최근 개인정보보호 실태 자율 점검 교육을 두고 논란이 가시지 않고 있다. 의료계는 "환자 정보 유출 사건의 주범은 의료정보 관련 청구업체인데 화살은 의료기관을 향하고 있다"며, 불쾌감을 드러내고 있다. 특히 환자 개인정보를 불법 수집·판매하는 행위를 단속해야 할 정부가 그 역할을 하지 못하고 있다고 불만이 가득하다.

이에 복지부는 이번 교육은 개인정보보호 미비점, 각종 숙지할 내용, 가이드라인 등을 담고 있으며, 이것이 잘 진행되고 관리되면 개인정보보호와 관련 큰 문제가 되지 않는다는 점을 강조하고 있다. 의약계에서 복지부가 책임을 전가하고 있다는 지적을 하고 있지만 그렇지 않다는 것이다.

이형훈 보건복지부 보건의료정책과장은 19일 복지부 전문기자협의회와 간담회를 갖고 "이번 교육이 검찰의 진료정보 불법 발표 후속조치여서 오해할 가능성은 있지만 의협·병협·약사회·심평원 등과 협의해 진행하는 것으로 의약계에 협조하고 도와드리는 차원"이라고 해명했다.

개인정보보호법에 의해 민감한 진료정보를 다루는 기관은 관리의무가 있다. 의약기관도 예외가 아니다. 이번 사건을 계기로 어떤 내용의 정보보호 내용이 있는지 등을 숙지하고 혹시라도 부족한 부분이 있으면 자율점검으로 확인하자는 것이 목표다.

자율점검은 각 협회와 협의해 지역실정에 맞춰 교육 후 진행된다. 이후 행자부는 개인정보 관련 현장점검에 나설 수 있다.

이에 앞서 복지부·행자부·병협은 올 상반기에 자율점검을 한 바 있다.

개인정보보호법을 관리·관장하는 곳은 행자부다. 보건의료분야는 복지부·관련 협회와 협조해 점검하게 된다. 자율점검을 통해 미비점을 보완하고 더 주의하라는 것이지, 자율점검으로 실태조사해 처분하려는 것은 아니라는 것.

따라서 이 과장은 "교육을 통해 개인정보보호 가이드라인을 이해하고 이행할 수 있으면 된다"면서, "자율점검 참여기관 명단은 행자부에 전달할 수 있기 때문에 이 기회에 교육을 받아두면 좋을 것"이라고 전했다.

이에 앞서 복지부, 행자부, 병협은 올 상반기에 자율점검을 한 바 있으나 의원의 경우엔 숫자가 많고 다양성이 있어 진행되지 못했다. 

한편 의료현장에서 개인정보보호법을 잘 몰라 위반하는 사례들이다.

◇대다수 의원급 의료기관에서 종이로 신규환자에게 받는 접수증의 경우 = 의원급 의료기관은 이 때 환자 이름, 주민등록번호, 주소, 전화번호와 추가적으로 증상을 적는다. 종이에 적은 접수증을 의료기관에서 OCS 등에 입력하는데 OCS에서 입력하고 나면 종이로 된 접수증은 파기해야 한다.
자체적으로 파기계획을 수립해야 하는데 유출되지 않도록 잘 보관한 후 단시간 내에 파기해야 한다.

◇의료기관에서 종이로 처방, 진료기록을 작성한 후 OCS 등에 입력하는 경우 = OCS에 입력하고 나면 종이로 작성한 처방, 진료기록은 파기해야 한다. 이후엔 앞과 동일하다.

◇의료기관 및 약국에서 OCS, EMR, 건강보험청구 SW, 약국경영관리시스템을 외주 전산업체와 위ㆍ수탁 계약을 체결하여 운영하는 경우 = 수탁자(외주 전산업체 명의)와 위탁한 업무사항을 공개해야 한다(계약서 자체를 공개하는 것은 아니다). 홈페이지가 있을 경우 홈페이지 또는 홈페이지가 없을 경우 요양기관 내 게시물을 게재해야 한다. 그리고 외주 전산업체와 위ㆍ수탁 계약을 체결할 때 행정자치부에서 제공하는 표준계약서 내용을 사용ㆍ반영해야 한다.

◇환자에게 개인정보 수집ㆍ이용ㆍ제공동의서를 받아야 하나 = 의료법, 약사법, 국민건강보험법 등 관련 법률에 따라 당연히 환자의 개인정보를 수집ㆍ이용하는 경우 환자에게 개인정보동의서를 받을 필요는 없다. 불필요하게 받은 동의서를 파기하지 않고 이면지로 재활용 또는 쓰레기통에 버리게 되면 이것이 개인정보보호법을 위반하게 되는 것이다.

◇진료목적으로 수집한 개인정보를 다른 용도(연구목적)으로 이용할 수 있나 = 요양기관 내에서 다른 진료과에서 수집한 환자 개인정보를 타 과 또는 해당 과에서 진료목적이 아닌 연구 등의 목적으로 사용하려면 환자가 식별될 수 있는 개인정보는 삭제해야 한다.