[청년의사 신문 청년의사] 정부가 의료기관을 대상으로 실시하는 개인정보보호 자율점검 때문에 말이 많다. 약학정보원 등 환자 개인정보를 유출해 팔아넘긴 곳은 따로 있는데 의료기관들이 점검 대상이 되었기 때문이다.

정부는 약학정보원 환자 정보 유출 사건 등을 계기로 의료기관 및 약국 개인정보 관리 실태를 일제히 점검해 문제 기관을 걸러내겠다는 계획을 발표했다.

이를 위해 건강보험심사평가원은 8만4,275개 요양기관 개인정보보호 책임자를 대상으로 ‘개인정보보호 자율점검지원시스템’ 사용방법을 교육하고 있다. 의료기관들은 이를 이용해 자율적으로 개인정보 관리 실태를 점검해 보완해야 한다. 자율점검에 참여하지 않은 기관이나 부실하게 점검한 기관은 정부가 실시하는 현장점검 대상기관에 포함될 수 있다.

하지만 의료기관들은 이 자율점검이 불편하기 짝이 없다. 말만 자율일 뿐 강제적인 점검에 동참하라는 으름장처럼 느껴지기 때문이다. 자율점검에서 불합격을 받은 의료기관은 현장점검을 받은 후 행정처분 대상에 오를지도 모른다는 불안감도 있다.

이런 정부의 조치는 앞뒤가 뒤바뀐 것이 아닐 수 없다. 정작 책임이 있는 곳에 대한 조치보다 죄 없는 일선 의료기관들에 대한 규제를 앞세우고 있기 때문이다.

극소수 대형병원을 제외한 의료기관 대부분은 외부 업체가 만든 전산프로그램을 사용하고 있다. 이번에 문제가 됐던 SK텔레콤과 지누스 등도 이런 업체들 중 하나였다. 의료기관들이 아무리 자율점검을 강화하고 관련 교육을 받는다고 해도 이들 업체의 보안 의식이 높아지지 않으면 소용없다는 게 지난 환자정보 유출 사건의 교훈이다.

몇몇 업체의 전산시스템을 통해 환자 정보가 불법으로 수집되고 있다는 사실을 의료기관들은 알지도 못했다. 오히려 SK텔레콤의 경우 의료계에서 먼저 환자 정보가 제3의 기관에 수집되고 있다는 의혹을 제기해 수사가 시작됐다. 그런데도 의료기관들은 자율점검이라는 행정적인 부담 외에 개인정보보호 시스템 구축이라는 재정적인 부담까지 지게 됐다.

현행법상 의료인과 약사에게는 진료정보 보관과 비밀누설금지 의무가 있지만 외주 전산업체에 대해서는 관리·감독 규정이 없다. 복지부는 뒤늦게 ‘진료정보보호법’ 제정을 통해 전산업체 등록, 의료정보시스템 인증 및 진료정보 취급 시 준수사항을 규정하고 진료정보를 불법으로 유출할 경우 전산업체 재등록 금지와 징벌적 과징금을 부과하는 방안을 추진하고 있다.

정부는 의료기관들에게 개인정보보호 의무를 강조하기에 앞서 현재 판매되고 있는 각종 전자의무기록 시스템을 점검하겠다는 구체적인 계획부터 발표했어야 한다. 일을 이런 식으로 처리하니 정부에 대한 불신과 불만이 갈수록 팽배해지는 것이다.