[청년의사 신문 정승원] 의료기관의 개인정보보호법 위반 비율이 80%에 육박해 병원들이 자율점검을 강화해야 한다는 주장이 제기됐다.

행정자치부 조성환 개인정보보호과장은 지난 27일 세브란스병원 은명대강당에서 개최된 ‘병원 의료정보화 협력 및 교류를 위한 발전 포럼’에서 ‘개인정보보호 합동점검결과 및 향후 계획’이라는 주제발표를 통해 이같이 밝혔다.

정부가 지난 2012년부터 2014년까지 개인정보호보 관리실태 현황을 점검한 결과, 의료업 시행기관 62곳 중 49곳이 개인정보보호법을 위반해 79%의 위반율을 기록했다.

이는 주민등록번호 유출로 문제가 된 금융업의 70.5%이나 유통업의 69.3%와 비교해서도 높은 수치다.

조 과장은 대한병원협회와 행자부가 지난해 개인정보보호 자율활동 활성화를 위한 협약을 체결한 만큼 병원들이 이를 이용해 자율점검을 강화하길 당부했다.

병협과 행자부는 지난해 11월 협약을 체결하고 병원들이 자율점검표를 통해 개인정보보호 자율정화를 할 수 있도록 기반을 마련한 바 있다.

개인정보보호 조치를 강화하고자 하는 병원은 병협으로부터 자율점검표를 받아 항목별로 체크하고 다시 협회로 돌려보내면, 행자부가 개인정보 관리실태 점검 시 이를 활용할 수 있게 된다.

특히, 행자부의 점검으로 특정 병원이 개인정보 관리에 문제가 있다는 결과가 나오더라도 해당 병원이 행자부 점검 이전에 자율점검표를 통해 개인정보 관리 실태를 개선하겠다는 의지를 밝혔다면 개선권고만 받고 과태료 등 행정처분은 면할 수 있게 된다.

조 과장은 “점검을 했는데 해당 병원이 사전에 자율점검표를 통해 ‘잘못된 점을 개선하겠다’는 계획을 밝혔다면 개선권고만 하고 행정처분은 없을 예정이다. 하지만 (자율점검표 작성) 미수행 기관은 개인정보보호 의지가 없다고 판단해 과태료 처분을 했다”며 “앞으로 병원들뿐만 아니라 다른 업종에서도 자율점검을 강화하도록 할 것”이라고 말했다.

병원을 이용하는 환자 개인정보 보호 및 관리를 병원이 외부기관에 외주를 주는 만큼 수탁기관에 대한 관리·감독이 중요하다고도 했다.

특히, 의료기관과 개인정보 보호관리 수탁사 간 계약서 체결이 안 돼 있다면 이는 개인정보 유출에 해당할 수 있어 형사처벌까지 받을 수 있다는 지적이다.

조 과장은 “의료정보는 금융정보보다도 중요할 수 있는 개인정보다. 전자의무기록(EMR)도 개인정보 보호관리 수탁기관이 유지하고 관리하는데 이는 언제나 환자의 개인정보를 확인할 수 있다는 의미”라며 “병원 입장에서 수탁자에 대한 관리·감독이 중요하다”고 강조했다.

이어 조 과장은 “개인정보 보호관리에 대해 위탁자와 수탁자 간 계약이 없으면 병원에서 개인정보를 불법유출한 것이 된다”며 “문서에 의해 계약이 체결돼 있는지 확인해야 할 것”이라고 덧붙였다.