중소 의료기관들은 여전히 개인정보보호에 취약한 것으로 나타났다. 관련 협·단체는 아직 실태파악 조차도 못하고 있다.
19일 의료업계에 따르면 국내 5만8091개 중소형 병·의원 중 상당수가 환자 주민등록번호 등 개인정보 관리가 적절하게 이뤄지지 않고 있다. 올해 말까지 적용해야 하는 환자 진료정보 암호화도 쉽지 않을 것으로 예상된다.
문제가 되고 있는 것은 주민등록번호 관리다. 개인정보보호법에는 다른 법령에 근거가 있거나 환자가 동의했을 때만 주민등록번호를 요구할 수 있다. 의료법에는 진료과정에 주민등록번호가 필요하다면 이를 요구할 수 있도록 했다. 단순 홈페이지 회원가입은 진료과정으로 간주되지 않기 때문에 주민등록번호 입력을 요구해서는 안 된다. 하지만 홈페이지를 보유한 중소 병·의원 중 70%가 회원가입 시 주민등록번호를 필수항목으로 요구하고 있다. 정보주체에게 주민등록번호 제공 동의 절차를 묻는 과정도 대부분 생략돼 있다. 개인정보보호법에는 정보주체 동의 없이 고유식별정보를 처리하면 형사처벌을 받게 된다.
올해 말까지 환자 개인 및 진료정보에 적용해야 하는 암호화도 문제다. 매우 영세한 의원을 제외한 대부분 병원은 소규모 의료시스템을 도입해 진료정보를 관리한다. 이 가운데 상당수는 자체 프로그램을 도입, 운영하고 있어 암호화 비용 부담이 크다. 아웃소싱 업체로부터 의료시스템 서비스를 제공 받는 병·의원은 상대적으로 비용 부담이 적다. 아웃소싱 업체가 암호화 장비를 도입, 여러 병·의원 시스템에 적용하기 때문이다.
해당 병·의원은 개인정보보호 장치 보완 노력보다는 의료기관 특수성을 인정하지 않은 개인정보보호법 일부 조항을 문제 삼고 있다. 대표적인 것이 진료기록 문서 및 데이터 10년 후 폐기 조항이다. 개인정보보호법과는 달리 의료법에서는 진료기록 문서 및 데이터를 10년 이상 보관하도록 규정하고 있다.
한 병원 관계자는 “효과적인 진료를 위해 오랜 기간 환자 병력을 알아야 하는 상황에서 무조건 10년이 넘으면 진료정보를 폐기토록 하는 것은 문제”라고 말했다. 이어 “홈페이지에서 주민등록번호를 받는 것도 온라인 접수를 받기 위한 것”이라고 해명했다.
병원협회, 의사협회, 중소병원협회 등 관련 협·단체는 아직 이렇다 할 지원 방안을 마련하지 못하고 있다. 행정안전부만이 서울 등 지방 중소 사업자 대상으로 개인정보보호법 시행에 따른 교육을 하고 있다. 영세사업자 대상 개인정보보호 컨설팅 및 보안솔루션도 지원한다. 5인 미만은 무상, 50인 미만은 유상지원이다.
신혜권기자 hkshin@etnews.com
