드라마 '유령'이 성황리에 종영했다. 작년 네이트 해킹, 지난 달 KT 전산망 해킹사고를 비롯해 곳곳에서의 개인정보 유출로 민감한 때에 드라마 유령이 현실화 되는 것은 아닌가 하는 있음직한 주장들도 나온다.

병원이야 말로 민감한 개인정보가 수집되어 있는 판도라의 상자다. 그러나 과연 우리는 그에 맞는 관심과 주의를 기울이고 있는지 되짚어 볼 필요가 있다.

특히 의사도 일반인도 아닌 애매한 경계선상의 실습생에게는 환자의 개인정보 유출이라는 주제 자체가 다소 생소하기만 하다.

실습생에게 부여되는 준 의사 수준의 개인정보 접근권한과 그에 비해 부족하기만 한 관리 및 인식에 대해 알아보았다.

강화된 규제…환자 개인정보보호법 도입

일단 의료법 제 19조 (비밀 누설금지), 제 21조에 의거, 의료인은 환자의 개인정보를 누설하거나 다른 사람에게 사본을 내주거나 열람하게 하는 행위를 해서는 안된다.

뿐만 아니라 6개월의 계도기간을 거쳐 2012년 3월 30일부터 전면 시행된 개인정보보호법에는 의료정보를 민감정보로 분류해 더욱 강화된 규율을 적용시켰다.

개인정보보호법에 의하면 민감정보인 환자 병력정보를 유출할 경우에는 5년 이하 징역 또는 5천만원 이하의 벌금에 처하게 된다.

한편, 개인 정보 보호법 도입으로 개인정보 보호 및 보안에 대한 제도적인 규제가 강화되었다고는 하지만 이는 외국 사례에 비교하면 한창 늦은 대처였다.

미국은 HIPAA(The Health Insurance Portability and Acountability Act, 1996 연방법)에 의해 개인의 의료기록은 환자와 당국의 공식허가 없이 유출할 수 없다.

이를 어길 시에는 벌금 및 의사자격을 박탈당하게 되며 환자가 소송을 할 경우에 의사는 엄청난 금전적 손해와 명예회손 또한 감당해야 한다.

또한 환자가 요청하면 본인의 의무기록 접속 로그 기록을 제공 받을 수 있다.

그 밖에도 일본은 2003년부터 개인정보보호법이 시행되었으며 자문목적일지라도 다른 진료의에게 환자의 정보를 통보하는 경우 환자의 동의를 반드시 거치도록 한다.

현장노트…한 명의 무지에서 실수로 유출되는 개인 정보

지난 8월 20일 국립암센터에서 환자 병력정보를 이면지로 활용한 정황이 일부 매체에 의해 보도됐다.

건강검진 과정에서 다음 검진 장소 안내를 위해 전달받은 쪽지 뒷면에 다른 환자의 병력정보가 빼곡히 적혀 있었다고 한다.

병원은 접수 직원의 무지로 인한 단순 실수라고 해명하였지만 더 많은 유출을 배제할 수 없다는 점에서 큰 파장을 일으켰다.

접수 직원의 실수에서 야기된 이번 민감정보 유출 사건으로 많은 환자 및 보호자들이 언짢은 감정을 숨기지 못했다.

유명 연예인이 입원했다는 소문이 나면 수십 명의 직원들이 매의 눈으로 의무기록을 면밀히 살펴보기 일쑤다.

로그 기록이 남는다는 사실을 알리고 주의를 줌으로써 이제는 불가능해졌지만 여전히 부끄러운 과거는 오점으로 남았다.

모든 병원의 엘리베이터, 화장실, 복도에서는 절대정숙하라는 선배들의 신신당부는 절대 진리다.

엘리베이터는 특히 더 조심해야 한다. 엘리베이터 안에서 무심코 어느 조폭 환자에 대한 이야기를 수군대다가 같이 타고 있던 조폭 부하에게 된통 당했다는 이야기는 전설로 전해져온다.

실습생 교육은 어디서?…학교와 병원 사이, 어디도 속하지 못하는 회색분자

중앙대병원 의무기록팀 조윤정 팀장은 "보통 다른 곳에서는 이름, 주민등록번호, 전화번호 등을 수집하지만 의학에서는 환자에 대한 모든 정보를 다 수집한다"며 "정신과의 경우에는 사돈의 팔촌까지도 다 물어보는 경우도 있다"고 의무기록의 민감성에 대해 피력했다.

또한 그는 실습생들도 이러한 민감한 정보를 다루는 중심인물임에도 불구하고 적절한 교육이 이뤄지지 않고 있다는 점을 매우 안타까워했다.

그는 "워낙 민감한 정보라 관리한다고 철저히 움직이고 있지만 어느 틈에 샐 수 있는 확률이 높다"며 "직원들의 경우 절차에 어긋난 행동을 한 경우 징계를 내린다든지 사유서를 요구하는 등의 조치를 취하고 또 면밀하게 관찰하고 교육시킬 수 있지만 실습생들은 병원 소속이 아니다 보니 병원 차원에서 관리하기 힘들다"고 털어놨다.

의대 실습생들 뿐 아니라 간호대, 영상 및 진단검사실에도 많은 실습생들이 배치되는데 이들에 대한 교육이 제대로 이루어지 않고 있다는 점도 언급했다.

조 팀장은 "관리를 굉장히 철저하게 하고 있는 것으로 알았던 국립암센터에서도 최근 고발기사가 났다"며 "한명만 소홀해도 정보 유출 사태가 쉽게 일어날 수 있다는 방증"이라고 전했다.

실습생 인식 조사…9개 대학 설문

지난 8월 의과대학 실습 중 환자들의 개인정보보호 관리 현황과 이에 대한 학생들에 인식에 관련한 설문조사를 진행했다.

총 9개 학교의 실습중인 학생들을 대상으로 진행됐으며 설문 항목에는 실습중인 병원에서 실습 전 환자개인정보에 대한 교육 및 서약서 작성 여부, 환자기록 접근 및 처리, 개인정보관리가 잘 되고 있는가, 개인정보 노출경로라 생각되는 부분, 강화해야 한다고 생각하는 부분 등이 포함됐다.

설문조사 결과를 보면 먼저 대부분의 학교에서 환자개인정보관리에 대한 교육은 실시하는 듯하다.

병원마다 의무기록팀이 존재하고 이들이 항상 환자정보의 관리 및 이에 대한 교육에 신경을 쓰고 있기 때문에 이 부분에 대해서는 걱정하지 않아도 되는 것으로 보인다.

하지만 서약서 작성은 9개 학교 중 단지 4개의 학교에서만 하고 있었다.

물론 서약서를 작성하지 않아도 개인정보 유출 자체는 분명한 위법행위다.

하지만 서약서는 소송 시 법정에서 근거자료로 쓰일 수 있으며 작성자에게 각성과 교육의 효과가 있기 때문에 반드시 강화가 필요하다.

EMR 사용에서도 문제점이 발견됐다. 9개 학교 중 3개 학교만이 학생마다 개인 아이디를 발급받았고 나머지 학교에서는 학생 전체 공용 아이디나 병원에 근무하는 의사의 아이디를 이용해 EMR에 로그인하고 있었다.

개인 아이디를 사용하지 않으면 환자 개인정보 유출 시 유출자 추적이 어렵고 학생들도 덜 신경 쓰게 된다.

학생마다 개인 아이디를 지급해야 학생들도 EMR 사용 시 좀 더 주의를 기울이게 되고 혹시 모를 환자정보 유출 시에도 수월하게 대처를 할 수 있다.

접근 방식보다 더 문제되는 것이 출력물 폐기 방법이었다.

9개 학교 모두 학생용 문서분쇄기가 따로 비치되어있지 않았고 병동 문서분쇄기가 있다 하더라도 자주 쓰지 않고 있었다. 대부분 문서를 찢거나 그대로 휴지통에 버린다고 응답한 것.

Safety box를 제대로 사용하고 있는 학교는 두 학교뿐이었다.

고의가 아니라 우연히 환자정보가 노출되기 가장 쉬운 경로가 출력문서인데 이 출력문서의 처리에 대한 관리가 제대로 되고 있지 않은 모습이다.

지난 8월 국립암센터의 사례에서 알 수 있듯이 고의적인 정보유출은 법적으로 상당한 중죄에 해당한다.

그런 서류를 휴지통에 그냥 버리는 행위는 위험하기 짝이 없는 행동이다. 병원에 문서분쇄기나 Safety box가 있다면 반드시 이를 통해서 처리하고 아니면 의무기록팀 직원을 통해 문서를 처리하는 것이 바람직하다.

그렇다면 학생들은 자신이 실습중인 병원에서 환자정보 관리에 대해서 어떻게 생각할까. 이에 대해선 9개 학교 학생들 중 여섯 학교의 학생이 잘 안되고 있다고 응답했다.

병원 시스템에 깊게 관여하고 있지 않은 실습생들이 이렇게 생각한다면 분명 문제가 있다고 생각된다.

이들이 정보 노출의 경로로 꼽은 항목들 중 가장 많이 선택된 것은 당연 휴지통에 버려진 문서였다. 그 외에도 수기의무기록, EMR, PACS 등이 있었다.

그리고 환자정보 유출을 방지하기 위해 강화해야 할 부분으로는 안전한 출력물 폐기 처리가 가장 많았고 그 외에 조회권한 관리, 개인정보관리에 대한 교육 강화 등이 있었다.

개인이 더 주의해야 할 부분으로 EMR 패스워드 관리, 이석 시 로그아웃 등도 있었다. 서약서를 받지 않는 학교의 학생들은 서약서 징구를 강화해야할 부분으로 꼽았다.

의대생활과 병원에 대해 많이 알아갈수록 학생입장에서 본교 병원에 입원하는 것에 대해서 다시 한 번 생각하게 된다.

아는 사람에게 치료받아 주어지는 많은 혜택에도 불구하고 조금은 꺼려지는 이유는 아마 개인정보 유출의 민감성 때문이 아닐까.

어떤 인턴은 누구 폴리(foley catheter, 소변줄)를 꼽았다더라하는 다소 민망할 수도 있는 소문의 주인공이 되고 싶지 않을 것이다.

본인의 개인정보와 비밀보장에는 민감하게 반응하지만 환자에 적용되면 다소 긴장감이 느슨해지는 불편한 진실.

철통같은 보안을 유지하려는 병원 측에 반해 그들의 손이 닿기 힘든 사각지대에 있는 실습생들, 그들을 위한 철저한 교육과 시스템이 필요하다.

|메디칼타임즈 제휴사 = 의대생신문 장진기 기자/울산의대, 문정민 기자/중앙의대|