병원들 불만 "현실 반영 안됐다"
사회적으로 개인정보 유출과 관련된 사건들이 지속적인 발생하면서 개인정보 보호 및 보안에 대한 관심이 높아지고 있다. 이에 보건복지가족부는 "의료기관 개인정보보호 가이드라인(안)"을 발표했지만, 의료·병원계와의 견해차를 줄이기 위해서는 아직 넘어야 할 산이 많은 것으로 나타났다.
복지부는 26일 서울아산병원 교육연구관 1층 대강당에서 "의료기관 개인정보보호 가이드라인(안)" 공청회를 개최, 병원계 및 법무, 보안업계쪽의 의견을 수렴했다. 이번 가이드라인은 2009년 7월 정보통신망법 시행규칙 개정 이후 울산의대 인문사회의학교실 김장한 교수팀과 함께 2009년 9월부터 준비한 최초의 결과물이라는 점에서 의미가 있다. 하지만 병원계는 최초의 가이드라인이라는 의미 외에 내용 및 구성은 수정해야할 부분이 많고 현장의 상황을 고려하지 않아 실질적인 활용도가 낮다는 점을 강조했다.
2009년 7월 정보통신망법 시행규칙의 개정 이후 병원이 개인정보 보호의 의무를 지켜야하는 사업체의 범위에 포함됨으로서 의료기관의 개인정보 보호는 커다란 과제로 떠올랐다. 이에 병원은 물론 보안업체에서도 지속적으로 대안을 제시한 자리들을 마련해 왔고, 그렇기에 가이드라인은 발표 전부터 개인정보 보호에 대한 의료기관들의 방향성과 범위를 제시해줄 수 있다는 점에서 기대를 모아왔다.
가이드라인에서는 500병상 이상 병원들을 대상으로 의료정보, 진료정보, 개인식별자 정보가 포함된 개인정보 보호를 위해서 기관 내 개인정보보호위원회를 설치하는 것부터 이를 위한 담당인력 채용, 고용 기준, 외부기관 평가방법, 개인정보 관리에 관련된 전산기기의 활용, 보안정도 등 세부 사항에 이르기는 전반적인 내용을 다루고 있다.
하지만 패널로 참석한 병원 관계자들은 의료기관의 개인정보 보호의 필요성과 최초의 가이드라인이 적절한 시기에 발표됐다는 점에 공감을 표하면서도, 가이드라인이 정통망법의 관리규정을 따르고 있다는 점에 대해서는 실망감을 숨기지 않았다.
우선 가이드라인이 대상으로 하는 "개인정보"라는 용어 정의에서부터 문제가 제기됐다. 대한병원협회 이경권 전문위원은 "의료정보에 있어서는 개인식별자가 가지는 정의가 애매하고, 정보자산이라는 단어 역시 단순히 정보를 의미하는 것인지 이익으로 환산될 수 있는 정보를 의미하는지 불분명하다"고 말했다. 또 의료환경을 고려치 않은 정통망법을 적용하는 것에 대한 고려가 필요하다고 강조했다.
서울대병원 최진욱 교수는 "개인정보라는 단어보다는 의료정보 또는 진료정보라는 용어가 실질적인 활용까지 고려할 때 적절하다"고, 건국대병원 이인식 교수도 "가이드라인에서 의료정보 및 진료정보에 대한 정의가 없다"며 이 위원의 의견을 거들었다.
가이드라인의 방향성에 대한 문제도 지적됐다. 개인정보 보호보다는 보안에 대한 비중이 높아 전체적인 틀보다는 기술적인 측면에 치우쳐져 있다는 것이다. 대한의무기록협회 부유경 회장은 "사보험 활성화 등 사회적으로 개인정보 보호 및 보안의 필요성은 높아져가고 있지만, 가이드라인에 의료기관 개인정보의 제공, 동의, 정정, 이용, 폐기, 활용 등에 대한 실질적인 사항은 없다"고 지적했다. 최진욱 교수와 이인식 교수도 의료기관 별 차이를 고려하지 않은 상태에서 기술적으로 너무 구체적인 부분까지 안을 제시하고 있어 현실적으로 적용되기 힘들고 자원의 낭비를 초래할 수 있다고 지적했다.
부 회장은 "개인정보 이용에 필요한 동의를 환자들에게 얻을 때도 어떤 상황에서까지 얻어야 하고, 환자들에 대한 이해는 어떻게 시킬 것인지에 대한 대안이 필요하다"고 덧붙여 임상 현장에서의 어려움도 고려되지 않았다고 말했다. 이와 함께 무조건적으로 보호되는 일반적인 개인정보와 달리 의료기관의 개인정보는 연구목적으로 활용될 수 있지만 이에 대한 구체적인 사항은 빠져있다는 점도 지적됐다.
가이드라인을 시행했을 때 발생하는 문제들도 패널들의 눈을 피해갈 수 없었다. 가장 부각된 문제는 비용. 이경권 위원을 비롯 부유경 회장, 최진욱 교수, 이인식 교수 등은 부서운영, 인력고용, 유지관리 등 많게는 수억원까지 발생할 비용을 병원에서 모두 부담하는 것은 힘들다는 의견에 입을 모았다. 특히 500병상 이상 기관은 3년, 1000병상 이상은 2년마다 평가를 받아야 한다는 점에서 비용은 물론 업무에도 부하가 걸릴 수 있고, 이는 개인정보보호 교육 프로그램에도 동일하게 적용되는 부분이라고 강조했다.
부 회장은 "타 산업체처럼 이윤을 조절할 수 없는 상황에서 수가에 비용금액을 추가하거나 정부의 재정적 지원이 필요하다"고 말했다. 최 교수도 "복지부에서의 예산투자와 함께 의료기관에 대한 보상에 대해서 생각해야 한다"는 의견을 더했다.
이날 가이드라인을 발표한 김장한 교수와 복지부 관계자는 공청회의 내용을 고려, 2월 초에 가이드라인을 발표하겠다고 계획을 밝혔다.
임세형 기자
shlim@monews.co.kr