근래 세브란스병원, 가톨릭의료원, 고려대의료원 등 대형병원 17곳에서 환자 18만명의 환자정보가 제약사로 유출돼 올해 7월 행정처분이 내려진 가운데, 상급종합병원 내 전문 개인정보보호 책임자를 도입하는 방안이 추진된다.
기존에는 의료기관 대표자 또는 임원이 개인정보보호 책임자를 겸직할 수 있도록 해왔던 규정을 변경, 관련 학력·경력이 있는 담당자를 새로 둬야 하는 게 골자이기 때문에 의료기관은 새로운 부담이 예상된다.
개인정보보호위원회(위원장 고학수, 개인정보위)는 최근 의료기관 개인정보 관련 제도 개선을 본격 추진한다고 밝혔다.
대상은 고유식별정보 및 건강 등 환자 민감정보를 대규모로 보유한 45개 상급종합병원으로, 개인정보 보호 분야 전문성 및 경험을 갖춘 전문인력이 관련 업무를 총괄토록 하는 게 핵심이다.
개인정보위는 지난 12일 20여개 상급종합병원 소속 개인정보보호 책임자와 함께 간담회를 갖고 이 같이 결정했다. 간담회에는 대한병원협회 측도 참석했다.
개인정보위에 따르면 올해 3월 ‘개인정보 보호법’ 개정을 통해 개인정보 보호책임자 독립성 보장의무와 자격요건을 신설했다.
이미 개인정보 보호법에 따라 기존에도 의료기관을 포함한 개인정보처리자에게 개인정보 보호책임자 지정 의무를 부여하고 있었지만, 조직의 대표자 또는 임원 등이 수행토록 직위요건만 규정하고 있었다.
개인정보위는 “다수 의료기관에서 개인정보 보호 분야에 대한 경험·이해가 부족한 의료진 및 행정인력이 책임자를 겸임하는 등 전문성 확보에 한계가 있었다”고 배경을 설명했다.
이에 개인정보 보호 책임자 전문성·독립성 확보를 위해, 학력 및 개인정보 보호 경력 등 자격요건을 도입한다는 계획이다.
개인정보위는 특히 “전문성을 갖춘 의료인 개인정보 보호책임자가 양성될 수 있도록 의료분야 특수성을 고려한 경력인정 체계 도입을 검토하고 맞춤형 교육 및 컨설팅을 제공하는 등 다양하게 지원하겠다”고 밝혔다.
연말까지 의료기관 자율점검 유도···병원계 “의료현장 감안 합리적 개선”
자율 점검 및 인센티브제를 통해 의료기관의 동참도 이끌어낸다는 복안이다.
개인정보위는 “대한병원협회 등 의료계 자율규제 단체를 통해 연말까지 자율점검을 집중 추진하고 우수기관에는 과태료·과징금 감경 등 인센티브를 부여해 의료기관의 개인정보 보호 자율규제 활동도 적극 지원하겠다”고 말했다.
그러면서도 지난 9월부로 개정·시행된 개인정보 보호법으로 개인정보 침해사고 발생 등 법을 위반한 개인정보처리자에 대한 처벌이 강화된 점도 강조했다.
과징금 상한액 기준을 ‘위반행위 관련’에서 ‘전체 매출액’ 3% 이하로 변경했기 때문에, 의료분야의 개인정보 보호에 더 각별한 주의를 기울여야 한다는 취지로 해석된다.
그러나 병원계 관계자들은 현장성을 반영한 제도 개선이 필요하다는 의견을 피력했다.
개인정보위 간담회에 참석했던 상급종합병원 개인정보 보호 책임자들은 “의료 분야 전문성을 지닌 책임자를 도입하는 취지에는 공감하나, 의료현장을 고려한 적용범위 설정 등 합리적 제도설계가 필요하다”고 입을 모았다.
이 같은 제도 개선에는 대형병원들의 환자정보 대규모 유출 사건이 불씨를 당긴 것으로 보인다.
실제 개인정보위 조사 결과, 2018년 4월부터 2020년 1월까지 17개 대형병원에서 내부 직원 또는 외부자인 제약사 직원을 통해 총 18만5271명의 환자정보가 유출된 것으로 드러났다.
세브란스병원에서는 5만7912명의 환자정보가, 가톨릭의료원에서는 ▲서울성모병원 (1만6463건) ▲여의도성모병원(1만7115건) ▲은평성모병원(3633건) ▲의정부성모병원(2만27건) ▲부천성모병원(9673건) ▲성빈센트병원(38건) 등이 유출됐다.
고려대의료원의 경우 고대안암병원 1399건, 고대구로병원 1만4385건, 고대안산병원 1만4038건 등이 유출됐다.
수법은 내부 직원이 제약사 직원에게 환자정보를 전자우편(이메일), USB 등을 통해 제공하거나, 제약사 직원이 병원 시스템에 접속해 환자정보를 촬영하거나 다운로드하는 방식 등으로 조사됐다.
개인정보위 조사 과정에서 대부분의 병원들은 개인정보 취급자가 개인정보처리시스템에 접속한 기록을 2년 이상 보관하지 않았거나, 개인정보 다운로드 사유 등을 확인하지 않거나, 월 1회 이상 접속기록 등을 점검하지 않은 것으로 드러났다.
이에 개인정보위는 금년 7월 전체회의를 열고 개인정보보호 법규를 위반한 17개 병원 중 16곳에 과태료를 부과하고 전체 병원에는 개선을 권고키로 의결했다. 이들 병원에는 총 6480만원의 과태료가 부과됐다.
한편, 국회서도 이를 주시하고 있다. 국회 보건복지위원회 최혜영 의원(더불어민주당)은 “해당 사건에 대해 보건복지부가 제재 사실을 파악하지 않고 있었다”고 질타했다.
이어 “환자정보 1인 당 100원 수준에 불과한 과태료로는 유출을 예방할 수 없고, 수술실 CCTV 영상 등 더 심각한 정보 유출이 발생할 수 있는 만큼 의료법 위반에 따른 엄중한 조치가 이뤄져야 한다”고 지적했다.
이슬비 기자 (
