직원의 부재시 업무 처리가 고민이었다면, 이제는 사생활 보호가 고민
의료 정보는 매우 민감한 정보...회사가 물을 수 있는 것과 없는 것 있어

[보안뉴스 문가용 기자] 직원들의 건강과 프라이버시를 균형 있게 지키는 건 대단히 어려운 일이다. UN에서 팬데믹을 선포한 사상 초유의 사태이지만, 타인의 건강 정보를 요구할 때는 안부를 묻는 수준에서만 그치는 것이 오랜 사회 통념이었기 때문이다.


상황이 상황인지라, 건강과 관련된 민감한 정보를 회사 입장에서는 반드시 알아두어야 하는데, 그렇다고 프라이버시라는 것을 함부로 건드릴 수도 없다. 격리된 직원이나 파트너사의 공석을 어떻게 채울 것인가, 가 지난 주까지 많은 기업의 고민이었다면 이제부터는 ‘건강 관련 민감 정보를 어떻게, 어느 선까지 수집해야 하느냐’가 골칫거리가 되고 있다.

모리슨 포리스터(Morrison-Forrester LLP)의 프라이버시 파트너인 크리스틴 리온(Chrsitine Lyon)은 “일단 정답이 없는 문제라는 걸 이해해야 한다”고 말한다. “법적으로도 명확히 선을 그을 수 없어요. 상황의 변화나 심각성, 그에 대한 정보에 따라 판단은 얼마든지 변할 수 있죠. 심지어 ‘회사가 사무실에서 직원들을 대상으로 체열을 할 수 있는가?’라는 질문에도 아직 명확한 답이 나와 있지 않습니다. 물론 일반적인 상황에서라면 당연히 ‘안 된다’겠지만 말이죠.”

하지만 코로나19가 지칠 줄 모르고 퍼지고 있는 상황이라는 것 때문에 문제는 복잡해진다. 미국의 질병관리본부는 각 회사와 사업장에 “직원들을 대상으로 체열을 하라”고 권고하고 있다. 주 정부 차원에서도 비슷한 권고 사항이 여러 조직들에 전달되고 있는 상황이기도 하다. 하지만 평상시 이는 프라이버시 침해 행위이기 때문에 직원들의 반발에 부딪힐 수밖에 없고, 기업들도 혼란스럽다.

“심지어 체열을 하라는 권고만 있지, 실제로 열이 발생할 경우의 조치에 대해서는 아직까지도 안내가 없습니다. 하지만 열을 재고 그에 따른 조치를 취하는 건 의료 행위이고, 따라서 전문적으로 행해져야 합니다. 사무실 방문자의 열을 쟀더니 높다라면, 어떻게 해야 할까요? 귀중한 손님이라고 하더라도 돌려보내야 할까요? 곤란하겠죠. 전화 약속을 잡고 그 날 미팅을 사전에 취소하는 게 지금으로서는 가장 깔끔합니다.”

그러면서 리온은 “우리가 GDPR 등을 겪으면서 연습해왔던 ‘최소한의 정보만 알기’가 여기에도 적용된다”고 강조한다. “꼭 필요한 정보가 무엇인지 이해하고, 그 정보만 갖추어야 합니다. 이건 평소 개인정보를 관리하는 것에도 적용이 되는 이야기입니다. 열을 잰다고 했을 때, 정말로 열만 재고 말아야지, 그걸 누적해서 기록해 놓는다거나 하는 건 안 된다는 것이죠.”

프라이버시 규정과 제도는 회사, 산업, 주, 나라마다 다르다. 그렇기 때문에 통일된 규정과 제도를 제공하기가 어렵다. 가트너(Gartner)의 부회장인 바트 윌렘슨(Bart Willemsen)은 “가장 대표적인 개인정보보호 규정인 GDPR이나 CCPA라고 하더라도 특정 정보에 한해서는 기업이 저장 및 기록하는 걸 허용해 준다”고 말한다. “예를 들어 급여의 경우 개인의 민감한 정보입니다. 하지만 회사가 급여 지불의 책임을 다했다는 걸 증명하려면 이를 기록해야 하죠.”

하지만 의료 정보의 경우라면 조금 다르게 접근해야 한다고 윌렘슨은 말한다. “의료 정보는 매우 민감한 성질을 가지고 있습니다. 개인정보나 민감 정보 중에서도 특별 취급을 받아야 하죠. 그렇기에 누구나 이런 정보를 아무와도 공유하지 않아도 되는 권리를 가지고 있습니다. 그러나 메타데이터는 공유할 수 있죠. 예를 들어 회사가 제공해야 하는 보험과 관련된 정보라면 수집이 가능합니다. 원격 근무를 하는 직원이라면, 그 작업 환경에 대한 것도 수집할 수 있고요. 다만 회사가 의사가 되려고 하면 안 됩니다. 아주 특별한 경우가 아니라면 메타데이터 수집에서 그쳐야 한다는 겁니다.”

그렇다면 회사는 프라이버시를 해치지 않으면서 건강상 안전한 작업 환경을 만들려면 어떤 정보를 요구할 수 있을까? 리온은 “만약 감기와 비슷한 증상을 보이는 사람이 있다면 일반적으로 건강 정보를 요구해도 허용이 되는 것 같다”고 말한다. “특히 지금과 같이 감기 비슷한 질병 때문에 팬데믹이 벌어진 것이라면요. 심지어 질병관리본부는 감기 증상이 있는 직원은 작업장을 이탈할 것을 권고하고 있지요. 기업 입장에서는 감기 증상 보이는 직원이 조퇴할 때 얼마 동안 자리를 비울 예정인지 물을 수 있습니다. 하지만 왜 그만큼이나 걸리는지는 물어봐서는 안 됩니다. 거기서부터는 프라이버시입니다.”

이는 어떤 질병에도 적용이 된다. 회사가 정말로 필요한 정보는 결석 예상 기간이지 질병에 관한 세세한 내용이 아니기 때문이다. “또한 직접적으로 코로나 검사를 해보았는지, 코로나 감기에 걸릴 만한 상황에 있는지 묻는 것도 지양해야 합니다. 애매할 수 있는데, 질병관리본부의 권고 사항을 넘어서는 일입니다. 물어보려면, 반드시 정당한 이유를 갖춰야 합니다. 예를 들어 우한에 여행을 갔다 온 경우라면 저런 질문이 괜찮을 수 있습니다.”

심지어 진단서를 보고 격리를 허가해주는 것도 지금은 부적절하다. 질병관리본부는 “지금과 같은 상황에서는 의료 기관이 무척 바쁘고 인력이 부족하기 때문에 진단서를 제 때 딱딱 맞춰 발행할 수 없다”며 “격리를 결정하기 전에 진단서부터 보겠다는 판단은 그리 적절하지 않다”고 발표한 바 있다. 다만 격리로부터 돌아오기로 한 직원이 있다면, 진단서 확인이 필수적이다. “기업이 이 정도는 요구할 수 있습니다. 게다가 진단서에는 다른 민감한 정보가 기재되지 않습니다.”

결국 기업이 직원에게 요구할 수 있는 건 객관적 사실과 최소한의 정보뿐이다. 또한 이 정보를 공유하고 저장하는 것도 특별한 상황에서만이다. 회사 전체 직원의 건강을 위한답시고 질병에 걸린 당사자를 직접 거론할 필요는 거의 없다. 거론이 필요한 경우, 프라이버시 관련 법이 규정하는 선 안에서 해야 한다고 리온은 강조했다.

3줄 요약
1. 기업들의 지금 고민은 ‘프라이버시 침해 없이 직원들의 건강 상태 파악.’
2. 비상시라 직원의 체열을 잰다고 하더라도, 기록의 저장과 공유는 부적절.
3. 팬데믹 상황에서는 병원의 진단서를 기다리기도 힘듦.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>