직원이 환자의 개인정보를 도용한 경우 의료기관의 책임은?

법무법인 세승

변호사 임원택

2017. 3. 29. 감사원은 환자의 전자의무기록을 무단으로 열람하고 제3자에게 그 내용을 전송한 모 대학병원 직원들을 의료법 위반 혐의로 고발하였다. 의료법 제87조 제1항 제2호, 제23조 제3항은 누구든지 정당한 사유 없이 전자의무기록에 저장된 개인정보를 탐지하거나 누출하는 경우 5년 이하의 징역 등에 처하도록 규정되어 있다.

그런데 직원 이외 병원은 아무런 책임이 없을까. 법원은 최근 보험회사 직원이 사적인 목적으로 사내 전산망을 통해 다른 직원의 개인정보를 조회하고 사용하였다면 회사에게도 손해배상책임이 있다고 판결하였다(서울중앙지방법원 2016가단5038590).

삼성생명은 A가 근무하는 보험대리점에게 보험사가 수집한 직원들의 개인정보 처리 업무를 위탁했다. 그런데 A는 회사 전산시스템에 접속하여 자신의 남편과 외도를 하고 있다고 의심되는 삼성생명의 보험설계사 원고1와 원고1의 남편 원고2의 전화번호, 주소 등을 알아냈다. A는 원고2에게 전화해 "원고1과 내 남편이 불륜관계인 것으로 의심된다.”고 말하고, 시어머니에게는 원고1의 전화번호와 주소를 알려주었다. 이 사건에서 법원은 직원이 개인정보의 수집목적 범위를 초과하여 사용하였다면, 사용자인 삼성생명에게도 개인정보가 유출되지 아니하도록 직원을 교육하고 감독할 의무를 다하지 않은 책임이 있으므로, 원고들이 입은 정신적 손해에 대하여 50만원씩을 배상하라고 판결하였다.

의료기관이 보관·처리하는 전자의무기록에는 환자의 건강과 관련된 내밀한 사항 등이 포함되어 있기 때문에, 일단 공개되면 환자의 인격적·정신적 내면생활에 지장을 초래하거나 자유로운 사생활을 영위할 수 없게 될 위험성이 있다(대법원 2011도9538 판결). 의료기관의 관리 소홀로 인해 소속 직원이 정당한 이유 없이 전자의무기록을 탐지하였다면 의료기관도 배상책임을 부담할 수밖에 없다. 의료정보가 암시장에서 금융정보의 10배 가격으로 유통된다는 점을 감안할 때 실제 배상액은 위 사례의 50만원 보다 훨씬 많을 수도 있다.

의료기관이 법적책임을 면하기 위해서는 직원들을 교육하고, 정보처리현황 등을 수시로 점검하는 등 개인정보를 안전하게 처리하도록 노력하여야 한다. 이미 도용된 경우에는 즉시 환자에게 지체 없이 개별적으로 통지하고, 대응조치 및 피해구제 절차에 대해 상세하게 설명한다면 배상책임을 최소화하는 데 도움이 될 수 있다.

의료법 개정안(2017. 6. 21.시행)에 따르면, 환자가 원하면 전국 어느 병원에서나 CT나 MRI 등의 영상정보를 전송받아 진료에 활용할 수 있게 된다. 보건복지부는 정보 유출사고를 대비해 전송 지원시스템을 운영할 공공기관에게 강력한 보호조치 의무를 부여하겠다고 한다. 의료기관 내부적으로도 환자정보에 대한 접근권한을 차등적으로 부여하고 이를 추적·감시할 수 있는 전산시스템을 마련할 필요가 있다.

( 출처 : 보네르 )