[청년의사 신문 조윤미] 개인건강기록이나 의료정보는 매우 예민한 정보들이다. 최근 약 4,000만명의 의료정보를 불법으로 수집하여 거래한 협의로 다수의 기업이 기소됐다. 이 정도라면 전국민의 건강정보가 누출됐다고 해도 과언이 아니다. 과거 신용카드 도용이나 금융정보 누출에 이어 이번에 검찰에 의해 기소된 개인정보에는 환자들의 신상정보, 병명, 약의 조제, 투약내역 등을 포함하고 있다.

병원이나 약국에 무상으로 설치해 준 경영관리 컴퓨터 프로그램을 통해 환자의 질병 및 진료정보 등을 환자 동의 없이 불법으로 수집한 뒤 정보를 해외에 판매한 후 다시 국내 제약회사들이 해외에서 통계 처리된 자료를 고가로 구매하는 방식이다.

이는 의료기관이나 약국과 같이 정보를 생산하는 곳과 무관하게 시스템 개발, 유지관리 업체에 의해 일어날 수 있는 것이며, 정보가 전산화 되어 있으므로 프로그램 해커에 의한 공격으로 탈취당할 수도 있다.

개인의료정보는 매우 유용하고 시장에서 거래할 때 높은 가격을 받을 수 있는 정보여서 사이버 범죄자들이 좋아할만한 먹잇감이다. 신용카드는 바로 해지하거나 바꿀 수 있지만 의료정보는 그렇지 않다. 개인의료정보에는 이름, 연령, 성별, 주소, 사회보장번호, 진단 코드, 보험 정보, 개인 의료 내역 등이 포함되어 있는데 이 정보는 바꿀 수 없다.

신용카드 데이터는 기본적으로 특정인의 소매 구매에만 유용하다. 하지만 개인의료정보는 가짜 신분증을 만들어 의료장비나 약품을 구입해 사기로 보험 수가 청구에 쓰일 수 있어 그 피해도 상대적으로 광범위하고 크다.

의료이용이 늘어나면서 개인이 자발적으로 의사, 병원, 약국, 보험사에 내는 개인 의료정보 데이터도 점점 늘어나고 있다. 개인의료정보를 직접 생산한 병원이나 약국, 보험사가 아예 데이터 판매 장사에 나서는 경우도 있다. 항간에서는 의료데이터 산업이 존재한다고 할 정도로 개인의료정보 판매가 병원 수입의 상당 부분을 차지한다는 말도 있다. 우리 뿐 아니라 전세계적으로 개인의료정보 유출은 증가하고 있고, 난감한 과제가 되고 있다. 특히 모바일 기기의 사용 증가와 함께 개인의료정보 유출이나 도난 사건은 더욱 증가할 가능성이 높다.

중요한 것은 어떤 관점에서 대책을 마련할 것인가 하는 점이다. 현재 우리나라 개인정보 보호법과 의료법 등에서는 사전에 정보 주체의 동의를 받은 경우 개인정보를 수집할 수 있고, 수집 목적의 범위 안에서 이용할 수 있으며 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자는 5년 이하의 징역 또는 5,000만원 이하의 벌금에 처하도록 하고 있다.

정부에서는 ‘건강정보보호법’을 제정하여 처벌과 규제를 강화하겠다는 것과 의료정보를 다루는 전산개발업체의 등록제를 도입한다는 대책을 제시하고 있다. 국정감사에서는 의료기관·약국의 의료정보 관리 실태를 파악하고, 개인의료정보 보호에 관한 교육을 강화하는 방안이 제안되기도 했다. 이는 개인의료정보 보호를 위해 불가피한 최소한의 대책이기는 하지만 전부는 아니다. 개인의료정보는 긍정적 측면에서의 활용을 촉진하고 관련 산업을 육성하는 대책이 필요한 영역이기도 하기 때문이다.

진료 관련 빅데이타는 공공보건 영역에서 활용하거나 창의적인 다양한 서비스를 창출할 수 있는 길이 많다. 개인건강관리 프로그램에서 활용할 수도 있고 이를 의료진과 공유함으로써 효과적인 질병관리가 가능할 수도 있다. 질병 데이타와 의약품부작용 신고 데이터를 동시에 활용하면 의약품 복용과 질병과의 관계를 보다 명확히 알 수 있어 의약품의 질 관리에 활용할 수도 있다.

하지만 현재 개인의료정보 활용에 대해서는 각 병원마다 다르게 생산된 개인건강기록(PHR)을 모아 무엇을 할 것인지, 권한을 누가 가질 것인지 등에 대한 정리도 잘 안되어 있는 상태다.

이런 와중에 정보를 가진 주체가 개인 동의 없이 자체 연구용이나 분석용으로 마구잡이식 활용을 하고 있다.

따라서 정보의 표준화와 활용방안, 개인정보의 보호조치의 효율화가 한데 맞물리는 대책이 필요하다. 처벌이나 관리자의 교육은 낮은 수준에서 개인의료정보가 생산될 때의 관리방식이며 이것으로 급속히 증가하는 IT기반 의료환경에서 생산되는 정보를 범죄나 판매행위로부터 보호하기 어렵다.

개인정보의 익명화와 암호화 기술 가이드라인을 제공하고 정보의 표준화에 힘써 모든 의료 관련 전산프로그램에서 의무적으로 사용하도록 하는 등 노력을 기울여야 한다. 개인의료정보 활용이 가져올 긍정적인 기능과 새로운 서비스의 창출을 개인정보유출의 두려움 없이 개발해 나갈 수 있는 환경이 조성될 필요가 있다.