[소비자가 만드는 신문=윤주애 기자] 정부가 대형병원에 대한 개인정보보호 가이드라인을 내놨지만 정작 알맹이가 빠져 있고, 강제성도 없어 실효성이 의문시 된다.

보건복지가족부는 16일 의료기관의 정보보호(보안) 강화를 위해 500병상 이상 의료기관을 대상으로 '의료기관 개인정보보호 가이드라인'을 마련했다. 최근 다양화.지능화 되는 사이버공격이 급증함에 따라 ‘국민의 진료정보 보호’를 위해 대형병원의 보안을 강화하자는 취지다. 그러나 정작 환자 개인의 정보 이용에 대한 문제는 제외돼 논란을 빚고 있다.

◆ 개인의 정보이용 문제는?

16일 복지부가 발표한 가이드라인에 따르면 500병상 이상 의료기관은 상설기구로 개인정보 보호와 보안점검, 예바조치 등을 담당하는 5인 이상의 개인정보보호위원회를 설치하도록 했다.

500병상 이상 의료기관은 개인정보보호 및 보안 업무를 총괄 관리할 실무책임자를 최소한 1명, 1천병상 이상은 2명 이상 두도록 했다. 또 개인정보보호 외부 안전진단과 정보시스템 운영 및 보안관리, 네트워크 및 로그관리, 사용자 인증 및 접근권한 관리, 침해사고 예방 및 대응 등 실무지침을 담고 있다.

하지만 가이드라인에는 환자 개인의 진료정보 이용에 대한 권리 부분이 제외돼 있어 ‘속 빈 강정’이라는 빈축을 사고 있다. 의료계와 소비자 사이에 첨예하게 대립하고 있는 ‘정보주체 동의’ ‘진료정보의 수집 및 제공’ 등의 내용이 빠져 있기 때문이다.

현재 보건의료기본법과 의료법상 개인정보를 보호하고 있지만 정보수집에 관한 조항은 없다가 지난해 7월부터 정통망법 적용대상에 의료기관이 포함됐다. 이에 따라 의료기관이 환자의 개인정보를 수집하고 보관할 땐 환자의 동의가 필요하다.

복지부 관계자는 "2006년부터 환자의 진료정보 이용에 대한 부분에 대해 논의해왔지만 결론이 나지 않았다"며 "17대 국회에서부터 논의됐던 '건강정보보호법 제정안'이 계류중인 가운데 의료기관의 사이버 공격을 대비하기 위해 우선 의료계 중심으로 가이드라인을 마련한 것"이라고 설명했다.

이번 가이드라인을 마련하기 위해 복지부는 대한병원협회 대한의사협회 대한의무기록협회 서울대학교병원 등 의료계와 국가보안기술연구소, 안철수연구소, 변호사 등 법률.보안전문가로 이뤄진 의료기관 정보보호협의체를 구성해 운영해왔다.

◆ 강제성 없는 권고 ‘실효성’ 의문

복지부가 처음으로 의료기관의 개인정보보호 가이드라인을 만들었다는데 의의가 있지만, 정작 강제성이 없는 권고에 그쳐 실효성 논란이 일 전망이다. 이번 가이드라인은 올해 시범적으로 적용한 뒤 내년부터는 고시에 넣거나 의료기관 인증제의 평가항목에 추가하는 방향을 잡고 있지만 구체적으로 논의되지 않았다.

일단 500병상 의료기관이 약 124개소(2009년 3월 기준)에 대해 개인정보(보안)을 강화하는 첫 시도로 이해하면 된다. 복지부는 사이버공격을 대비하기 위해 올해 시스템적인 보안을 강화하고 단계적으로 500병상 미만의 병.의원, 야구 등에 대해서도 가이드라인을 확대 적용할 계획이다.

한편 환자 개인의 동의 없이 건강정보가 공개되지 않도록 하기 위해 건강기록의 관리.운영에 필요한 기준과 절차 등을 담은 ‘건강정보보호법안’이 난항을 겪고 있다.

2008년 발의된 국회 보건복지가족위원회 소속 백원우 의원의 ‘건강정보보호법안’, 전현희.유일호 의원의 ‘개인건강정보 보호법안’이 지난해 4월 복지위 법안심사소위에 상정됐으나 아직 계류중이다.

윤주애 기자 다른기사 보기