[포커스] 병원에서 환자 정보가 '술술' 새어나간다면?

온라인 중앙일보

입력

개인정보 유출이 심각하다. 최근 들어 불법적인 개인정보 유출 사고가 끊이질 않고 있다. 카드사‧은행‧통신사 등을 통해 유출된 수천만 건 이상의 개인정보는 돈을 주고 사고 팔린다. 우리나라의 허술한 개인정보 관리 실태가 사회문제로 부각되고 있다.

의료기관도 방심할 순 없다. 개인의 의료정보는 질병‧검사‧진단‧건강보험‧사망기록 등 매우 민감한 정보를 담고 있다. 의료정보 노출 시에는 환자와 가족은 심각한 후유증에 시달릴 수 있다. 하지만 환자 의료정보 보호에 대한 의료기관의 인식은 부족한 실정이다. 실제 지난해 말 안전행정부가 전국 21개 병원에 대한 기획점검을 실시한 결과 21개 병원 모두 개인정보보호법을 위반한 사실을 적발했다. 대한의사협회 의료정책연구소 연구보고서 ‘개인의료정보의 관리 및 보호방안(김한나 외)’을 토대로 의료기관에서의 개인정보 침해 사례와 유의사항을 짚어본다.

성형외과 회원 정보가 인터넷에 노출, 정신적 피해 보상해야

아래는 개인정보에 대한 분쟁사건을 원만하게 조정‧해결하는 준사법적 기구 개인정보분쟁조정위원회에 접수 된 의료기관 분쟁 사례다.

사례1. 20대 여성 A씨는 OO검색사이트에서 자신의 성명을 검색했다가 과거 자신이 회원으로 가입한 바 있는 X성형외과의 회원정보 리스트가 그대로 노출되는 것을 발견했다. A씨는 X성형외과의 개인정보보호 미조치로 인해 알리고 싶지 않은 개인적인 사실이 노출돼 정신적 피해를 입었다고 주장했다. 개인정보분쟁조정위원회를 통해 이에 대한 손해배상을 병원측에 요구했다.

분쟁조정위는 X성형외과가 원칙적으로 관리자인증을 거쳐야만 볼 수 있도록 되어 있는 회원리스트에 대해 보안설정을 소홀히 한 점을 인정했다. 이에 일반인들도 인터넷 검색을 통해 회원리스트를 손쉽게 검색‧열람할 수 있게 된 것. 이는 개인정보보호를 위한 기술적 조치의무를 규정한 정보통신망법 제28조를 위반한 행위다.

또한 이번 사건에서 노출된 개인정보는 보통의 웹사이트의 이름, 주소, 연락처 등 일반 신상정보가 아닌 성형외과 웹사이트의 회원정보다. 20대의 여성에게는 신체의 민감한 부분과 관련된 성형외과 회원으로 가입한 사실이 타인에게 알려짐에 따라, 불안감과 수치심 등 상당한 정신적 고통을 느낄 수 있다. 이에 분쟁조정위는 신청인이 입은 정신적 피해에 대한 보상으로 30만원 지급을 결정했다.

사례2. O병원에서 건강검진을 받은 D씨. 이후 P식품회사로부터 건강보조식품과 관련해 임상실험에 참여해줄 것을 우편으로 요청받았다. D씨는 병원측이 자신의 개인정보를 사전 동의없이 식품회사에 제공했다며 이에 대한 정신적 피해 보상을 요구했다.

조사 결과 O병원은 건강검진 결과에 따라 간 상태가 좋지 않은 환자를 선별, 그 개인정보를 건강식품회사에 제공했다. 이 과정에서 환자의 동의를 얻은 사실은 없었다. 이는 의료법 제19조 및 제21조 2,3항 비밀누설금지 규정에 위배된다. 하지만 환자는 사전에 개인정보가 제3자 에게 제공됐다는 것을 인지하고 있었으면서도 즉각적인 이의를 제기하지 않았다. 이런 상황을 고려해 병원측에 50만원 지급을 결정했다.

성형수술 전후 사진, 눈 부위 가렸어도 문제

사례3. 성형수술을 받은 B씨는 자신의 수술 장면 동영상이 Y성형외과 웹사이트에 무단으로 게재된 것을 발견했다. 수술 전 병원으로부터 이런 사실을 전혀 고지 받지 못했다. 병원은 환자를 식별할 수 없으니 문제 될 것 없다는 입장을 보였지만 B씨는 성형수술 동영상으로 비밀을 침해했다며 정신적 피해 배상을 요구했다.

해당 병원이 성형수술 동영상 파일을 무단 게재한 행위는 의료법 제19조 위반에 해당한다. 분쟁조정위는 민감한 성형수술 촬영 동영상 공개로 환자가 상당한 정신적 고통을 겪은 사실을 인정했다. 이에 환자에게 동의를 구하지 않고 이를 공개한 것에 대한 정신적 피해 보상으로 400만원 지급을 결정했다.

사례4. C씨는 자신이 성형수술을 받은 Z성형외과 웹사이트에 방문했다가 자신의 얼굴을 발견하고 깜짝 놀랐다. 수술 전후를 비교한 사진이 올라와있던 것. 눈 부위를 가린 사진이긴 했으나 C씨는 한 눈의 자신의 얼굴을 알아볼 수 있었다.

일반적으로 얼굴이 명확히 나타난 사진은 정보보호법상 ‘개인정보’에 해당된다. 하지만 C씨의 경우, 눈 부위를 가린 사진이어서 논란의 여지가 있다. 정보통신망법 제2조 제1항 6호에 따르면 개인정보는 ‘당해 개인을 알아볼 수 있는’ 정보로 규정하고 있다. 당사자의 식별가능 여부가 개인정보의 중요한 판단 기준 인 것. 친분이 있는 사람이라면 C씨를 알아볼 수 있으나, 그 외의 사람이라면 알아보기 어려워 개인정보 침해 여부에 대한 해석이 달라진다.

하지만 개인정보 침해행위가 아니라하더라도 동의없이 사진을 게재한 것은 초상권 침해로 판단할 수 있다. 본인임을 알아볼 수 없도록 처리한 사진을 공개한 행위가 사생활‧초상권을 침해한 것인가에 대한 법원의 판례는 없지만, 음성변조‧모자이크 처리를 소홀히 해 본인임을 알아볼 수 있게 한 방송사 행위는 사생활 침해로 판결된 바 있다. 이에 분쟁조정위는 C씨에게 정신적 피해에 대한 배상으로 100만원 지급할 것을 결정했다.

처방전 2년, 진료기록부 10년 넘으면 파기해야

이처럼 의료기관에서의 환자정보 유출과 관련된 유형은 ‘정보주체의 동의 없는 제3자 제공’ ‘개인정보보호 기술적‧관리적 조치 미비’ ‘환자 동의 없이 정보 공개’ 등이 대표적이다. 의료기관이 환자정보 보호에 있어서 유의해야 할 점은 다음과 같다.

우선 ‘진료목적’ 즉 진료예약‧의료행위‧진료비청구 등을 위한 개인정보의 수집은 환자의 동의 없이 가능하다. 하지만 진료목적이 아닌, SNS나 이메일 등을 통해 병원을 홍보하거나 홈페이지 회원가입을 받을 때는 반드시 법에 정한 고지사항(수집‧이용목적‧수집항목 등)을 모두 환자에게 알리고 동의를 받아야 한다.

환자 정보를 제 3자에게 제공하는 것은 금지다. 단, 환자의 별도 동의를 받았거나 건강보험 급여비용 심사를 위해 공단‧심평원에 제공 시, 병무청에 징병대상자 진료기록 제공 시에는 인정된다. 또한 통계작성, 학술 연구 등의 목적을 위해 특정 개인을 알아볼 수 없는 형태로 제공하는 경우도 허용된다.

개인정보는 지체없이 파기해야 한다. 의료법 시행규칙이 정한 기간(진료기록부 10년, 처방전 2년)을 넘어선 안된다. 보유기간 경과 이후에도 개인정보를 보관하려면 환자로부터 별도 동의를 얻어야 한다.

의료기관은 개인정보 처리목적‧보유기간 등 ‘개인정보처리방침’을 수립하고 이를 진료 접수창구에 비치해 환자들이 볼 수 있게 해야 한다. 개인정보 보호를 위해 전자의무기록시스템 등에 방화벽과 같은 보안장비를 설치해야 하며, 홈페이지 운영시 주민등록번호 암호화, PC방화벽‧백신프로그램 설치 등을 의무적으로 해야 한다.

병원에 CCTV를 설치‧운영할 때는 반드시 안내판을 설치해야 한다. 안내판에는 설치목적, 장소, 촬영범위와 시간, 관리책임자 이름 등이 기재돼야 한다. 단 진료실‧병실은 실제 진료행위가 이루어지므로 ‘공개된 장소’로 볼 수 없고 사생활 침해 우려가 있어 CCTV설치가 제한된다. CCTV를 통한 음성녹음은 금지된다.