[병의원 울리는 의료법] ‘CCTV 설치땐 환자 서면동의 필요’ 알고 있나요?

2011년 9월부터 시행했지만 의사 10명 중 7명 “잘 모른다”

#서울 구로구에서 피부과병원을 운영하는 김모(52) 원장은 문자메시지를 통해 홍보·마케팅을 진행하다 최근 한 고객에게 항의를 받았다. 이 고객은 동의도 없이 자신의 개인정보를 이용해 스팸 메시지를 보냈다며 불쾌함을 드러냈다. 김 원장은 병원계의 관행처럼 해 왔던 문자메시지 홍보가 개인정보보호법에 위반되는 사실를 인지하지 못했다. 개인정보보호법 15조에 따르면 개인정보를 적법하게 보유하고 있더라도 홍보·마케팅을 위해 문자를 보내려면 받는 사람의 사전 동의를 받아야 한다. 김 원장은 “관행처럼 해왔던 작업이었는데 이것이 문제가 될지 몰랐다”며 “앞으로 개인정보보호법을 유념하며 올바른 방식으로 홍보를 해 나갈 생각”이라고 말했다.

전 세계가 개인정보보호를 위해 정부 차원에서 법제화를 추진하고 있는 가운데, 우리나라도 2011년 3월 ‘개인정보보호법’을 제정하며 개인정보보호에 고삐를 죄고 있다. 개인정보보호법은 업무를 목적으로 개인정보를 처리하는 모든 350만 사업자를 대상으로 하며, 2011년 9월부터 전면 시행되고 있다.

개인정보보호법이 아우르는 범위는 매우 넓다. 하지만 최근엔 개인의료정보 유출에 대한 우려가 커지고 있는 상황이어서 병의원의 관심이 쏠리고 있다. 과거와 달리 전자차트를 이용하거나 웹사이트를 통한 환자 개인정보 확보 등 개인 의료정보가 디지털화됨으로써 정보의 유출 가능성이 점차 높아지고 있어서다.

병의원 역시 강화되고 있는 정부의 개인정보보호 움직임에 우려의 눈길을 보내고 있다. 앞선 사례와 같이 관행처럼 진행해 오던 마케팅 활동으로 인해 환자의 개인정보가 유출될 수 있고, 이것이 관련법에 저촉될지 여부에 대해서도 인식이 낮은 탓이다.

◇‘개인정보보호법’ 시행에도 개인 의료정보보호 인식 ‘저조’= 개인정보보호법은 적용대상을 개인정보를 처리하는 공공기관에서 민간까지 확대하고, 대상정보도 기존 전자정보뿐만 아니라 수기문서 등 모든 형태의 정보를 포괄한다. 또한 개인정보의 수집, 활용, 파기 등 단계적 처리절차를 규율하고 있다는 점도 특징이다.

개인정보보호법은 시행 2년 만에 정부, 공공기관, 민간기업의 주민등록번호 수집을 금지하고, 이에 대한 관리책임성을 강화하는 내용으로 2013년 8월 개정됐으며, 올해 8월부터 본격 시행되고 있다.

이같이 개인정보보호의 범위와 강도가 높아지는 상황이지만, 국내 병의원의 인식은 여전히 저조한 편이다.

한국보건사회연구원 조사에 따르면 지난해 국내 의원 의사 32.4%는 개인정보보호법에 대해 ‘어느 정도 혹은 잘 알고 있다’고 응답했다. 개인정보보호법에 대해 보통 이상 알고 있는 의원 의사가 10명 중 3명에 불과한 셈이다.

또한 최근 1년간 개인정보보호 관련 교육 경험률도 8.5%로 매우 낮았다. 교육을 받지 않은 이유로는 ‘충분한 정보, 소개가 부족해서’(45.8%), ‘시간을 내지 못해서’(19.8%), ‘필요성을 못 느껴서’(18.8%) 등이 꼽혔다.

병원급 개인정보보호 관리 현황도 마찬가지였다. 한국보건사회연구원에 따르면 국내 105개 병원 중 개인정보보호 업무담당 인력은 평균 1.7명에 불과했다. 의료기관이 개설한 홈페이지에도 개인정보 처리방침을 게재한 곳은 절반 수준(51.4%)에 그쳤다.

한국보건사회연구원 정영철 정보기술융합센터장은 “개인정보보호법으로 인해 벌금, 과태료 조치를 받아도 세세한 조항까지 일반 병의원들이 이해하긴 힘든 것이 사실”이라며 “교육의 경우도 대형병원의 경우, 담당자가 있어 교육과 대책을 세우지만 중소 병원이나 의원급은 원장들이 직접 해야 해서 현실적으로 제약이 있을 수밖에 없다”고 말했다.

◇다양한 개인의료정보… 정부지원 더해져야= 병의원의 개인 의료정보보호 범위는 상당히 넓다. 환자의 개인정보가 기록돼 있는 전자차트, 웹사이트에 대한 백업과 보안은 필수다. 여기에 임상사진에 대한 초상권 확보, 스팸메시지, 메일 발송 등도 병의원이 고려해야 할 개인정보보호의 범주 안에 있다.

병원 안에 설치돼 있는 CCTV도 신경 써야 할 문제다. 안전행정부의 표준개인정보보호지침에 따르면 진료실 내 동영상 촬영과 음성 녹취가 가능한 CCTV를 설치할 때에는 환자의 서면 동의가 반드시 필요하다. 또한 CCTV 설치에 대한 안내 역시 내부에 잘 보이는 곳에 고지해야 한다.

영상정보 유출 가능성에 대한 대응책도 확보해야 한다. 촬영된 영상정보를 컴퓨터에 저장해 둔 경우 불특정다수가 접근하지 못하도록 ‘영상정보 접근 가능 특정 담당자’를 지정하고 보안 프로세스도 마련해야 한다.

이같이 병의원들은 광범위하게 개인의료정보보호에 나서야 하기 때문에 사각지대가 많을 수밖에 없다는 지적이다. 이에 보건복지부와 안행부는 지난해 12월 보건복지분야 기관들이 개인정보를 처리할 때 활용할 수 있도록 ‘보건복지분야 개인정보보호 가이드라인’을 발표했다. 개인정보 처리 시 지켜야 할 기준과 원칙을 안내함으로써 병의원, 약국 등의 개인정보보호를 지원한다는 차원이다.

또한 복지부는 올해 보건복지 개인정보통합관제센터를 운영하며 개인정보를 부정하게 열람하거나 빼돌리는 경우를 모니터링하고 있다. 하지만 운영자가 10명에 불과해 인력 충원이 필요하다는 목소리도 나온다.

병원업계 관계자는 “정부가 민간 병의원까지 신경 쓰기엔 쉽지 않겠지만, 통합관제센터와 같은 전문기관을 통해 측면 지원하는 것이 필요하다”며 “교육도 중요하겠지만 현장에서 컨설팅 등을 활발히 지원해 주고, 민간 병의원 측 역시 협·단체, 의사회 등과 함께 체계를 만들어 개인정보보호 인식을 높이려는 모습을 보여야 할 것”이라고 말했다.