오는 9월30일 시행되는 개인정보 보호법에 대한 의료기관들의 면밀한 검토가 요구된다.

행정안전부는 지난 24일 개인정보 보호법 시행령 제정령안을 입법예고했다. 이번에 입법예고된 개인정보 보호법은 대상 및 범위가 확대됐으며, 피해구제 및 자기통제권 등이 보다 강화됐다.

9월30일 시행되는 개인정보 보호법이 현행법과 다른 점을 살펴보면, 대상 및 범위가 기존 공공, 정보통신서비스제공자, 준용사업자 등 총 52만 5천개에서 시행 후 공공, 민간을 포괄해 총 350만개로 비영리단체, 개인, 국회, 법원 등으로 확대되며, 현행 ‘개인정보파일’에서 ‘수기문서까지 모두 포함’된다.

뿐만 아니라 피해구제 및 자기통제권도 강화된다. 개인정보 보호법이 시행될 경우 집단분쟁제도, 단체소송이 도입되며, 기존 개별법마다 상이했던 개인정보 처리기준도 공공이나 민관을 모두 포괄해 일관된 기준이 제시될 예정이다.

아울러, 개인정보 보호법이 시행되면 유출기관은 피해자에게 유출사실을 반드시 통지하도록 하고 있다.

개인정보 보호법과 관련해 한국인터넷진흥원 박광진 본부장은 대한병원협회가 주최한 제3회 병원 의료정보화 협력 및 교류를 위한 발전 포럼에서 의료기관들의 사전 준비가 요구된다고 당부했다.

박광진 본부장은 “개인정보 보호법이 시행되기 전 하위지침 마련 등에 있어 의료기관들이 적극적으로 나설 필요가 있다”며 “의료정보의 경우 환자의 진료기록 등 개인의 민감한 정보를 취급하고 있다. 하지만 진료정보의 경우 보호의 필요성과 동시에 의료분야의 특수성으로 인한 이용 활용성을 함께 고려해야 할 필요가 있다”고 설명했다.

즉, 법률 시행 시 변화되는 기준이 적용될 수 있어 의료기관들의 고민이 더욱 필요하다는 것이다.

특히 개인정보 유출 시 이를 반드시 피해자에게 통지해야마 한다. 이와 관련해 박광진 본부장은 “유출 통지를 하지 않은 경우 형사고발 등의 처벌을 받을 수 있다. 따라서 의료기관들은 개인정보 보호법이 미치는 영향에 대해서 고민해야 한다”고 강조했다.

이처럼 의료기관들의 개인정보 보호가 당부되고 있는 것은 최근 개인정보가 해커에 의해 무더기로 유출되는 사례가 빈번하기 때문이다. 더군다나 환자정보의 경우 개인질병 기록 등 민감한 부분을 담고 있어 그 중요도가 더욱 강조되는 상황이다.

의료기관에서 개인정보가 유출되는 경우는 처방전 보관기간 축소(5년→3년)됨에 따라 많아지고 있다. 의료기관의 개인정보 유출 경로는 의료인이 처방전 보관기간에 따라 폐기 처방전 급증→청소 대형업체→고물상으로 이어지며 무작위로 유출되는 것이다.

하지만 의료기관들이 개인정보 유출이 단순한 주민번호나 진료기록 등으로 치부해서도 안 된다. 이유는 성형외과나 피부과 등 각과 홈페이지에 게재한 시술 전ㆍ후 사진도 환자 동의가 없었다면 개인정보 유출 등으로 처벌 받을 수 있기 때문.

▶사례1. 성형외과병원에서 환자 동의 없는 성형 전ㆍ후 사진 무단게재

-피해자는 한 성형외과에서 필러를 이용한 코 성형 시술을 받으면서 시술 전ㆍ후 얼굴모습을 사진 촬영했고, 의료기관 웹사이트에 본인 사진을 절대 공개하지 말 것을 요청했다. 그러나 의료기관은 눈만 흐릿하게 처리한 채 의료기관 웹사이트에 게재. 개인정보분쟁조정위원회는 의료기관은 환자에게 3백만 원을 배상하라고 결정.

▶사례2. 성형외과 병원에서 이용자의 동의 없이 성형 전ㆍ후 사진을 홈페이지에 게시

-피해자는 의료기관은 해당 사진은 직무상 보관 자료로서만 이용된다는 말에 사진촬영에 응했음. 그러나 의료기관은 홈페이지에 가까운 지인이라면 알아 볼 수 있을 정도의 시술 전-후 사진이 게재된 것을 확인하고 의료기관에 동의 없는 무단사진게재로 초상권 등 개인정보권리침에 대한 피해보상을 요구하는 분쟁조정을 신청함. 이에 의료기관은 해당 사진을 즉시 삭제하고, 사과 및 정신적 피해보상.

개인정보분쟁조정위원회는 “의료행위를 목적으로 촬영된 성형 전후의 얼굴사진을 신청인의 분명한 거부의사표시에도 불구하고 병원홍보 목적으로 웹사이트에 공개한 의료기관의 행위는 개인정보를 침해한 중대한 과실 행위”라고 판단했다.

이어 “무엇보다도 타인에게 공개되어서는 안 되는 민감한 개인정보인 성형수술 전ㆍ후 사진을 공개함으로써 여성인 환자에게 수치심과 스트레스 등 정신적 고통을 주었다”고 덧붙였다.

박광진 본부장은 “의무사항 위반 시 시정명령 및 과태료 등의 행정처분 부과는 물론, 형사처벌 및 이용자들로부터 민사소송을 당할 수 있다. 따라서 개인정보의 취급단계별로 다양한 원칙과 의무가 규정돼 있으므로 각 단계별 법적 의무를 숙지해야 한다”고 거듭 의료기관들의 주의를 요구했다.