 특별히 동네의원이 해야 할 예방적 법적 규정은 없었다.
하지만 지난해 6월 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법)'이 개정되며 상황이 달라졌다.
동네의원도 정보 수집에 따른 동의와 보호절차 등을 밟아야 하는 '준용사업자'로 포함됐기 때문이다. 7월 1일 이전까지 정통망법은 이동통신서비스나 초고속통신서비스·인터넷포털사이트·쇼핑몰 등 영리를 목적으로 하는 '정보통신서비스제공자'들만을 적용 대상자로 삼았다.
그러나 지난해 GS칼텍스 고객의 개인정보가 대규모로 유출되며 개인정보 보호의 필요성에 대한 여론이 점차 높아지더니 정통망법의 적용 대상이 의료기관까지 확대된 것이다.
행안부 "의료분야 잘몰라 의견조회 못했다"…말이 돼?
대부분의 동네의원들은 '이게 지금 도대체 무슨 소린가'하는 반응을 보이고 있다. 정통망법의 적용대상이 동네의원으로 확대됐다는 얘기는 들은 적도 없을 뿐 아니라 이미 7월 1일부터 법이 시행됐다는 얘기는 더더욱 금시초문이기 때문이다.
정통망법이 개정·시행되도록 적용 대상자인 동네의원 대부분이 이를 알지 못하고 있는 이유는 무엇일까? 법개정을 주도했던 행정안전부가 의료기관의 특수성 등에 대해 심각하게 생각하지 않았기 때문이란 지적이 많다.
행안부는 지난해 법을 개정하며 의사들의 대표기관인 대한의사협회에 법개정에 대한 의견조회를 한차례도 거치지 않은 것으로 드러났다. 관련 기관인 보건복지가족부에도 한차례 의견조회를 했지만 그마저도 이렇다할 답변을 듣지 못한 것으로 알려졌다.
이는 행안부가 관련법을 개정하며 관계부처인 복지부와 관련 당사자인 의협의 의견을 전혀 검토하지 않았다는 말이 된다. 지난해 3월 대한병원협회에 의견조회를 한번 한 것이 법개정을 앞두고 취한 의견조회의 전부였다.
행안부측은 "복지부에 법개정에 앞서 의견조회를 요청했지만 의견이 없었다"고 말하고 의협에 의견조회를 하지 않은 이유에 대해서는 "의료쪽을 전혀 모르는 상황이라 의협에 미처 의견을 묻지 못했다"고 밝혔다.
이에 대해 의협은 한마디로 '황당하다'는 반응이다. 민감한 환자의 진료정보를 취득하는 과정과 관리 방식 등에 커다란 변화를 가져올 수 있는 법 개정이 의료계의 의견수렴없이 이뤄졌다는 것을 믿을 수 없기 때문이다.
의협은 당장 행안부에 기존의 정보통신서비스제공자에게 적용했던 규정을 의료기관에 그대로 적용하면서 일어날 부작용에 대한 대책을 요구했다. 의료라는 특성을 감안해 정통망법 대상자에서 의료기관을 제외시켜야 한다고도 주장하고 있다.
법개정을 앞두고 이렇다할 의견교환을 하지 못하다 보니 의료계와 행안부의 시각차가 여기저기서 드러나고 있다. 우선 의료기관이 포함된 준용사업자의 지위에 대한 해석이 다르다.
행안부측은 준용사업자의 경우 정통망법 제67조에 따라 기존의 정보통신서비스제공자와 달리 정통망법 22~32조만을 준수하면 된다고 말한다. 행안부의 한 관계자는 "준용사업자의 경우 기존 업자에 비해 법개정에 따른 부담이 덜 할 것"이라고 말했다.
하지만 정통망법 22~32조는 개인정보의 수집과 이용·개인정보 수집 동의 절차·개인정보 이용 제한·개인정보 관리 책임·개인정보 누설 금지 규정 등 정통망법의 핵심규정이 다 들어있다. 준용사업자라해서 부담이 덜할 것이란 것은 순전히 행안부의 생각일 뿐이라고 의료계 관계자들은 지적하고 있다.
진료차트, 개인정보인가 아닌가?
구체적인 규정을 살펴봐도 곳곳에서 부작용들이 예상된다. 당장 환자의 진료기록의 어디까지를 고객 개인정보로 봐야하는지가 애매하다.
정통망법 제2조에서는 개인정보를 "생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보"라고 정의하고 있다.
"해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다"고도 돼 있다.
진료차트에 적는 환자의 주민등록번호나 주소 등은 개인정보라고 할 수 있어 보인다.
하지만 나머지 정보는 어떨까? 박형욱 의협 법제이사는 "환자의 병력이나 그밖의 진료 정보는 환자의 개인정보인 동시에 의사의 전문적인 지식에 근거해 생산된 데이터이기도 하다"며 진료차트를 온전히 환자의 개인정보라고만 볼 수는 없다는 의견을 제시했다.
그렇기 때문에 정통망법의 적용대상으로 의료기관이 지정되는 것은 있을 수 없는 일이라고 보고 있다.
개정된 정통망법은 진료차트나 진료정보 등이 개인정보에 속하는 것인지에 대한 명확한 기준을 제시하지 않고 있다. 만일 진료차트를 환자 개인정보라고 본다면 어떤 문제가 생길까?
정통망법 제30조(이용자의 권리)는 "이용자는 정보통신서비스 제공자 등에 대해 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다"고 정의하고 있다.
"이용자는 정보통신서비스 제공자 등에 대하여 본인에 관한 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다"고도 명시하고 있다. 환자가 자신의 병력이나 검사기록 등을 삭제·정정 등을 요구할 수 있다는 식으로 해석될 여지가 있다.
그러나 의료법 시행규칙 제14조(진료기록부 등의 기재사항)는 환자의 병력을 진료기록부에 반드시 기록하게 하고 있다. 환자가 사생활을 이유로 병력을 삭제해 달라고 요청하면 정통망법의 이용자 권리와 의료법의 기재 의무가 충돌하는 상황이 발생하는 것이다.
이용자가 수집된 정보를 파기해달라고 요청할 경우에도 의료법과 정통망법이 충돌한다. 정통망법 제30조는 "이용자가 개인정보 파기를 요구하면 지체없이 수집된 개인정보를 파기하는 등 필요한 조치를 해야 한다"고 규정하고 있다. 하지만 의료법은 진료기록부 등을 3년에서 길게는 10년까지 보관토록 하고 있다.
환자가 개인정보 파기를 요구할 경우 의사는 개인정보를 지체없이 파기해야 할까? 아니면 의료법의 보관규정을 들어 파기요구를 거부해야 할까?
환자가 개인정보 수집에 동의하지 않을 경우에도 난감한 상황이 발생한다. 진료차트를 작성하는데 기본적인 정보 수집에 동의하지 않는다고 진료를 거부하면 의료법상 진료거부에 해당해 처벌받게 될까? 의료법은 합당한 이유가 있을 경우 의사의 진료 거부를 인정하고 있지만 정보수집에 동의하지 않는 경우도 합당한 이유로 볼지는 미지수다.
행안부측은 의료계의 이같은 지적들에 대해 "특별법인 의료법을 우선 준용해야 할 것"이라고 말하면서도 "구체적인 상황에 따른 유권해석을 받아 볼 필요가 있다"며 한발을 빼고 있다.
표준동의서 마련 등 자구책 고심
만 14세 미만 미성년자가 혼자 진료를 받으러 왔거나 의식불명환자가 병원에 실려 온 경우 이들에 대한 차트를 작성하는 것도 문제다.
미성년자나 의식불명환자는 모두 개인정보 수집에 따른 동의를 받을 수 없는 경우다. 행안부는 미성년자의 경우 법정대리인인 부모에게 전화 등을 걸어 개인정보 수집 동의를 얻으면 된다고 하는데 일일이 전화를 걸어야 하는 번거로움이 만만치 않을 것으로 보인다.
의식불명환자의 경우는 법정대리인을 선정하는 별도의 시스템이 있어야 한다. 의료계는 미성년자나 의식불명자의 법정대리인 지정시스템을 갖추기 위해 행안부가 가이드라인을 제시할 필요가 있다고 입을 모은다.
그러나 행안부는 법시행 한달이 지나도록 답답한 행보를 하고 있다. 내부적으로 의료계의 지적에 대해 검토할 필요성은 느끼고 있지만 가이드라인 등을 발표할 필요까지 있느냐는 반론도 만만치 않다는 것.
상황이 이렇다보니 의협은 회원들의 선의의 피해를 우려해 정통망법 시행에 따른 자체적인 대책마련에 들어갔다. 박찬대 의협 정보통신이사는 환자를 접수하는 상황에서 개인정보 수집과 이용 등에 대한 동의서를 받도록 권고하고 표준동의서<그림> 등을 만들어 제시했다.
하지만 이마저도 애매한 상황이다. 의협이 정통망법 대상자로 의료기관이 포함된 것에 대해 근본적인 문제 제기를 하고 있는 상황에서 법을 받아들이는 듯한 표준동의서를 발표하는 것이 자연스럽지 않기 때문이다.
또 표준동의서가 정말 표준이 될 수 있는지에 대한 행안부의 의견도 아직 나오지 않았으며 의료계를 중심으로 표준동의서에 대한 의견수렴도 이뤄지지 않은 상태다.
결국 동의서 역시 자구책으로 나온 임시방편적인 성격이 강하다. 법이 개정된지 1년여가 지나고 시행된지 한달이 넘은 시점에서 벌어진 믿을 수 없는 일들이다. 회원들의 선의의 피해를 막기 위해 보다 빠른 대응책을 마련해야 한다는 목소리에 힘이 실리고 있다.