스마트폰, 태블릿 등으로 의료정보를 조회하고, 필요한 내용을 처리하는 기술이 도입되면서 모바일 의료정보에 대한 보호가 필요하다는 이슈가 제기되고 있다. 그러나 아직은 국내외 모두 범위 설정에 혼란스러운 입장이다.
개인정보보호와 의료정보관련법 사이에 어디에 우선 순위를 둬야할 지에 대한 명확한 가이드 라인이 나오지 않은 상황이기 때문이다. 정확히 어떤 범위까지 개인정보 혹은 의료정보로 보고 관리해야 하는지에 대한 추가적인 논의가 이제 시작단계에 있다는 것이다.
10일 이재호 서울아산병원 의료정보부실장은 서울 잠실 롯데호텔에서 개최된 국제정보보호컨퍼런스에서 '디지털 헬스 시대에 직면한 프라이버시와 보안'이라는 주제발표를 통해 모바일 기기를 통한 유비쿼터스 헬스(u헬스) 사업에 필요한 정보보호 수준에 대해 설명했다.미국 의료정보보호법(HIPAA)에 따르면 오프라인 상에서의 의료정보에 대한 프라이버시 문제는 관찰, 침상 모니터링 등에 대한 것이었다. 이와 함께 개인정보에 해당하는 환자의료정보(Patient Health Information, PHI)는 병력, 성별, 종교, 생체정보, 집주소, 전화번호, 이메일, 주민등록번호 등의 정보를 모두 포함하고 있다.
현재로서는 이와 같은 의료정보를 어디까지 보호해야하는가에 대해 기준이 없는 상황이다. 이 실장은 모바일 헬스 부문에서 어느 영역까지 개인 사용자에게 동의를 얻어야 하는가에 대한 문제가 발생한다고 밝혔다. 실제로 유럽연합에서는 PHI를 전송하는 단계에서만 동의를 얻도록 하고 있으며, 미국에는 이에 대한 정보마저도 없다는 것이다.
우리나라는 개인정보보호법상 의료정보에 한해서는 주민등록번호를 수집하도록 하고 있으나 병원측은 물론 정부 기관에서도 환자의 생명과 관련된 정보를 어느 수준까지 다뤄야되는가에 대해서는 아직 제대로 해결되지 않고 있다.
스마트헬스 혹은 u헬스라 불리는 영역에서는 현재 사용자의 일반 개인정보와 함께 모든 의료정보 혹은 생체정보가 네트워크를 통해 다른 이들에게 전송된다. 때문에 점차 심각한 사회문제로 등장할 가능성이 높다.
이 실장은 이를 두고 미국에서도 노트북 등으로 의료정보를 블로그에 공개하는 등의 문제가 발생해 왔고, 이 나라의 유명 병원 중에서 의료정보유출 사고가 없었던 곳은 한 군데도 없을 정도라고 밝혔다. 실제로 미국 보건복지부 집계에 따르면 재작년에 유출된 의료정보는 297만9천121명에 달한다.
관련기사
- 전직 美국방부 차관보 "사이버보안, 논의보다 실천"2013.07.10
- 제2회 정보보호의 날 기념식 개최2013.07.10
- 美 국토부, 병원의료기기 취약점 경고2013.07.10
- '보안 사각지대' 병원이 위험하다2013.07.10
문제는 의료정보가 일반 개인정보와는 달리 병력 등에 대해 오랫동안 보호해야할 필요가 있다는 점이다. 국내 개인정보보호법에서는 개인정보를 수집해 이용한 뒤 이를 파기를 해야한다고 명시하고 있다. 그러나 과거 5년~10년 전에 병력이 있던 사람에 대한 정보를 개인정보보호를 위해 파기한다고 하면 환자의 조기진단과 치료를 위한 정보를 얻지 못해 치료가 지연되는 일이 발생할 수 있다.
이 실장은 모바일 의료행위와 관련된 개인정보보호정책은 아직까지 국제 기준이 없다며 데이터 보안, 데이터 전송, 정보통합 및 접속권한, 데이터 최소화, 보호해야하는 의료정보에 대한 범위와 범주 등에 대한 추가적인 논의가 필요할 것이라고 전망했다.
