병원정보보안의 최근 이슈<1>
개인정보보호법 관련 문제점 및 자율규제 필요성
법무법인 세승
변호사 김선욱
다사다난했던 2018년이 저물고 있다. 올해에도 병원과 관련된 여러 사건 사고가 있었다. 병원운영의 자유를 제한하려고 하는 입법들은 여전히 병원계를 어렵게 하고 있다. 특히 환자권리나 의료사고 예방 등을 이유로 하는 수술방 CCTV 설치 여론에 대응하는 입법안은 법리적 문제를 논하기 전에 의료진을 잠재적 범죄인으로 취급하고 예방적 조치를 하자는 것이다. 일선에서 환자의 생명을 책임지고 있는 의료진들의 자존심도 많이 상하게 하고 있다.
빅데이터,AI,4차 산업혁명 등 새로운 기술과 관련 산업이 급속도로 발전하고 있다. 이 모든 변화에 DATA가 핵심 구성요소로 자리하고 있다. DATA는 석유와 비견되고 있다. 석유(원유)처럼 여러 변환과정을 거쳐 다양한 형태로 활용될 수 있기 때문이다. 산업적 유용성이 큰 만큼 반대로 DATA의 보호에도 많은 관심과 노력이 존재하고 있다. 지금도 형사재판이 진행 중인 약학정보원 사건을 보면 환자나 의사 또는 약사의 의료나 처방관련 정보가 거래의 대상이 되고 있다는 점을 알 수 있다. 특히 의료정보는 개인정보 중에서도 그 보호의 필요성이 매우 크다. 개인의 내밀한 사항을 담고 있기 때문이다.
EU는 올해 5월 GDPR(General Data Protection Regulation)을 시행하였다. EU거주민의 개인정보를 보호하고 그 유통에 대한 기준을 마련하였다. 특히 GDPR은 이를 위반한 경우 엄청난 규모의 과징금을 정해놓았다. EU회원국 이외의 나라에 있는 기업이나 병원이라도 EU거주민의 개인정보를 잘못 활용하면 과징금이나 손해배상의 대상이 되도록 역외적용 규정을 마련했다. 이미 페이스북과 같은 굴지의 회사가 GDPR위반 혐의로 고발이 되어 있다.
병원은 의료법에 근거해서 환자의 개인정보를 취득함이 원칙적으로 허용되어 있다. 다른 산업과는 달리 개인정보가 필수적으로 취득되는 의무기록을 작성함에 있어 미리 환자에게 동의를 구하지 않아도 되는 것을 보면 쉽게 이해할 수 있을 것이다. 기본법인 형법에 이미 의료인의 비밀보호의무 형사처벌 규정이 전제되어 있기 때문에, 의료기관에 모인 정보가 제3자에게 유출되지 않을 것이라는 기대가 있다. 또한 현행 의료법은 ‘누구든지 정당한 사유 없이 전자의무기록에 저장된 개인정보를 탐지하거나 누출ㆍ변조 또는 훼손하여서는 아니 된다.’고 규정(의료법 제23조 제3항)하고 있다. 따라서 병원 내 종사자라고 하더라도 정당한 사유가 없이 환자의 개인정보를 볼 수도 없다. 더 나아가 의료법은 개인의 정보를 누설하는 의료인에 대하여 형사처벌을 넘어서 면허정지처분까지 할 수 있게 규정되어 있다. 우리 의료법 체계는 이미 환자나 개인정보의 보호를 위한 충분한 법적 조치를 취하고 있는 셈이다.
그런데, 이에 더 나아가 일부 국회의원은 진료현장에서의 성적 문제 예방이나 의료과실 확인 등을 위해 또 다른 규제를 만들고자 한다. 그 입법취지를 부정하는 것은 아니다. 그러나 그 방법이 문제이다. CCTV라는 광범위한 개인정보 취득 기구를 활용하자는 점에 문제가 있는 것이다. 범죄의 예방을 위한 필요성 때문이라고 한다. 제한되는 기본권들은 환자의 초상권, 의사의 기본적 행동의 자유 등이 될 것이다. 자유주의 국가에서 CCTV라는 감시와 모니터링 방안은 최소화되어야 한다. 확대될수록 과거 인권의 제한이 대폭 강화되었던 경찰국가로 회귀하는 꼴이 된다.
의료사고나 성추행 등은 발생되어서는 안 되는 범죄이기는 하다. 전체 병원의 수에 비해서 이러한 사고가 발생하는 빈도가 명확히 조사되지 않았고 실제는 미미할 것이다. 그런데 이러한 벼룩을 잡기 위해 광범위한 기본권이 제한되는 입법조치를 하는 것은 과잉입법이다. ‘형벌의 보충성’이라는 법 원칙이 있다. 다른 제제나 감독수단이 있으면 형벌의 개입은 자제하고 이러한 수단이 없을 때 비로소 형벌이 최후로 적용되어야 한다는 것이다. 의료사고는 민사적으로 손해배상 청구가 가능하고, 최근 사례에서도 볼 수 있듯이 형사적으로 당해 의료진이 구속이 될 수도 있다. 성추행 등도 형사적으로 처벌이 이미 존재한다. 더 나아가 성추행 의료인은 취업이나 개업이 제한되는 막대한 행정처분도 같이 있다.
따라서 현행 법체계에 따라 해결될 수 있음에도, 추가적으로 법리에 맞지 않는 법(개인정보보호법)을 개정하려는 것은 과잉한 규제를 또 다시 만들어 내는 것에 불과하다. 소수의 감정풀이로 법을 만들어서는 안 된다. 문제는 소수의 잘못된 의료인들을 잡기 위해 법을 만들었다고는 하지만 그 피해는 환자들의 개인정보의 광범위한 침해 및 피해로 이어질 것이 충분히 예상된다는 점이다. 당초의 입법취지와 그 실제 결과가 달라질 것이 명확하다. 병원이 자율적으로 설치한 CCTV에 찍힌 연예인 사진이 병원 직원을 통하여 외부로 유출되어 논란이 되는 사건도 발생하였다. 정보는 모이면 언젠가는 유출되기 마련이다.
오히려 개인정보의 잘못된 관리나 유출의 위험을 막기 위해 병원 내에 무분별하게 설치되어 있는 CCTV나 개인정보 채집 및 관리 방식에 대하여 관심을 갖아야 한다. 병원은 정보관리 책임자를 두고 지속적이고 정기적으로 환자 등 채집된 개인정보 관리 시스템의 적정성 여부를 현행법에 따라 관리하고, 정보침해나 유출 등에 대한 평가를 해야 한다. 현재 병원 상황에서 개인정보 관리의 취약점이 어디인지 어떻게 보완하거나 정비해야 하는지를 알아내고 관리를 해두는 것도 필요하다. 더불어 병원장이 양벌규정으로 형사처벌을 당하지 않으려면 의료진 및 행정직원에 대한 정보관리에 관한 교육도 정기적으로 실시하여야 한다. 앞서 언급한 GDPR 입법례와 같이 개인정보는 한 나라에 국한되는 문제가 아니라 전 세계적인 파급효과가 있는 사안으로 변화되고 있다. 특히 외국인 환자를 유치하는 우리 병원들은 더욱 개인정보관리에 신경을 써야 한다.
이제 병원의 개인정보관리는 선언적인 수준을 넘었다. 그렇지는 않겠지만, JCI 등 외부인증을 받을 목적으로 그 순간에만 형식적인 관리를 하는 것에 그치는 것은 매우 위험하다. 외부자의 해킹이나 내부 직원의 정보 유출 등으로 병원장이 형사재판에 넘겨지거나 거액의 민사집단 소송의 대상이 되는 일이 발생할 위험을 배제할 수는 없다. 개인정보는 법에 의하여 강제되어 억지로 하는 소극적인 관리수준이 아니다. 크게 보면 환자의 안전관리의 한 부분으로 병원의 능동적이고 자율적인 관리가 필요한 대상이 되었다.
<출처:병원신문>