국감서 플랫폼 개인정보 처리방침 지적 두고 "적정성 검증" 주장
의료계, 플랫폼 의료정보 악용 우려 "익명처리도 관리해야" 제안
올해 국정감사에서 개인정보보호법을 개인 '민감'정보보호법으로 명시한 비대면진료 플랫폼 업체에 대한 문제제기를 시작으로 의료계 내에서 추가적인 문제 제기가 이뤄지고 있다.
24일 의료계에 따르면 지난 21일 국회 보건복지위 국정감사에서 한 비대면진료 플랫폼 업체의 개인정보 수집 및 활용 방안에 대한 문제가 제기됐다.
해당 플랫폼은 사측의 '개인 민감정보 처리방침'과 관련해 "개인 민감정보보호법 제23조, 동법 시행령 제 18조, 표준지침 제15조, 민감정보 정의, 종류, 동의사항 등 정보통신서비스제공자가 준수해야 할 관련 법령상의 민감정보 처리제한 규정을 준수하며, 관련 법령에 의거한 개인민감정보취급방침을 정해 이용자 권익 보호에 최선을 다하고 있다"고 명시하고 있다.
■플랫폼 개인정보보호 지적한 정치권…당국 움직이나
하지만 여기서 개인 '민감'정보보호법과 개인 '민감'정보보호지침 등은 존재하지 않는 법령·지침으로, 업체 측이 임의로 정한 명칭으로 판단돼 신뢰성이 떨어진다는 게 정치권의 지적이다.
맞춤형 광고 서비스에 개인 민감정보를 이용하는 것도 문제로 꼽혔다. 이는 별도의 이용자 동의를 받아야 하는 사안인데 해당 플랫폼은 필수 동의 사항에 포함시켰다는 것.
또 해당 플랫폼은 악의적 서비스 이용 재발 방지를 이유로 5년간 환자의 진료내용과 질환내역을 보유한다고 명시하고 있는데 이 역시 과도하다는 지적이 나왔다.
이 같은 정치권 지적에 개인정보위원회가 사실 확인에 나선다고 밝히면서, 해당 플랫폼이 개인정보를 제대로 보호하고 있는지에 대한 점검이 이뤄질 전망이다.
■문제 심각하게 진단한 의료계…"의료법 제21조 2항 위배"
의료계는 해당 플랫폼의 개인 민감정보 처리방침에 추가적인 문제를 제기했다. 이 플랫폼이 수집하는 정보에 의료법에 위배되는 내용이 포함돼 있다는 이유에서다.
이 플랫폼은 진료병원, 진료과목, 진료의사, 진료일시, 증상정보, 진료기록, 건강정보, 생활정보, 처방전, 복약지도정보 등을 필수항목으로 수집하고 있다. 이 같은 정보는 의료법 적용 대상이며 의료기관이 아닌 플랫폼이 이를 수집하는 것은 제한된다는 설명이다.
실제 의료법 제21조 2항은 '의료인·의료기관의 장 및 의료기관 종사자는 환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 하거나 그 사본을 내주는 등, 내용을 확인할 수 있게 해서는 안 된다'고 명시하고 있다.
의료기관이 아닌 기관에서 관련 정보를 수집하려면 적절한 동의절차가 필요한데, 해당 플랫폼은 이를 필수적으로 수집하고 있어 부적절하다는 지적이다.
이와 관련 서울아산병원 빅데이터연구센터 유소영 교수는 "개인정보보호법에 대한 기재가 잘못된 것도 문제지만, 그 이전에 진료정보는 의료법에 의거해 처리 및 관리되는 사안이다"라며 "진료데이터 없이 개인정보보호법에 따른 정보만 보유하는 것은 가능하지만, 수집하고 있는 데이터가 의료법에 의한 의무기록 등 진료데이터로 보여 처리방안이 잘못됐다"고 설명했다.
이어 "해당 플랫폼이 수집한 정보를 의료기관에 의해 수집된 자료로 볼 수 있을지가 관건이다"라며 "의료기관에서 보유중인 환자에 대한 기록을 의료기관이 아닌 플랫폼이 수집 관리하는 것에 적절한 동의를 받았을지도 의문"이라고 꼬집었다.
■수익 창출에 의료정보 활용?…가명정보도 점검해야
익명처리 적정성에 대한 검증이 필요하다는 지적도 나온다. 해당 플랫폼은 수집한 정보를 가명정보로 처리해 통계작성, 과학적 연구, 공익적 기록보존 등에 사용한다고 명시하고 있기 때문이다.
가명정보는 개인정보 일부나 전체를 삭제·대체한 정보로, 추가 정보가 없이는 특정 개인을 알아볼 수 없어 공익적인 목적으로 활용 가능하다.
하지만 이를 제 3자에게 공개하기 위한 적절한 익명처리를 거쳤는지, 그 목적이 공익에 있는지 등에 대한 확인이 필요하다는 것. 만약 그렇지 않다면 익명정보를 활용해야 하는데 이는 한계까지 내용이 삭제된 정보여서 수익 창출이나 연구·개발 목적으로 활용하기 어렵다.
관련 고지사항에 가명정보 활용이 명시된 이상 그 처리과정은 검증 대상이며 입증 책임은 플랫폼에 있다는 설명이다.
이와 관련 유 교수는 "가명정보가 아닌 개인정보보호법에 적용을 받지 않는 익명정보라면 여러 목적으로 사용할 수 있다. 하지만 익명정보는 철저한 익명수준으로 만들어야하기 때문에 이를 어떻게 처리하고 있는지, 그 적정성에 대한 검증이 필요하다"며 "익명처리 적정성 등에 대한 입증책임은 개인정보처리자인 플랫폼이 지니고 있어 철저한 준비가 필요하다"고 진단했다.
대한의사협회는 플랫폼이 의료정보 소지하는 것의 위험성을 지적했다. 개인사업자가 의료정보를 소지한다면 이를 수익 창출 목적으로 활용할 수 있고 이는 국민 건강에 위해를 끼친다는 이유에서다.
더욱이 해당 플랫폼은 의료정보가 포함된 개인 민감정보를 신규·특화 서비스 등 맞춤형 회원 서비스 개발·개선 및 맞춤 광고 등에 활용한다고 명시해 우려를 키우는 상황이다.
이와 관련 의협 박수현 대변인은 "금융권에서의 개인정보 유출은 금전적인 문제로 연결되고 의료정보 유출은 국민 건강과 직결된다"라며 "특히 진료기록 등의 의료정보는 사측에 유리한 보험상품 개발 및 건강기능식품 광고 등에 악용될 수 있다"고 말했다.
이어 "수익 창출이 목적인 개인사업자가 관련 정보를 어떻게 이용할지 알 수 없고, 플랫폼이 이를 적절히 보호하고 있는지도 평가하기 어렵다"며 "더욱이 의료정보는 유출돼도 피해를 바로 알아채기 어려워 플랫폼 등 개인사업자가 이를 관리하는 현 상황이 큰 문제를 야기할 수 있다고 본다"고 우려했다.