1. 개인정보보호법, 왜 지금인가?
2. 현 시점의 개인정보보호법, 치과계와 어떠한 연관이 있나?
3. 한발 앞선 미국의 개인정보보호법
4. 국내 개인정보보호법의 주요내용 및 치과병‧의원에 적용될 개인정보보호 가이드라인
5. 치과 병․의원, 의료기관이라는 특수성의 이해와 정부의 노력이 필요하다
6. 개인정보보호법 처벌 규정은?
7. 개인정보보호법 보다 빠른 정착을 위해서
 

최근 국내·외로 가장 뜨거운 관심사로 대두되고 있는 분야가 바로 개인정보보호와 관련된 분야 문제일 것이다. 이는 빠르게 변화하는 사회현상과 더불어 다양한 IT산업의 등장‧발전의 영향과 발전의 순기능 속에 최근 개인정보의 유출‧오용‧남용 등의 피해사례가 속출하면서 사회의 뜨거운 관심사로 대두되었으며 이에 대책 마련이 시급하다는 우려의 목소리가 커지고 있다.

이에 개인정보보호법이 2011.9.30 시행됨에 따라 의료계 전체를 비롯하여 각 협회 및 치과의료기관 또는 동법의 적용을 받게 되었다. 이에 대한치과의사협회(이하 치협) 및 치과의료기관은 개인정보보호법에 대한 다양한 접근과 이해 그리고 가이드라인을 만들고 있다.

덴포라인 8월호에서는 개인정보보호법의 전반적인 사항과 더불어 기본적 이해와 적용 그리고 우리보다 한발 앞서 준비한 미국의 예를 들어 개인정보보호법에 대해 살펴보고자 한다.

1. 개인정보보호법, 왜 지금인가?
현재 국내는 국가사회 전반을 규율하는 개인정보 보호원칙과 개인정보 처리기준이 마련되지 못해 개인정보 보호의 사각지대가 발생하고 있다. 최근 개인정보의 유출‧오용‧남용 등 개인정보 침해 사례가 지속적으로 발생함에 따라 국민의 프라이버시 침해는 물론 명의도용, 전화사기 등 정신적‧금전적 피해를 초래하고 문제가 발생되고 있다. 이에 공공부문과 민간부문을 망라하여 국제 수준에 부합하는 개인정보 처리원칙 등을 규정하고, 개인정보 침해로 인한 국민의 피해 구제를 강화하여 국민의 사생활의 비밀을 보호하며, 개인정보에 대한 권리와 이익을 보장하고자 제정되었다.

2. 현 시점의 개인정보보호법, 치과계와 어떠한 연관이 있나?
2011년 9월 30일부터 개인정보보호법이 시행됨에 따라 사회전반을 비롯하여 의료계의 걱정이 커져만 가고 있다.

또한 이번 개인정보보호법 제정은 IT산업과 미디어산업의 발전 그리고 빈번하게 일어나고 있는 개인정보관련 사고가 영향을 미친 것으로 정부는 이러한 현 상황에 문제의 심각성을 인식하고 개인정보보호의 필요성을 느낀 것으로 보인다. 하지만 개인정보보호를 보호하고 정보관련 불감증을 해소하고자 하는 취지에는 공감하나 국민의료의 질 향상을 위한 공익적 목적의 연구마저 제한될 가능성이 제기되고 있다.

특히 개인정보보호법의 주요 내용 중 하나인 주민등록번호 등과 개인정보를 이용, 연구에 필요한 고유식별정보의 생산을 제한하는 조치는 연구자들의 연구 자체를 어렵게 할 수 있다 등의 문제가 크기 때문에 의료계 전반으로 우려의 목소리가 나오고 있다.

개인정보보호법 제18조 2항 4호를 살펴보면, 개인정보를 사용하려면 통계작성 및 학술연구 등의 목적을 위하여 특정 개인을 알아볼 수 없는 형태로 제공하는 경우에만 이용할 수 있도록 규정해 두고 있다. 즉, 의학자들이 임상연구를 진행하면서 환자에 대한 기본적 정보를 접하지 못한 채 연구를 진행하거나 관련 법률을 넘어서 환자데이터를 보관하고 가공하는 경우 위법 논란에 휘말릴 소지가 다분하다는 설명이다.

또한 정확하고 명확한 규정이 확립되지 않은 채 기존의 개인정보보호법의 기본 틀을 유지하면서 포괄적인 범위의 법만이 현재 제정되어 2011년 9월 30일 시행되어 제대로 정착이 되기까지는 많은 혼란이 불가피하기 때문에 적절한 조치가 필요하다는 것이 하나같은 목소리다.

정부는 이러한 문제점의 대책 안으로 부분적 예외 규정을 두었는데 정보의 주체인 환자들로부터 정보 이용에 대한 개별 건수 마다 동의서를 받으면 된다는 것이다.

이에 대한치과협회(이하 치협) 곽동권 정보통신이사는 “이마저도 현재의 연구 및 사용은 가능하지만 일정 기간이 지난 후의 자료 활용에 있어서는 크게 도움이 되지 못한다”고 말했다. 즉, 현재 필요한 것은 사전 동의를 받아 이용할 수 있지만 일정 시간이 지난 후 필요 자료에 관한 동의를 받는 다는 것은 사실상 어렵다는 것이다. 때문에 이 부분에 관해서도 좀 더 정확하고 명확하게 규명하여야 할 것으로 보인다.

뿐만 아니라 환자의 개인정보를 보관, 관리하는 의료기관 역시 앞으로 강화된 규정에 따라 추가 비용 및 업무 부담이 발생할 수 있는 만큼 정부의 지원과 관심도 뒤따라야 한다는 목소리도 제기됐다.

3. 한발 앞선 미국의 개인정보보호법
현재 대두되고 있는 개인정보보호법 관련하여 김인걸 원장은 이미 덴포라인 지면을 통해 미국의 개인정보보호법과 관련한 상세한 내용을 소개한 바 있다.

김 원장은 “미국은 국내와 다른 실정으로 개인정보보호법이 초기 적용되었지만 미국 역시 국내 법안과 유사한 제도를 실시하였다”며 미국의 사례를 통하여 국내의 개인정보보호법을 설명했다.
의료비상승과 관련하여 미국에서는 지난 1991년 전자자료 상호교환(WEDI)과 1993년 미국 건강 및 인간 서비스국의 설치로 서류거래를 전자거래로 대체하면 진료비용이 절감된다는 준비 보고서를 발행했다.

이 보고서는 1996년 8월 클린턴 대통령이 서명한 HIPAA 문건에 포함되어 “경영의 단순화 규정”의 기초가 되었다. 1996년 제정된 건강보험 (프로그램)의 이동성 및 책임 법령으로 구성된다.

첫 번째, 이동성은 고용주가 제공하는 건강보험에 해당되는 직원이 직업을 바꿀 때 제2 고용주로 건강보험이 연계된다.

둘째, 책임은 특정 진효행위에 책임이 있는 사람에게 질문과 답을 받을 수 있다. 책임 중 “경영의 단순화”는 경영체계와 진료의 원무 측에서 논쟁이 된다.

∙ 경영의 단순화는 거래코드체계를 표준화하고, 환자의 사생활 정보 및 환자정보의 보안, 국거의료보험 해당여부 등의 신분확인을 위한 쿨 개발을 통해 진료업무를 쉽게 한다.
 

HIPAA 표준은 이들 전자거래 및 코드세트 사생활 규칙, 보안규칙, 국립신원조회 표준으로 구성된다. HIPAA는 전자로 업무를 처리하는 모든 진료제공자에게 같은 진료 거래, 코드 세트, 신원확인의 사용을 요구한다.
 

∙ HIPAA 사생활규칙의 기밀 의사전달에 따라, △첫째, 편지가 도착하면 개봉 않고 기밀 표시를 해서 피주소지로 밀봉된 봉투를 이송한다 △둘째, 모든 메일은 환자 기밀을 보호하기 위해 환자나 권한 위임이 없는 직원의 열람을 신속히 막아야 한다 △셋째, 개봉된 메일은 치과기공소 보고서나 기타 교신의 기밀정보를 보호하기 위해 파일폴더에 정리한다.
 

∙ 환자의 임상기록은 치과 진료팀이 책임을 지고 정확하고 쉽게 접근하여야 한다. HIPAA 사생활 규칙은 환자의 임상기록에 들어있는 정보에 적용된다. 임상기록은 두 가지 접근성이 있는데, 첫째, 치과진료팀은 언제나 기록이 위치한 장소를 알아야하고 둘째, 환자는 자신의 개인임상기록 내용을 열람할 수 있는 권리를 갖고 있다. 각 치과 진료팀원은 임상기록을 수집, 기록, 관리한다. 각 팀원은 각 임상기록 정보의 정확성, 사실, 완전성을 보장해야 한다. 임상기록과 환자와 대화 내용은 비밀이며 윤리 및 HIPAA 사생활 규칙으로 보호되어야 한다.

-HIPAA 임상기록에 적용되는 사생활규칙
첫째, 임상기록에 접근 부분으로 호나자는 자신의 임상기록 정보를 열람하거나 복사할 수 있다. 오류가 발견되면 수정을 요구한다. 치과의원은 기록에 접근시키고 서면 요청한 30일 이내에 복사본을 제공한다. 기록을 복사한 수수료를 부과한다.

둘째, 사생활 진료의 통지관련 부분으로 치과의원은 환자에게 HIPAA에서 권장하는 개인의 의학적 정보와 권리에 관한 환자 아용법의 복사본을 제공한다.

셋째, 개인 의학 및 치과학 정보 사용의 제한 부분은 임상기록에 포함된 사생활 건강정보는 환자를 치료할 때 타 건강전문가에 한해 정보를 공유한다.
넷째, 기밀의사전달 부분은 건강치료 전문가는 환자와 의사전달 비밀을 보장하는 단계를 거친다. 예로, 타인이 알 수 없는 비밀장소에서 환자와 PHI를 논의한다. 환자는 접촉하지 않거나 자신의 집에 메시지를 남기길 요구한다. 환자의 요구가 타당하면 치과의원은 요청을 승낙한다.
 

-HIPAA 치과진료팀의 역할과 책임
첫째, 서면 작성된 사생활 과정은 직원의 사생활 건강정보에 접근 여부, 정보의 사용방법, 발표할 시기를 서면으로 작성한 사생활 과정이다. 추가로 PHI에 접근하는 원무과 직원에게 같은 과정의 수행을 허락하는 임무다.

둘째, 피고용인의 훈련과 사생활 관리자는 치과의원에서 사생활 관리직원을 적절히 훈련시켜 임명한다. 임무를 감시하는 방법과 임무를 직원이 이행하지 못할 때 법률소송을 취하는 계획을 설명한다.

셋째, 공공의 책임 부분은 한정된 상황에서 특정 공공책임 있는 기존의 건강정보의 발표를 금할 수 있다. 이는 응급상황, 사체 검안 또는 사인결정의 필요, 한정된 자료에 속하는 연구나, 학괴고찰위원회 또는 사생활 위원회가 독자 공인한 연구, 건강치료체계의 전체 관리, 사법 및 경영적인 행동, 한정된 법 집행 활동 등을 들 수 있다.

또한 위에서 밝힌 사항들에 관하여 HIPAA는 다음과 같이 임상기록 전산화 관리를 규정하고 있다.

경영관리의 보호

①경영관리의 보호
-HIPAA 보안표준의 준수를 감독하는 담당의 확인
-전자 보호된 건강정보에 접근하는 직원 여부를 확인하는 직원의 통관절차
-종료과정
-보안 분쟁의 절차
-자료 백업계획, 재난복구 계획, 응급사항 작동계획을 포함한 우발사건 계획

②물리적 보호
-환경 위험과 공인되지 않은 침입으로부터 EPHI가 포함된 전자체계, 장비, 자료의 보호
-특정장소에서 떨어진 컴퓨터의 백업 보존

③기술적 보호
-유일한 사용자 인식(비밀번호와 생명측정 체계)을 포함한 접근 통제
-응급 접근절차
-회계감사 통제  <덴포라인 2010년 1월 ~ 2011년 7월호 해피투게더 경영 칼럼 참조>

4. 국내 개인정보보호법의 주요내용 및 치과병‧의원 개인정보보호 가이드라인
현재 실시되고 있는 개인정보보호법의 주된 내용을 다음과 같이 밝히고 현재 치과 병‧의원은 아래와 같은 가이드라인을 만들었다.

개인정보보호법의 주요내용
-개인정보 보호법안의 적용대상을 공공‧민간부분의 모든 개인정보처리자로 함.
-개인정보 보호위원회를 설치하고, 개인정보의 수집, 이용, 제공 등 단계별 보호기준을 마련함.
-고유식별정보의 처리제한을 강화하고, 영상정보처리기기 설치제한의 근거를 마련함.
-개인정보 영향평가제도, 개인정보 유출사실의 통지/신고제도, 집단분쟁조정제도 및 소송 등을 도입함.

치과 병‧의원 개인정보보호 가이드라인
-원내 직원들로부터 환자의 인적정보나 진료내역에 대하여 재직 및 퇴직 후에도 정보를 누설하지 않겠다는 정보보안 서약서를 징구받아야 한다.

-의료법에 명시된 진료기록부, 처방전 등의 서류 및 전산기록은 종전처럼 의료법에 명시된 대로 보관 및 이용하면 된다.

-치과 홈페이지 회원가입 등의 방법으로 개인정보를 수집 또는 이용하고자 하는 경우에는 별도의 개인정보 수집동의서를 받아야한다.

-개인정보보호 관리지침을 수립하여 운영해야 한다.

-환자의 요청 혹은 동의없이 임의로 타 의료기관 또는 민간업체에 환자의 인적사항 및 진료에 관한 정보를 제공하여서는 안된다. (단, 국민건강보험법, 의료급여법, 전염병예방법, 혈액관리법, 후천성면역결핍성 예방법, 결핵예방법, 암관리법, 형사소송법 등 다른 법률에 명시된 경우는 예외로 하며 환자 동의 없이 제공가능하다.)

-환자정보를 컴퓨터로 관리함에 있어서 외부로부터 고의적인 접근을 막기 위하여 외부 해킹방지 용도의 방화벽(서버가 있는 경우 암호화) 및 백신 프로그램을 컴퓨터에 설치하여 운영하여야 한다.

-개인정보 처리 시스템 및 접근의 암호화를 하여야 한다. 이는 각 컴퓨터 또는 데이터 접근시에는 ID, Password를 입력하게 하는 등 개인정보 보안에 유의하여야 한다. 또한 환자의 개인정보 및 진료내역에 관한 작업 시 권한이 없는 제 3자가 볼 수 없도록 하고, 이석 시 모니터 전원을 끄거나 작업 화면이 아닌 화면으로 전환하는 등 관련 내용을 확인 할 수 없도록 조치하여야 한다. 이와 더불어 환자의 정보를 외부저장장치를 통하여 보관하는 경우, 이에 관한 생성, 변경, 폐기에 대해서도 관리하도록 하여야 한다.

또한, 환자의 인적사항과 진료내역에 관한 데이터가 안전하게 보관될 수 있도록 적절한 백업조치를 하여야 하며, 의료기관 내부 및 외부로부터의 침해가 발생된 경우 즉각적인 대응 및 원상회복 조치를 취하도록 하여야 한다.

-종업원 수가 5인 이상이라면 원장 또는 직원을 정보보호관리책임자로 지정하고 다음과 같은 업무를 수행하여야 하는데 우선 정보보호관리책임자는 개인정의 총 규모와 내역을 파악하여 관리하고, 원내 직원의 환자정보 접근권한을 관리하며 컴퓨터 비밀번호 등 관련 기록을 관리한다. 또한 개인정보보호에 대한 개선사항이 있을 경우, 즉시 이를 시행하여야 하며 개인정보침해사항이 발생했을 경우 사실을 확인하고 원장에게 이를 보고하고 시정조치를 한다.

-의료기관 양도‧합병으로 이용자의 개인정보를 타인에게 이전할 경우 이전 사실, 이전 받는 자, 동의철회 방법 등을 홈페이지 공지, 전체메일, 병원 내 고지 등의 방법으로 공지하여야 하며 의료기관 폐업, 이용목적 달성, 보유 및 이용기간 종료 시에는 개인정보를 지체없이 파기하여야한다.

5. 치과 병·의원, 의료기관이라는 특수성의 이해와 정부의 노력이 필요하다

의료기관이라는 특수성을 인정하는 법이 필요하다
의료기관은 환자의 개인적인 정보를 바탕으로 진료를 하게 되는 의료기관의 특성상 의사들은 환자로부터 많은 정보를 얻을수록 적절한 치료를 할 수 있다. 환자의 정보가 더 많이 쌓일수록 장기적인 임상데이터로서 활용이 가능하기 때문이다.

이에 관련하여 치협 곽동권 정보통신이사는 “정보라는 것이 처음 수집단계가 있고 사용하는 과정이 있고 파괴하는 과정이 있는데 의무기록이라는 것은 파기하는 부분에 가서는 큰 문제가 될 수 있다”라며 “의료법에는 의무기록이 10년이다. 이 말은 10년 후에는 정보를 파기해야 한다는 것인데 의무기록은 시간의 개념에서 보는 것이 맞지 않다고 생각된다. 즉 10년, 20년의 시간적 개념이 중요한 것이 아니다”고 말했다. 이는 환자의 과거의 병적기록이 현재 어떠한 영향을 미쳤으며 그것을 확인 할 수 있다면 진료 및 치료가 쉬워진다는 것이다.

곽 이사는 한 예로 “치과계의 경우 소아부터 성년이 된 시기까지 거의 주치의 개념으로 한 병원을 다니는 경우가 적지 않다. 이러한 경우에는 환자의 전반적인 질병상황이 과거의 자료를 통해 정확하고 신속하게 치료될 수 있다는 것인데 그 동안에 구강관리를 어떻게 했는지, 발치는 어떠한지 등의 참고자료가 병원에서는 굉장히 중요하다”말했다. 즉, 의료기관의 특수성에 관한 이해와 적용에 대하여 명확하고 구체적인 가이드라인이 필요하다는 것이다.

보다 빠른 정착을 위해 정부의 노력이 필요하다
개인정보보호법과 관련해 보다 빠른 정착을 위해서는 정부의 노력이 필요하다.

현재 개인정보보호법은 대형의 규모를 유지․운영되고 있는 병원보다 개인의 영세한 병․의원의 적용의 어려움이 클 것으로 보여 진다. 이에 곽 이사는“규모나 시스템적으로 상황에 맞게 차등적인 적용이 필요하지 않을까 하는 생각이 든다”고 말했다.

또한 곽 이사는 “현재 대형 병원 같은 경우, 시스템적으로 보완과 적용의 단계라고 할 수 있지만 개인의 영세한 병․의원은 아무런 정보 없이 새로 시작해야 한다는 점에서 더욱 부담을 느낄 수밖에 없는 실정이다”라고 밝혔다.

개인정보보호법의 제정 관련하여 이와 같은 문제를 해결하기 위해서는 공공기관 즉, 정부 측의 협조가 필요하다. 하지만 정부는 시행이 얼마 남지 않은 시점에서 일반 병‧의원 보다 공공기관이 더욱 무심하다는 지적을 받고 있다.

이와 관련해 곽 이사는 “정부의 보다 깊이 있는 지원이 반드시 필요하다고 말하며, 개인정보보호시스템의 구축과 일반 병․의원의 개인정보보호관련 교육과 국민전체에 개인정보보호법관련 홍보가 필요하다”고 말하였다.

6. 개인정보보호법 처벌 규정은?
현재 개인정보보호법은 분야별 개별법이 있는 경우에 한해 개인정보 보호의무가 적용된다. 공공기관에서 컴퓨터 등에 의해 처리하는 개인정보파일만 보호되던 사항들이 이번 제정 이후 적용대상이 공공‧민간부분의 모든 개인정보처리자로 확대되면서 국회‧법원‧헌법재판소‧중앙선관위의 행정 사무를 처리하는 기관을 포함되었다. 또한 오프라인 사업자, 협회‧동창회 등 비영리단체 역시 포함됐다.

이번 개인정보보호법은 적용대상의 확대뿐만 아니라 보호범위의 확대로까지 영향을 주었다. 컴퓨터 등에 의해 처리되는 정보 외 수기 문서 포함 즉, 진료신청서 등 종이문서에 기록된 개인정보도 포함된 것이다.

이로 인해 이것을 어겼을 경우 그에 합당한 처벌 기준을 세워놓고 있는데 다음과 같다.

 - 개인정보 수집 및 이용기준[제15조] 위반시 5천만원 이하 과태료

 - 개인정보 수집절차 맟 방법[제15조 제2항, 제16조] 위반시 3천만원 이하 벌금

 - 개인정보 목적 외 이용 및 제공기준(법제 18조제2항) 위반시 5년 이하의 징역 또는 5천만원 이하의 벌금

 - 정보주체 이외로부터 개인정보 수집 및 이용[제20조] 위반시 3천만원 이하 과태료

 - 개인정보 처리에 대한 동의 방법 및 절차[제22조] 위반시 5천만원 이하 과태료

 - 업무위탁에 따른 개인정보 처리[제26조] 위반시 5년 이하의 징역 또는 5천만원 이하의 벌금

 - 민감정보의 처리 제한[제23조] 위반시 5년 이하 징역 또는 5천만원 이하 벌금

 - 고유식별정보의 처리제한[제24조] 위반시 5년 이하 징역 또는 5천만원 이하 벌금

 - 영상정보처리기기설치-운영 제한[제25조] 위반시 3천만원 이하 과태료

 - 영상정보처리기기 설치-운영 제한[제25조] 안전성 확보조치 의무 위반시 3천만원 이하 과태료, 안전성 확보 미조치로 개인정보 분실‧도난‧유출‧변조 또는 훼손 시 2년 이하 징역 또는 1천만원 이하 벌금

 - 영상정보처리기기설치-운영[제25조] 위반시 3년 이하 징역 또는 3천만원 이하 벌금

 - 개인정보 유출 사실의 통지 및 신고[제34조] 위반시 3천만원 이하 과태료

7. 개인정보보호법, 보다 빠른 정착을 위해서
개인정보보호법은 분명 필요한 사항이고 법이라는 것이 대다수의 의견이다. 반면 빠른 정착이 될 수 있도록 여러 차원의 협조와 노력이 필요한 것이 현실적 과제다.

그동안 정부는 단시간에 법을 제정하고 도입 후 정비하는 방법으로 여러 가지 어려움을 겪었던 것이 사실이다. 과거와 달리 이번 개인정보보호법은 보다 명확하고 구체적인 사항들이 포함되어야 한다는 것이 중요하다.

이에 김인걸 원장은 “정부와 환자 그리고 보험사 이 세 집단이 얼마나 정확하고 효과적으로 이번 사안을 분배하고 적용하는 것이 관건이다”라고 말했다.
 

정부의 개인정보보호시스템에 관련한 적극적 지원과 협조, 개인정보보호법의 중요성을 알리는 홍보 등의 역할을 하여야 할 것이다. 또한 개인 병․의원의 자발적인 노력이 반드시 필요하다. 의료계의 발전을 위해 학술적 부분에 관련한 예외조항이 반드시 필요하다.

곽 이사는 “의료계에서의 도덕적인 부분과 행정적으로 책임져야 하는 부분도 각 담당하고 있는 분들의 노력과 개인정보보호법 자체가 현재 크게 부담스럽지 않고 자연스럽게 정착될 수 있도록 세부적인 지침을 정부에서 마련을 해줘야 한다”고 밝혔다.

9월 30일 시행될 개인정보보호법은 현재 일방적으로 진행되는 경향을 보이고 있다. 이에 정부는 구체적이고 명확한 가이드라인과 의료계의 특수성에 맞는 예외조항을 만들고 의료법 관련된 부분을 더 체계적으로 준비를 해야 할 것이다. 또한 해마다 하나씩 중요한 부분을 단계적으로 추가하여 여유 있고 안정적으로 적용하여야 짧은 기간 안에 효과적으로 법이 적용될 것이라는 것이 의료계의 전반적인 의견이다.

2011년 9월 30일 시행될 개인정보보법은 아직 많은 부분을 보완․수정해야 될 것으로 보여 지며 구체적인 양식제정과 함께 정부, 환자, 병원 간의 기본적 인식 변화가 반드시 필요할 것이다.