39호(200611) 표지이야기 [의료정보화의 그늘]

개인 의료정보에 대한 법적 보호 마련되나

현재 개인 의료정보는 법적으로 어떻게 보호되고 있나? 보건의료기본법 및 의료법 등에 의료 정보를 보호하기 위한 관련 조항이 있기는 하다. 그러나 의료 정보화의 진척에 따라 개인 의료정보의 데이터베이스화가 확대되고, 디지털 의료정보의 활용도가 높아짐에 따라 보다 체계적이고 종합적인 보호 법안의 마련이 필요하다는 요구가 높아지고 있다.

지난 10월 24일, 보건복지부는 '건강정보보호 및 관리운영에 관한 법률(안)'을 입법 예고하였다. 그리고 11월 6일 경에 관련 공청회를 개최할 예정으로 있다.
이 법률안에서는 다른 법률에서 특별히 정하는 경우(예를 들어, 전염병 환자의 관리에 필요한 경우나 수사기관에서 영장을 발부받아 요청하는 경우 등)를 제외하고는 건강정보의 수집·활용을 위해서는 개인의 동의를 구하도록 했으며, 통계·연구의 목적으로 개인 식별이 불가능한 건강기록을 수집·활용하는 경우에도 해당 기관의 승인을 받도록 하고 있다. 또한 각 의료 기관이 지켜야 할 건강정보보호 지침을 마련하도록 하고 있다.
이와 함께 건강정보의 활용도 고려하고 있다. 법안에서는 의료기관들이 진료에 필요한 범위 내에서 건강기록을 교류할 수 있도록 하고 있는데, 보건복지부는 보도자료를 통해 "의료기관은 의료소비자에게 신속한 서비스를 제공할 수 있으며, 향후 의료기관 간의 협진과 원격진료 활성화 등 의료서비스의 대대적인 변화가 기대된다"고 말하고 있다.

그러나 의료정보의 민감성에 비추어 보았을 때, 보호의 수준을 좀 더 엄격하게 규정해야 한다는 지적이 많다. 법안에서는 개인정보 보호를 위한 관리적·물리적·기술적 조치를 포함한 지침을 보건복지부가 고시하고 각 급 의료기관에서 이를 준수하도록 하고 있다. 그러나 그 내용은 시행령에서 정하도록 하고 있는데, 실제 의료 정보가 축적되고 유출의 가능성이 높은 곳이 각 의료기관임을 고려할 때, 중요한 원칙은 법안에서 규정해야 한다는 의견이다. 예를 들어, ▶ 업무에 필요한 최소한의 한도에서 의료정보에 접근할 것, ▶ 의료 정보에 대한 모든 접근, 이용을 기록으로 남길 것, ▶ 문제 발생 시 해당 개인에게 통지할 것, ▶ 문제 발생 시 입증 책임은 의료 기관이 질 것 등이 지침에 포함될 필요가 있다.
또한, 건강보험관리공단과 같이 병원 등에서 개인정보를 제공받아 관리하고 있는 '취급 기관'에서는 수집된 개인정보를 제3자에게 제공하지 못하도록 할 필요가 있다. 왜냐하면, 2차 수집 기관에서조차 제3자에게 제공할 수 있도록 한다면, 개인정보 유출의 가능성이 높아지고, 향후에 문제가 발생할 경우 책임 소재가 모호해지기 때문이다. 그밖에 법안에서 개인의 동의를 받도록 하고 있는데, 동의 절차를 엄격하게 규정해야 한다는 의견이다.

국가가 국민의 건강정보를 통합·관리하려는 것이 아니냐는 의혹도 제기되고 있다. 실제로 국가 보건의료 정보화의 청사진을 그리면서, 한 개인의 평생 동안의 건강·의료 기록이 체계적으로 관리되는 사회를 상정하는 의견도 존재한다. 그러나 이 법률안에서 각 의료기관의 개인 의료정보의 통합을 규정하고 있지는 않다. 다만, 법안에 의해 설립되는 건강정보보호진흥원의 업무 중에 '전자건강기록의 위탁관리를 요청하는 기관의 관련 정보시스템의 구축·운영 지원'을 규정하고 있다. 중소 규모의 병·의원의 경우 자체적인 전산 관리가 힘들 경우, 진흥원에 위탁하도록 할 계획인 것으로 보인다. 그러나 진흥원에 위탁하는 병·의원의 수가 커진다면, 또한 보건소 등 공공 의료기관의 전자건강기록까지 진흥원에서 관리하게 된다면, 사실상 국민 건강정보 통합 데이터베이스의 기반이 될 수 있다는 우려가 제기될 수도 있다.

현재 국회에 오래 동안 계류 중에 있는 개인정보보호기본법과의 관계도 문제다. 특히 건강정보보호진흥원의 업무는 기본법에 의해 설립될 예정인 '개인정보보호위원회'의 업무와 상당부분 겹칠 전망이다. 따라서 개인정보보호위원회와 개별 영역의 보호기구와의 관계 문제가 우선 정리될 필요가 있다. 예를 들어, 보건의료 분야의 개인정보는 개인정보보호위원회 산하의 분과를 두어 관리하는 것이 적절할지, 아니면 각 개별 영역마다 별도의 개인정보 보호기구를 두는 것이 좋을지 등에 대한 밑그림이 먼저 그려질 필요가 있다.

한편 법안의 주요 내용에 대한 입장이 병원 경영자, 의사, 의료 노동자, 시민사회단체 등 각 이해당사자에 따라 차이가 많은 상황이다. 법률안이 국회에서 순조롭게 통과될 수 있을지 주목된다.

* 관련 법령 - 보건의료기본법 제12조 (보건의료서비스에 관한 자기결정권) 모든 국민은 보건의료인으로부터 자신의 질병에 대한 치료방법, 의학적 연구대상 여부, 장기이식 여부 등에 관하여 충분한 설명을 들은 후 이에 관한 동의 여부를 결정할 권리를 가진다. 제13조 (비밀보장) 모든 국민은 보건의료와 관련하여 자신의 신체·건강 및 사생활의 비밀을 침해받지 아니한다. - 의료법 제19조 (비밀누설의 금지) 의료인은 이 법 또는 다른 법령에서 특히 규정된 경우를 제외하고는 그 의료·조산 또는 간호에 있어서 지득한 타인의 비밀을 누설하거나 발표하지 못한다. 제21조의2 (전자의무기록) ③누구든지 정당한 사유없이 전자의무기록에 저장된 개인정보를 탐지하거나 누출·변조 또는 훼손하여서는 아니된다.