대한개원의협의회 보험이사 김재연
국가가 의료를 통제하고 공급하고 관리하면서 국민이 의료제도를 이용하면서 발생하는 개인정보의 유출우려가 없는 시스템을 누가 만들어야 한다고 생각하는가? 과연 그것이 의사들의 의무일까? 아니면 국가의 의무일까? 보건복지부(이하 복지부)는 건강보험심사평가원(이하 심평원)의 인증 업무는 오직 ‘청구’에 국한된 인증이라고 주장하고 있다. 하지만 ‘요양급여비용 심사청구소프트웨어 검사 등에 관한 기준’ 고시는 다음과 같다. 제2조(검사대상 및 범위) ① 검사대상은 「국민건강보험법」 제42조제1항 각 호에 따른 요양기관의 요양급여비용 심사청구소프트웨어(이하 “청구소프트웨어”라 한다)로 한다. 다만, 개별 요양기관에서만 사용할 목적으로 자체개발 또는 외주 개발된 청구소프트웨어(이하 “자체개발 청구소프트웨어”라 한다)를 사용하는 병원급 이상 한방 진료 분야의 청구소프트웨어는 예외로 한다. ② 청구소프트웨어의 검사 범위는 다음 각 호와 같다. 다만, 검사대상에 해당하는 한방 진료 분야 청구소프트웨어의 검사 범위에는 제5호가 포함되지 않으며, 자체개발 청구소프트웨어를 사용하는 병원급 이상 요양기관의 청구소프트웨어 검사 범위는 제5호로 한정한다. 1. 데이터 송·수신 기능 2. 접수 및 심사결정, 진료비지급 관련 부문 3. 보완·추가청구, 자료의 백업 기능 4. 진료내역 등 로그(LOG) 관련 데이터베이스의 시간 저장 기능 5. 의약품 처방·조제 지원 소프트웨어 기능 6. 보건복지부장관이 정한 청구방법 등에 관한 기능 및 데이터 부문 위에서 보다시피, 정부는 의료기관이 사용하는 전자차트에 대해서 보안이나 해킹 등과 관련해서 전혀 보증하지 않고 검사범위에 포함되어 있지 않다. 이 같은 이유로 향후 의료기관에서 전자차트를 사용하다가 벌어지는 모든 문제는 사용자인 의료기관과 제공자인 전자차트 업체의 문제이지만, 심평원이나 복지부 역시 관련 규정에 보안 방지 규정을 넣지 않은 책임으로부터 자유로울 수는 없어 보인다. 청구프로그램에 대한 해킹으로 대량 환자정보 유출시 그 책임은 청구프로그램 업체와 심평원 모두에게 있다. 마찬가지로 진료로 인해 발생하는 환자 개인정보보호문제는 국가가 모든 의료와 수가까지 통제하기 때문에 발생하는 문제이므로 그 책임 역시 국가에 있다. 지금까지 대한민국 정부는 의료행위가 있는 한 발생하는 분쟁 문제라면 국가의 책임이 아닌 의사 개인의 책임으로만 만들어왔다. 이러한 상황속에서 대한의사협회(이하 의협)는 복지부 2중대의 역할을 할 것이 아니라 회원들 입장에서 국가의 책임소재를 명확히 하고, 국가가 국민의 개인정보를 보호할 수 있는 의료기관 전산시스템을 구축하라고 요구해야 한다. 들리는 소식에 의하면, 행자부에서 2016년 4월 이후, 정부부처 합동 조사반을 조직하여 의료기관 뿐 아니라 개인정보 보호법을 준수해야 하는 기관들을 대상으로 방문할 예정이라고 한다. 행자부는 조사 기관 대상 명단을 복지부에 요청한 상태이고, 복지부는 심평원 홈페이지에서 자율 점검 시행을 하지 않은 곳의 명단을 ‘우선적’으로 넘기겠다고 답변한 것으로 알고 있다. 의협에서는 복지부 공문을 재인용하는 과정에서 복지부가 자율점검에 참여하지 않은 곳을 우선적으로 개인정보보호법 63조 ‘자료 제출 요구 및 검사규정’에 의거하여 행자부 실사 대상에 포함될 것이라고 회원들에게 협박 아닌 협박을 하고 있다. 다른 신문사에서 발행된 기사를 보면 ‘대한의사협회(의협, 회장 추무진)는 개인정보보호 자율점검 신청 시한이 10월말로 다가옴에 따라 병의원 등 일선 요양기관들이 자율점검을 신청을 마쳐 정부의 현장점검 등 불편을 겪지 말도록 안내했다’는 내용과 ‘심평원이 '자율점검지원시스템'을 개발해 그 사용법에 대해 교육을 하고 있으며 의무적으로 교육을 이수해야 하는 것은 아니지만 자율점검 신청조차 하지 않으면 정부의 현장점검 대상에 포함될 수 있다’고 밝혔다. 더욱이 의협의 손문호 정보통신 이사는 개인정보 보호법을 열심히 지켜야하고, 의료기관들이 개인정보 보호법을 지키는데 어려움이 있기 때문에, 50% 이상의 의료기관이 자율점검에 참여하면 ‘개인정보 보호수가’를 신설하는 것을 추진하겠다고 밝혔다고 한다. 의사들이 개인정보를 빼돌린 사례가 있는가? 의료기관의 개인정보 유출 사고는 약학정보원, SK전자처방전, 지누스 이처럼 3곳에서 발생했다. 그동안 대형병원에서의 개인정보 유출이 문제가 되었던 것이지 의원에서 무슨 정보유출이 문제가 된적이 있었는가? 의원의 정보 빼가려면 그냥 컴 들고 나가면 되는 것이지, 종이 챠트 몇 장 가져가서 어디에 사용할 것인가? 이러한 현실속에서 개인정보보호법에 따르면 종이차트를 아직도 활용하는 경우 이중 잠금장치와 함께 CCTV를 설치하라고 한다. 의료보험환자를 보아야 하는 의료기관은 ‘강제 지정제’ 로 인해서 사회보험 청구를 위해 어쩔 수 없이 개인정보를 수집해야 하므로 개인정보보호법에 의해서 고통 받는 것은 부당하다고 판단된다. 의료기관에서는 이미 의료법 제21조에 따라 본인 이외에는 의료정보를 열람·복사할 수 없도록 하고 있다. 의료관련 정보는 의료법과 개인정보보호법이 모두 적용되는데 개인의 민감한 정보라는 점에서 이중으로 보호되는 것으로 의료기관이 정보 보호를 강화하기 위해서는 ▲의료정보 접근권한 강화 ▲접근통제시스템 설치 ▲개인정보암호화 등 기술적 조치가 이뤄져야하고 ▲개인의료정보 관리책임자를 두어야 한다. 특히 대부분의 의료기관이 IT수탁사(개인정보처리시스템 개발·유지보수·운영을 위탁받아 대행해 주는 소프트웨어사업자)에 정보관리를 맡기고 있어 평상시 이들의 운영실태를 점검할 필요가 있는 것이지 의료기관에 있지 않음은 그동안 개인정보유출사고의 대부분이 IT수탁사의 처리과실이나 부주의로 인해 발생한 것으로부터 알 수 있다. 개인정보유출을 막기 위해서 가장 중요한 것은 IT수탁업체들의 관리실태 개선이므로 의료기관은 자체적인 개인정보 보호로 국한해야 할 것이다. 복지부는 겉으로 개인의료정보 보호를 외치고 있지만, 실질적으로는 대형 전산업체에게 특혜를 주는 ‘의료정보 보관 신시장 활성화 정책’을 펼치고 있다는 사실은 다음에서 알 수 있다. 지난 2011년 1월 복지부는 대한의사협회의 전자처방전 관련 질의에 대한 회신을 통해 ‘처방전을 환자에게 교부하지 않고 제3자에게 전송하는 행위, 환자의 동의 없이 기록을 확인케 하는 행위는 의료법에 저촉된다’는 취지의 유권해석을 내린바 있다. 문제는 이러한 유권해석을 내렸을 뿐, 이후 복지부에서는 전자처방전 등 개인의료정보의 불법 유통 및 사용에 대한 아무런 조치를 취한 바가 없었다고 한다. 이와 관련 2014년 김성주 의원실에서 개인의료정보 보호 및 조치와 관련해 질의한 결과, 복지부와 심평원은 모두 자기 소관이 아니며, 외주 전산업체 서버에 개인의료정보 저장 여부 등에 대한 조사는 행정자치부 등 권한 있는 타 기관에서 해야 할 사항이라며 답변했다. 뿐만 아니라 개인의료정보 보호 관련 법률안들이 18대 국회에서 활발히 발의되는 등 복지부가 관련 대책을 내놓을 충분한 시간이 있었음에도 별다른 조치 없이 초유의 개인정보 유출 사태를 바라만 보고 있었던 것으로 드러났다. 결국 복지부는 올해 7월 검찰이 전 국민의 90%에 달하는 4400만 명의 진료·처방 정보를 불법 수집·판매한 의료프로그램 개발업체 등을 대거 기소하는 사태가 발생하자 부리나케 개인의료정보 보호에 나서는 뒷북을 치고, 늦장 대응 행태를 보이다가 애꿎은 의료기관에게 개인정보 보호를 위한 단속으로 방향을 잡고 있는 것이다. 2014년 5월 12일 복지부(보건의료정책과)는 국무조정실로 보낸 ‘의료 전자의무기록 관리·보존방법 개선’ 관련 부처의견을 통해 ▲의료정보가 인터넷데이터센터(IDC) 통해 통합 관리 저장될 경우 개인정보 대량유출 위험성 높다 ▲최근 의료정보 대량 유출 사건으로 국민의 우려 고려해야 한다. ▲의료정보 보안에 대한 국민 신뢰형성 및 사회적 합의가 우선이다 라며 외부업체의 관리·제공에 대해 분명한 반대의 뜻을 표한 바 있다. 그러나 복지부는 2015년 1월과 2월 무역협회, 의료정보학회, 의료정보업체 등과 수차례 만나 의료정보 집적 및 외부관리 제공에 찬성의 뜻을 표하면서 불과 반년 만에 입장을 변경한 것이고, 이후 6월에서야 의협·병 협 등 의료계 단체와 ‘전자의무기록 보관 , 관리 개선방안 설명회’를 개최하며 개인의료정보를 취급하는 의료단체의 의견을 듣게 된 것이다. 반면에 기획재정부는 2014년 12월 153건의 규제 기요틴 과제를 발표하면서 서비스산업 분야 규제로 의료기관 진료기록의 관리·보관의 편의성 제고를 내걸었고, 복지부는 의료정보 보관 신시장 활성화를 위한 대안마련을 하겠다고 밝힌 바 있다. 정부는 앞에서는 개인의료정보 보호를 외치고, 실제로는 국민의 소중한 건강정보를 매매토록 방치하고, 대형 전산업체에게 특혜를 주는 의료정보 신시장 활성화 정책을 추진하고 있는 것이다. 한편 2014년 기준 전자의무기록시스템을 사용하는 의료기관은 92%에 달했으며, 평균 전담인력은 2.7명으로 병원급과 의원급 의료기관에서는 전담인력이 1명도 채 안되는 수준으로 오히려 의료기관 서버 해킹 등 병의원의 시스템 보안 관련 정부차원의 예산지원이 오히려 필요한 시점이라고 본다. 정부는 환자 등 정보주체의 동의 없이 개인의 의료정보를 관리하는 전산업체가 무단으로 자료를 접속, 열람, 무단 판매하는 것을 사전에 막을 효과적인 방법이 없는 현실에서 의료기관별 개인 정보 보호를 위한 자율점검이 시급한 것이 아니라 개인의료정보를 관리하는 외주 전산업체에 대한 관리·감독 방안을 시급히 마련해야 한다.
Comments