병원 업무 특수성 고려한 법 발효 돼야

개인정보보호법 시행을 앞두고 병원들도 보안 강화에 한창이다. 내부 보안 지침을 만들고 보안 조직을 꾸리고 지금처럼 보안 투자의 열기가 뜨거웠던 적은 단 한 번도 없었다. 하지만 개인정보보호법에서 요구하는 보안 방침 가운데 병원 의료행위에 위배되고 현실적으로 지키기 힘든 부분들이 많아 병원 업무의 특수성을 고려한 법이 시행되어야 한다는 지적이 높다.

그동안 모든 병원들이 보안에 신경은 써왔지만, 실제 기술적/ 관리적인 투자로까지 제대로 이행해온 곳은 몇 안 된다. 백지 상태나 다를 바 없으니 보안을 강화하려해도 '무엇을 먼저 해야 하고, 어떻게 해야 할지?' 몰라 난감해 하는 병원들도 많다. 다행이 지난해 3월 보건복지부에서 500병상 이상의 병원을 대상으로 한 개인정보보호 가이드라인이 나왔다. 과거에는 이러한 참고지침 자체가 없었기 때문에 병원들의 보안은 '무에서 유를 만들어 가고 있다'고 해도 틀린 말이 아니다.

복지부에서 배포한 개인정보보호 가이드라인은 말 그대로 가이드라인일 뿐이다. 참고는 할 수 있되, 강제성은 없는 권고사항이기 때문에 동기부여만 했을 뿐, 실행으로까지 이어지지는 못하고 있다. 오죽했으면 병원의 전산담당자들이 "업계에 대형 보안사고가 한번 터지거나 개인정보보호법이 통과되어야만 예산을 잡고 제대로 보안 강화에 나설 수 있을 것"이라고 볼멘 소리를 할 정도이다.

개인정보보호법이 나오기 전까지는 실질적으로 병원의 보안을 규제하고 의료정보시스템을 점검할 그 어떤 법적 근거도 없었다. 그렇기 때문에 행안부에서도 지난해 정통망법을 근거로 수도권 일부 병원들의 보안 실태를 점검하며 정작 중요 정보들이 담겨 있는 의료정보시스템을 제외한 홈페이지 위주로 점검을 할 수밖에 없었다. 결국 모든 병원들이 예상 밖의 우수 판정을 받았다는 웃지 못 할 이야기도 전해진다.

개인정보보호법이 이대로 시행되어도 문제는 크다고 한다. 병원들도 보안을 강화하고 싶지만 그렇게 못하는 말못할 사정이 있다는 것이다. 보안을 위한 요구사항 가운데는 의료행위에 위배되는 부분이 많기 때문이라고 한다.

예를 들어, 개인정보 취급 방침을 보면 민감한 정보가 아닌 최소한의 정보만 수집해야 하지만, 최대한의 정보를 수집해야만 진단을 하거나 치료를 하는데 도움이 되므로, 병원 입장에서 그 최소한의 정보에 대한 기준이 애매한 상황이다. 또, 수집 목적을 달성한 이후 반드시 정보를 파기하라는 부분 역시 연구를 목적으로 정보를 영구 보관해야 하는 특히 대학병원의 경우 지키기 힘든 부분이다.

뿐만 아니라, 환자 본인이 의료정보에 대한 수정이나 정정을 요구해도 기록을 보존해야 하는 병원입장에서는 응하기 힘든 부분이 있고, 주요 기간계 시스템 내 데이터암호화도 생명을 다루는 진료행위에 영향을 미칠 수 있어 병원들이 도저히 지키기 힘든 부분이다.

병원들의 보안 강화 움직임은 현재 일부 대형병원들을 중심으로 시작되고 있지만, 차츰 중소형 병원으로까지 확대될 것이 분명하다. 환자의 개인정보보호는 모든 의료기관의 책무이며 개인정보보호법에는 누구도 예외일 수 없기 때문이다. 그 누구도 지키지 못하는 개인정보보호법이 시행되어서는 안 된다. 병원 업무의 특수성을 고려하여 현실적으로 지켜질 수 있는 법이 발효되어야만 한다.


저작권자 © 아이티데일리 무단전재 및 재배포 금지