[인터뷰] 대한병원협회 관계자

“개인정보보호 중요·필요성 공감...하지만 의료현실 고려해 줄 것”

보건복지가족부 관계자에 따르면, 지난 3월 4일, 복지부의 500병상 이상 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인(안)’이 전재희 장관 보고 후 결재가 완료돼 이에 대한 공개·배포가 임박해 있다. 이에 대한병원협회 관계자를 직접 만나 병원협회 측이 이 가이드라인에 대해 어떤 의견을 가지고 있으며, 그 문제점은 무엇인지 등에 대해 들어봤다.

<순서>

1. ‘의료기관 개인정보보호 가이드라인’, 공개·배포 임박

2. 대한병원협회의 입장

3. 보건복지가족부의 입장

4. 병원 보안 실무자가 말하는 ‘의료기관 개인정보보호 가이드라인’

5. ‘의료기관 개인정보보호 가이드라인’으로 의료보안시장 얼마나 활성화될까!

- 복지부 ‘개인정보보호 가이드라인’에 대한 병원협회의 입장은?

복지부의 ‘개인정보보호 가이드라인’은 500병상 이상의 의료기관 종사자 및 의료인이 환자를 진료하는 과정에서 취득한 진료기록, 검사, 의학적 소견, 처방, 조제, 간호 기록 등의 의료정보를 보다 안전하게 보호하고, 관리·운영하도록 하기 위한 목적으로 가이드라인을 마련하고 있다고 생각한다. 그런 측면에서 의료기관의 개인정보보호의 중요성과 필요성에 대해서는 공감하지만 의료현실을 전혀 고려하지 않고 일방적으로 추진하는 것은 바람직하지 않다.

이 가이드라인의 전반적인 골간은 그간 계속 논란이 됐던 개인 식별이 가능한 개인정보보호와 국민의 프라이버시 권리 보호 및 기본권을 전제로 해 국민의 알권리 및 자기결정권 등 침해되는 것을 보호하는 입론인 것으로 보여 지며 그 필요성이 인정된다고 하나 이러한 내용들은 이미 정통망법 및 해당 관련 법률 및 제도에 보장이 있다 할 수 있다.

그런 만큼 이 가이드라인에서는 의료인 및 의료기관 종사자 등 내부에서 특별히 취급해야할 민감한 환자의 개인의료정보를 보다 안전하게 보호할 수 있는 조치에 대해 현실성 있게 적용 가능한 지침서로써 제시돼야 할 것이다.

- 현실성 없는 가이드라인이라고 말했는데, 구체적인 예를 든다면?

보안담당자 1인을 임명해야 하는 부분이다. 1인 임명에 따른 비용은 단순히 거기에서 끝나는 것이 아니기 때문이다. 그 필요성은 알고 있지만 그에 따라 부수적으로 발생하는 비용의 책임을 감당할 수 없는 상황에까지 벌어질 수밖에 없다.

또한 복지부 ‘개인정보보호 가이드라인’이 담고 있는 내용 중 외부 안전진단 부분도 문제랄 수 있겠다. 정부가 의료기관에 정보보호를 위해 15명 이상의 기술인력을 보유한 외부안전진단업체(법인)에 안전진단을 받도록 규율하는 내용까지 제시하는 것은 타당치 않은 것이며, 의료기관 스스로 자체적으로 감사 및 진단을 하도록 해야 할 것이다.

병원협회 입장에서는 감사적인 측면을 강화하는 것을 반기지, 가려진 한 부분을 위해 전체를 도려내는 것은 옳지 않다고 여긴다. 그렇기에 책임과 의무만을 강조하기에 앞서 감사 측면을 강화하는 것은 어떨까 하는 생각이 든다.

외부 안전진단 받도록 하는 부분은, 국가 기관에나 소용되는 것이지 민간에 이를 전가하는 것은 부담이 될 수밖에 없다. 외부 안전진단을 받으려면 내부 안전진단이 이루어진 다음에 반영이 돼야 하는 부분이다. 걸음마 단계에서 외부 안전진단을 받는다는 것은 어불성설이다.

손꼽을 수 있는 대형병원 몇 개를 제외한 병원들은 전자의무기록시스템(EMR, Electronic Medical Record) 조차 도입하지 못하고 있는 실정이며, 정보보호 인프라가 갖춰지지 않은 현 상황에서 외부 안전진단을 받도록 강제하는 것은 타당치 않은 것으로 보여 지며 주기적인 컨설팅 등과 같은 외부 진단비용 등은 의료기관에 과다한 부담으로 현실적으로 기대하기 어려워 삭제돼야 할 것이다.

그러기 위해서는 단계적인 정보보호 조치를 위한 인프라 구축 필요하다. 열악한 의료기관들이 단계적으로 정보보호관리 및 기술적·물리적 보호조치를 강화해 나갈 수 있도록 인프라 구축에 필요한 유예기간을 주어야 하며 초기부터 무리하게 의무와 책임만을 부과하지 않아야 할 것이다.

- 이번 ‘개인정보보호 가이드라인’이 지닌 가장 큰 문제는 무엇이라 여기나?

이 가이드라인에서는 의료인과 환자가 진료하는 과정에서 생성되는 특수한 의료정보를 개인정보보호라고 하는 식별정보의 대상을 너무 크게 잡은 것이 가장 큰 문제다.

의료기관의 개인정보에 대한 이용 조치에 대한 부분은 법제화된 부분이 없다. 의료정보를 취급하는 의료인이 진료목적에 대한 활용·이용에 대한 부분이 필요하다는 점에서 이미 의료법이나 정보망법 등이 규정하고 있는 부분보다는 복지부는 소관부처로써 그렇듯 특수·한정된 식별정보에 대해 자율적인 보호조치를 할 수 있는 가이드라인을 주는 것이 타당할 것이다.

- 그렇다면 ‘개인정보보호 가이드라인’이 담아야 할 내용은 무엇이라 여기는지?

‘개인정보보호 가이드라인’의 적용범위를 보면 개인정보를 처리함에 있어 의료법, 정보망법, 공공기관의 개인정보보호에 관한 법률 등의 법률 적용을 받는 경우 해당 법률, 시행령, 시행규칙이 규정하는 바에 의한다고 명시돼 있어 의료기관은 현행 관련 법안들을 그대로 적용받으면서 동 가이드라인의 추가적인 내용들을 따르도록 하고 있다.

특히 현재 정통망법 시행규칙이 작년 7월에 개정돼 의료기관이 준용사업자로 지정돼 의료기관의 특수성을 고려하지 않고 동의, 파기 등 의료기관 특성 상 적용이 곤란한 조항들로 인해 많은 의료기관들이 혼란과 의료분쟁의 사유가 발생되고 있는 상황에서 복지부는 행정안전부와 부처간 관련 사안을 협의해 의료기관 적용에 문제가 되는 사안에 대해 해당부처로써의 그 역할을 신속하게 명확한 지침을 제시해 주어야 하나 그러하지 못하고 있는 실정이다.

더욱이 동 가이드라인의 전반적인 골격을 보면 해당 시급한 사안에 대한 내용은 전혀 다루어지지 않고 오히려 관리적 부문에서 의료기관의 정보보호 관리조직구성과 보호, 보안책임자 임명, 의료기관이 특정 외부수행기관에 안전진단을 받도록 명시를 하고 있으며 기술적·물리적 보호조치에서는 세부적 내용까지 제시하고 있어 전반적인 가이드라인의 균형이 맞지 않아 가이드라인의 전체적인 보완이 필요한 것으로 보여 지며 의료기관 현장의 의견을 충분히 수렴해 성급하게 추진하기보다는 의료기관에 실효성 있는 지침서가 되기를 바란다.

또한 어려운 의료기관의 현실을 감안해 보호조치를 위한 물리적·기술적 조치를 위한 의료기관의 비용부담만을 강요하지 말고 정부의 다양한 지원책을 제시해 줄 것을 거듭 요청한다.

한편 이와 관련 다음 기획기사를 통해서는 이 가이드라인을 만든 복지부 관계자를 직접 만나 병원협회 등의 의견에 대한 생각과 그에 따른 복지부의 입장 등을 들어보도록 한다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>