39호(200611) 표지이야기 [의료정보화의 그늘]

개인 의료정보 무방비 상태로 노출

지난 10월 24일, 경찰청 사이버테러대응센터는 건강보험 가입자 수만 명의 개인정보를 빼낸 혐의로 H신용정보 등 11개 신용평가사, 2개 카드사, 6개 대부업체 등 법인 19곳과 이들 업체 임직원 32명을 불구속 입건했다. 이들은 20여 개의 병원·약국으로부터 건강보험정보 접속용 아이디와 비밀번호를 입수하여 채무자 1만 4585명의 개인정보를 28만여 차례에 걸쳐 빼낸 혐의를 받고 있다. 함께 입건된 M정형외과에 근무하는 간호사 이씨는 H신용정보 채권추심원인 남자친구에게 아이디와 비밀번호를 알려준 것으로 드러났다.
한편, 열린우리당 김춘진 의원에 따르면, 병·의원의 처방전이 부실하게 관리되고 있어 개인정보에 대한 유출이 심각하게 우려되고 있다고 한다. 2005년 4억700만 건 등 연간 처방전 발행건수는 해마다 증가하고 있지만, 보존 후 폐기처분에 대한 법적 규정이 없기 때문이다. 실제로 지난 4월에는 청주시 한 고물상에서 처방전이 폐지 뭉치로 발견된 바도 있다고 한다.

병원에서의 의료정보 유출 위험도 크다. 각급 병원들이 앞다투어 병원 전산화를 추진하고 있지만, 환자들의 개인정보를 보호할 수 있는 기술적, 법적 조치는 매우 부실한 상황이다.
최근 <병원 전산화 신기술 도입과 노조의 대응방안 연구팀 (의료연대노조/노동조합기업경영연구소/진보네트워크센터)>이 서울대 병원 조합원을 대상으로 한 설문조사는 문제의 심각성을 잘 보여주고 있다. 서울대 병원 본원은 지난 2004년 말부터 전자의무기록(EMR) 시스템을 도입하였는데, 환자 정보에 대한 권한 없는 접근이 가능하도록 되어 있어 환자 정보 유출의 위험성이 큰 것으로 나타났다. ‘EMR에서 본인이 돌보지 않는 환자에 대한 정보를 수정할 수 있는가’에 대한 질문에 대해 26.4%의 응답자가 ‘그렇다’고 대답하였다. 서울대 병원의 한 조합원은 다른 병동의 환자 정보를 열람하기 위해서는 접근 사유를 확인하기는 하지만, 정신과 등을 제외하고는 열람이 가능하다고 말했다. EMR 시스템에서 환자들에 대한 정보는 의사, 간호사, 사무직원 등 많은 사람들이 접근하도록 되어 있는데, 담당자에 따른 접근 권한이 엄격하게 되어 있지 않아 마음만 먹으면 자신이 담당하고 있지 않은 환자에 대한 정보에도 접근할 수 있도록 되어 있는 것이다.
기술적인 보완조치가 미흡할 뿐만 아니라, 정보 시스템 도입 과정에서 꼭 필요한 ‘정보보호 교육’ 역시 부실한 것으로 나타났다. ‘EMR 시스템 관련 교육시 병원으로부터 환자 정보보호에 대한 교육을 받았는가’라는 질문에 대해 64.5%의 응답자가 ‘받지 못했다’고 응답하였다. 환자들의 개인정보가 안전하게 관리된다고 생각하느냐는 질문에 대해 응답자의 90% 이상이 ‘아니오’라고 응답하여, 병원에서 근무하는 노동자들조차 환자들의 개인정보 보호가 매우 미흡한 상황임을 인식하고 있었다.
또한, 서울대 병원은 서울의대 교육 시간에 EMR을 활용한다는 것이 알려져 논란이 되기도 하였다.

<서울대 병원 조합원 설문조사 결과 - 환자 개인정보 보호 관련>



그나마 서울대 병원은 국립대학 병원 중에서는 정보 보호를 위한 제반 조치가 나은 편에 속한다. 열린우리당 김교흥 의원이 국립대학 병원의 정보화 실태에 대해 조사한 자료에 따르면, 아직 개인정보 보호규정 조차 없는 병원들도 상당수 존재하는 것으로 나타났다. 건강보험심사평가원의 설문 조사 결과에서도 전자의무기록(EMR), 처방전달시스템(OCS), 의료영상전송시스템(PACS) 등 정보시스템을 도입하고 있는 사업장의 35% 이상이 정보화 교육을 실시하지 않는 것으로 드러났다. 요양기관 종류별로 보아도, 40% 이상의 병원에서 보안교육 및 보안서약서 작성을 모두 시행하지 않고 있다. 관리적 측면에서도 접근통제 및 사용통제를 모두 적용하고 있는 병원은 43.9%에 불과하였다.

<요양기관 종류별 인적, 관리적 정보보안 현황>


개인 의료정보는 매우 민감한 개인정보다. 정신 질환, 비뇨기과나 산부인과 질환, 전염병 등 자신의 병력 정보가 타인에게 알려지는 것 자체로 개인에게 수치심을 유발하거나 사회적인 배제를 당할 수도 있다. 혹은 회사에 입사할 경우나 보험을 가입할 때 차별을 받을 수도 있다. 또한 의료정보가 안전하게 보호되고 있다는 것에 대해서 병원이 신뢰를 잃게 된다면, 환자들은 치료에 필요한 모든 정보를 제공하는 것을 꺼리게 될 것이며, 이는 원활한 치료를 방해하게 될 것이다.
환자 개인정보를 보호하기 위해서는 이를 관리하고 있는 의료 기관에서 기술적인 보안 장치를 갖춰야할 뿐만 아니라, 이를 규제할 수 있는 법적인 대책, 그리고 의료 정보를 이용하는 당사자들에 대한 교육 등 다각도의 대책이 시급하게 마련될 필요가 있다.