평일 오후에 진행하기로 하면서 개원가의 원성을 샀던 의료기관 개인정보보호 자율점검 교육에 대해 건강보험심사평가원이 결국 추가 교육을 실시하기로 했다.
14일 대한의사협회에 따르면 심평원은 의료기관 및 약국 개인정보 관리실태 일제 점검에 앞서 진행하는 자율점검 방법을 알려주는 교육을 오는 9월 중 추가로 실시할 계획이다.
'개인정보보호 자율점검지원시스템' 사용방법을 교육하는 시간이 평일 오후에 진행되면서 병원 문을 닫아야만 교육에 참석할 수 있는 개원가들의 원성을 샀다.
자율점검에 참여하지 않은 기관이나 부실하게 점검한 기관은 행정자치부와 보건복지부가 실시하는 현장점검 대상기관에 포함될 수 있다.
이에 의협은 심평원 측에 일정 조율 등을 요청했고 논의 끝에 심평원은 9월 중 추가 교육을 진행하기로 했다.
또 시도의사회에서 실시하는 연수교육에서 관련 교육을 실시할 수 있도록 심평원이 강사를 파견하는 형식으로 지원하는 방안도 검토되고 있다.
시도의사회 정보통신이사들을 대상으로 교육을 먼저 실시한 후 시도별로 회원들에게 자율적으로 교육하는 방안도 추진된다.
자율점검을 통해 발견된 문제점을 보완하는 기간도 3개월에서 최대 6개월로 연장했다.
이러한 내용을 담은 기사들을 보면서 많은 생각을 했다.
과거 종이로 기록되던 환자의 의료정보는 점점 현대 과학의 눈부신 진화와 발전으로 현재는 종이를 대신 하는 전자의무기록시스템 형태로 발전되었다.
또한 병원에서 활용되는 모든 의료정보들이 전자적 시스템을 이용해 활용되고 있다.
그러나 과학기술의 발전과 더불어 의료정보의 피해 사례는 계속 증가할 것으로 보인다.
보험 사기 예방을 위해 의료정보를 공유해야 한다는 보험단체들의 주장, 개인정보를 얻기 위해 금전적 불법거래가 성행되고 있다는 뉴스 등을 접할 때면 의료정보 보호에 관한 대책 마련이 절실함을 의미한다.
의료정보 유출의 문제점을 정확히 파악하는 것은 의료정보 유출의 부작용을 예방하고 의료정보 보호와 미비점을 보완하는 선결 과제다.
따라서 현재의 의료법 및 개인정보보호법만으로는 의료정보의 표준화와 의료정보 보호 등을 규율할 수 없고, 의료정보에서 발생되는 여러 문제들을 보호 하기에는 미흡하다.
결국 의사들은 심평원에서 인증한 차트를 사용하면 발생되는 모듈로 인한 개인 정보 누출의 문제점을 인지하고, 누차 지적했다.
의협이 검찰에 협조 요청까지 했으나 시정되지 않다가 정작 모듈의 의료정보 유출이 청구 프로그램 회사에서 유출되자 그 책임을 의사들에게 전가하기 위해 의료기관의 개인 정보보호를 위한 교육을 기획한 것이다.
전자차트를 통한 개인 정보 유출의 책임을 의사 회원들에게 돌리려고 하는 상황은 의료정보의 빅데이터 문제 뿐만 아니라 앞으로 더욱 문제의 소지가 될 가능성이 크다.
심평원이 인증기관으로서 책임을 지지는 않고 무고한 의사들에게 자율 점검을 강요하는 것 또한 문제가 있다.
전자차트를 민간영리회사, 의협이 만들 것이냐 아니면 국가에서 만들 것이냐를 고민하기 보다는 기존의 청구 프로그램 인증을 심평원에서 시행 후 의료 관련 자료의 개인 정보 자료가 유출됐다면 그 책임은 심평원에 있지 의료기관 책임이 아니라는 것이다.
이번 교육은 행정자치부의 개인정보보호관련 의료기관 전수조사를 피하기 위한 논리와 자구 노력을 보이기 위해 기획되었다고 한다는데 이것은 광우병과 같은 낭설이 아닐 수없다.
행자부 전수조사에 의료기관이 응해야 할 법적 의무는 없다.
의료기관이 개인정보보호법을 위반한 범법행위도 없는데 전수조사를 하는 법적 근거는 없다.
개인정보보호법 11조를 보면 행정자치부 장관은 개인정보 보호 정책 추진, 성과평가 등을 위해 필요한 경우 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관·단체 등을 대상으로 개인정보관리 수준 및 실태파악 등을 위한 조사를 실시할 수 있다.
조사를 실시해야만 한다가 아니라 실시할 수 있다고 되어 있을 뿐이다. 그리고 조사에 대한 강제성은 이 법 어디에도 명시되어 있지 않다. 즉 행자부가 조사를 실시할 수는 있지만 조사에 응하고, 응하지 않고는 의료기관의 자유다.
즉 의료기관이 전수 조사에 응하던 응하지 않던 그것은 의료기관의 자발적 자유이고 헌법 12조에 묵비권까지 명시되어 있다.
개인정보보호법 시행령 13조(자료제출 요구 등의 범위와 방법)를 보면 최소한의 범위로 조사해야 한다고 명시되어 있으므로 오히려 전수 조사는 문제가 될 수 있다.
13조는 행정자치부 장관은 자료의 제출이나 의견의 진술 등을 요구할 때는 기본계획을 효율적으로 수립ㆍ추진하기 위해 필요한 최소한의 범위로 한정하여 요구해야 한다.
법적 권한으로 전수조사를 실시한다면 이를 받아들이고 전수조사의 법적 권한이 행자부에 없는데도 의협 차원에서 대응하려 하지도 않는것은 잘못이다. 법적으로 회원들이 전수조사를 받아야 할 의무도 없다.