개인정보보호법이 발효된 지 약 2년이 지나면서 병의원 등 의료현장에서도 이 법제도를 준수하기 위한 조치들이 취해지고 있다. 이들은 의료 현실이 충분히 고려되지 않았다며 어려움을 호소한다.
환자 치료를 포함한 건강증진을 목표로 하는 의료활동에 개인정보보호법을 그대로 적용하는 것은 무리가 있다는 것이다. 프라이버시 보호 보다는 치료가 우선이라는 논리다.
25일 보건복지부 관계자에 따르면 현재 의료법과 개인정보보호법이 상충하는 부분은 파기에 관한 부분이다. 현행 개인정보보호법에서는 수집한 개인정보는 본래 목적에 맞게 활용한 뒤에는 정당한 사유가 없는 한 5일 이내에 파기하도록 하고 있다.
그러나 의료법에는 수집, 저장 외에 파기에 대해서는 별도의 규정이 없다. 보건복지부 관계자는 개인정보보호법과 의료법 사이에 간극이 있다며 이를 해결하기 위해 의료종사자들의 이해를 돕는 새로운 가이드라인을 마련 중이라고 밝혔다. 이는 안행부와 협의를 거쳐 내달 중에 배포될 예정이다.
2011년 9월 개인정보보호법이 발표된 후 안전행정부는 지난해 9월 복지부와 함께 의료기관 개인정보보호 가이드라인 1.0 버전을 배포했다. 그러나 해당 내용에는 파기 부분에 대한 명확한 지침이 없는 등 의료현장을 충실히 반영하지 못해 추가적인 대책이 필요한 상황이다.
진료정보라고 하더라도 보존기간이 지난 상태에서 파기를 하지 않으면 개인정보보호법 위반으로 과태료 등의 처분을 받게 된다. 의료법 상 진료기록을 언제, 어떤 상황에서 파기해야 하는지에 대한 내용이 없기 때문이다.
■의료법 '정보 연장보관', 개인정보보호법 '즉시 파기'
의료법 시행규칙 제15조는 법에서 정한 최소 보유기간 이상 진료정보를 보관해야하며 진료목적상 필요할 경우 연장보관이 가능하다고 밝히고 있다. 이 부분에 대해 개인정보보호법 제21조에서는 보유목적이 달성되면 즉시 개인정보를 파기하도록 규정했다. 의료법에서 파기 부분에 대한 명확한 규정이 없는 상황이라 언제든지 의료종사자들이 개인정보보호법 위반 대상이 될 수 있다는 것이다.
복지부 관계자는 개인정보보호를 위한 일련의 과정에서 수집, 저장, 이용 등의 부분에서는 크게 의료법과 부딪치는 부분이 없으나 파기 부분에서는 이견이 있어 내부적으로 이 부분에 대한 대책마련을 검토 중에 있다고 밝혔다.
이 문제가 정리된다고 해도 의료 현장에서는 여전히 개인정보보호법을 의료영역에 적용하기 위해서는 한 차례 진통을 겪어야 할 것으로 전망된다.
안행부는 지난해부터 올해 6월까지 여러 부처 관계자들로 이뤄진 개인정보보호 합동점검반을 통해 의료기관 개인정보보호 실태점검 결과를 발표했다. 이에 따르면 전체 조사 대상인 34개 의료기관 중 64.7%에 달하는 22개 기관이 개인정보보호법에 위반 것으로 나타났다.
개인정보 업무처리 위탁시 문서에 포함할 사항 누락, 관리감독 소홀, 접속기록 미보관, 개인정보 전송, 저장시 암호화 미조치 등 안전성 확보조치 부실 등으로 나타났다.
관련기사
- 모바일 의료정보, 나라마다 보호범위 제각각2013.07.25
- 美 국토부, 병원의료기기 취약점 경고2013.07.25
- 스타트렉에 등장한 의료기 실제로 나온다2013.07.25
- 삼성전자, 美의료기기업체 뉴로로지카 인수2013.07.25
법무법인 민후 김경환 변호사는 안행부는 엄격하게 개인정보를 보호해야한다는 입장이고, 복지부는 의료데이터를 적극적으로 활용해야 한다는 입장이라 부딪치는 부분들이 많은 것이 사실이라고 밝혔다. 의료정보는 진료, 검사, 진단, 보관, 입원 처리 등 복잡한 단계를 거치고 의사, 간호사, 약사, 사무직 등도 의료업무를 위해 조회가 필요하다. 또한 진료비 산정을 위해 건강보험기관, 건강보험심사평가원 등에서 공유되기 때문에 해당 정보가 업무를 위해 유통될 수밖에 없는 특수성을 지녔다.
김 변호사는 과거 개인정보보호법이 제정되기 전 의료 현장의 특수성을 반영해 의료정보보호법을 별도로 제정하려는 움직임이 있었지만 지난 18대 국회에서 결국 무산되고 말았다며 무조건 보호하는 것보다는 의료 데이터를 잘 활용해 건강증진이라는 목표를 이루기 위한 조치가 필요하다고 말했다.
