개인정보 안전성 확보조치 수행, 병원 평균 60.2%·의원 평균 29.3%

개인정보보호법, ‘어느 정도 알고 있는’ 일반인 16.4%·의사 32.4%

의료기관 개인의료정보 보호 관리수준, 5점 만점에 2.52점

[보안뉴스= 정영철 한국보건사회연구원 정보기술융합센터장] 개인의 의료서비스 제공을 위해 의료현장인 의료기관과 환자가 중심이 되어 생성되는 모든 개인정보를 ‘개인의료정보’라 하며 기본인적정보, 건강보험정보, 검사정보, 진료정보, 진단정보, 사망기록정보 등을 포함하고 있다.

의료정보화와 개인의료정보보호

이러한 개인의료정보는 환자의 진료와 치료, 처방, 의료비 청구, 소송에 따른 법률적 증거자료, 의학 발전을 위한 학문적 연구 등에 다양하게 사용될 뿐 아니라 민감한 개인의료정보가 본인의 의지에 반하여 타인에게 공개 시에는 자존감 훼손, 정신적 충격, 근로관계에서의 불이익 또는 차별, 사회관계에서의 배제 등 환자안전과 윤리적 문제, 해당 의료기관에 대한 평판저하와 신뢰도하락 등 개인, 사회, 그리고 더 나아가 국가적으로도 많은 피해를 야기할 수 있다.

한편 우리나라에서는 전 국민 의료보험 실시를 계기로 의료기관에 병원정보시스템이 도입되기 시작한 이후 많은 의료기관들이 디지털화되고 인터넷 및 웹환경 확대, u-Health, smart-Health 등과 같은 IT 기술이 발전함에 따라 개인의료정보에 대한 접근성과 이동성은 더욱 더 증가하게 되어 개인의료정보에 대한 침해, 유·노출 위험이 점점 더 커지면서 개인의료정보 보호에 대한 필요성과 중요성이 한층 부각되었다.

그러나 그동안 환자관리프로그램 AS를 통해 환자 개인정보 무단 유출, 의료기관 홈페이지에 가입자의 이름과 주민등록번호 등 개인정보 노출, 환자 진료기록 및 개인정보가 적힌 종이를 이면지로 활용, 병원 사망환자 주민등록번호를 유출하여 범죄에 이용, 환자개인정보를 무단 유출하여 선거인단에 불법 등록, 연계인 및 정치인의 진료기록 무단 유출, 적절한 절차 없이 처방전 폐기, 해킹에 의한 환자 개인정보 유출, 관련업체에 환자 개인정보 유출 등 의료기관 내·외부인의 고의 혹은 실수로 인한 개인의료정보 유노출은 개인정보보호법 시행 이전에도 이후에도 계속 발생하고 있다.

이에 2013년 9월 하순부터 10월 하순까지 약 한 달간 의원, 병원, 그리고 일반국민을 대상으로 온라인 및 서면 설문조사를 실시하여1) 개인의료정보 보호관리 및 인식현황을 파악하였다.

병원과 의원의 개인의료정보 보호 관리 및 인식현황

개인정보보호법은 정보주체의 사생활 보호와 개인정보에 대한 권익을 보장하기 위해 개인정보처리자에게 개인정보 처리에 관한 사항을 규정하고 있는 바, 업무위탁에 따른 개인정보 처리제한(제26조), 안전조치의무(제29조), 개인정보 처리방침(제30조)에 대해 의료기관별 수행현황 및 인지정도를 파악했다.

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 제1항에 의해 개인정보처리자는 제3자에게 개인정보 처리업무 외부위탁시에는 위탁업무 수행 목적 외 개인정보 처리금지에 관한 사항, 업무위탁 목적 및 범위, 재위탁 제한사항, 수탁자 준수의무 위반시 손해배상 사항 등과 같은 내용을 포함한 문서에 의하여야 하며 동법 제26조 제2항, 3항, 4항에 의해 이러한 사항을 공개, 통지 및 감독 등을 수행하여야 한다. 이를 위반시 1천만원 이하 혹은 3천만원 이하의 과태료가 부과된다.

문서화 필요내용에 대해 제대로 알고 있는 병원은 평균 86.3%인 반면 의원은 45.2%를 나타냈으며 위탁사항에 대한 공개, 통지 및 감독내용에 대해 제대로 알고 있는 병원은 평균 81.9%, 의원은 평균 50.8%를 나타내고 있다.

한편 개인정보처리자는 개인정보가 분실·도난·유출·변조·훼손되지 않도록 개인정보보호법 제29조(안전조치의무)에 따라 업무권한 차등부여, 접근권한 내역기록 및 최소 3년간 보관, 취급자 접속기록 생성, 암호화, 개인정보 기록물에 대한 안전한 보관 등과 같은 조치를 취해야 하며, 이와 같은 조치를 하지 않을 경우 3천만원 이하의 과태료가 부과된다.

개인정보 안전성 확보조치 수행정도는 병원은 평균 60.2%, 의원은 평균 29.3%로 나타났다. 정보주체의 개인정보를 수집하여 이용하는 개인정보처리자는 개인정보를 안전하게 관리하고 이를 정보주체가 알 수 있도록 하여야 하는 바, 개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개)에 의해 개인정보 처리방침을 수립하고 공개하며 이를 위반 시 1천만원 이하의 과태료가 부과된다.

개인정보 처리방침을 수립 및 공개하고 있는 병원은 81.0%, 의원은 46.7%로 나타났으며 이를 수립 및 공개하고 있는 의료기관 중 10개 필수 기재항목에 대한 포함정도는 병원급 평균 75.5%, 의원급 평균69.6%로 나타났다.

일반국민과 의사의 개인의료정보 보호 인식현황

개인정보보호법에 대한 전반적인 인지정도에서 ‘어느 정도 혹은 잘 알고 있는’ 즉 보통수준보다 많이 알고 있는 일반국민은 16.4%, 의사는 32.4%로 많은 이들이 개인정보보호법 내용에 대해 대충 알고 있거나 잘 알지 못하는 것으로 나타났다.

개인정보보호법에서는 정보주체의 권리를 규정하고 있다. 이에 개인정보 처리에 관한 정보를 제공받을 권리, 개인정보 처리에 관한 동의 여부 및 범위를 선택할 권리, 개인정보 처리여부 확인 및 열람을 요구할 수 있는 권리, 개인정보 처리에 대한 정지·정정·삭제·파기를 요구할 수 있는 권리, 신속하고 공정한 절차에 따라 구제받을 권리 등 정보주체의 5가지 권리에 대해 일반국민은 평균 57.7%, 의사는 평균 65.1%가 알고 있다고 답하였다.

한편 개인의료정보 보호의 중요성에 대해 일반국민은 5점 만점에 평균 4.32점으로 생각하고 있는 반면, 현재 의료기관에서의 개인의료정보 보호 관리수준은 2.52점으로 평가하고 있었으며, 의사는 5점 만점에 평균 4.28점으로 생각하고 있는 반면 현재 의료기관에서의 개인의료정보 보호 관리수준은 3.24점으로 평가하는 것으로 나타나 일반국민이 의사보다 개인의료정보 보호의 중요도와 현재 관리수준의 차이가 더 큰 것으로 나타났다.

향후 방향

이상과 같이 개인정보보호법 상 준수여부에 따라 과태료부과 대상이 되는 몇몇 조항에 대해 인지 및 이행여부를 살펴보았을 때 의료기관, 특히 의원급 의료기관들은 평균 50%를 넘지 못하고 있는 것을 알 수 있다.

이와 같은 결과는 많은 의료기관들이 개인정보보호법에 대한 내용을 보다 잘 이해하여 준수율을 높일 필요가 있다는 것을 시사하며 일반국민들이 개인의료정보 보호의 중요도에 비해 관리수준을 낮게 평가하고 있는 만큼 의료기관들의 준수율을 높여 이에 대한 국민의 신뢰감과 안전감을 상승시킬 의무가 있다 하겠다.

이를 위해 의료기관들은 우선 개인의료정보 보호의 필요성과 중요성을 재인식하여 단순한 과태료 부과를 피하기 위한 대책이 아닌, 진정으로 정보주체의 사생활 보호와 개인정보에 대한 권익을 보장하기 위해 기본적인 사항에 대해 꼼꼼히 준비하고 실천해 나가야 할 것이다.

[글_ 정 영 철 한국보건사회연구원 정보기술융합센터 센터장(cyc@kihasa.re.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>