개인정보보호법이 여러 차례 개정되면서 개인정보보호 수준은 날로 강화되고 있지만, 민감정보를 다루는 의료분야의 정보보호를 위해서는 ‘의료법’을 개정을 통해 의료정보 보호 수준을 보다 구체화해야 한다는 의견이 나왔다.
스마트의료보안포럼(의장 한근희 고려대교수)이 14일 한국과학기술회관에서 개최한 ‘2016스마트의료 정보보호 컨퍼런스’에서 한국인터넷진흥원의 최경환 책임연구원은 개인정보보호법은 개인정보보호에 관한 전반적 원칙을 규정한 일반법이어서 갈수록 첨단화하고 있는 의료산업의 현실을 충분히 반영하고 있지 못하다고 보고 의료부문에 특화된 정보보호 정책이 필요하다고 강조했다.

최경환 연구원은 “주민번호 암호화 조치가 시행되고, 개인정보 유출 사고시 법정 징벌적 손해배상제가 도입되는가 하면, 내년부터는 주민번호 처리 자체도 특정 법령과 규칙이 허용하는 범위 안에서만 가등하도록 하는 등 개인정보 보호 수준은 날로 강화되고 있다”고 밝히고, “하지만, 개인정보보호법이나 의료법 어떤 법에서도 의료정보에 특화된 내용은 없다. 의료와 건강에 특화된 법 제도가 필요하다”고 밝혔다.
개인정보보호법에서는 민감정보 정도로 언급되고 있고, 의료기관의 업무 특성을 감안해 복지부와 행정자치부가 지난해 2월 마련한 ‘의료기관 개인정보보호법 가이드라인’이 전부라는 것.
최연구원은 특히, 의료 분야에 U헬스케어와 같이 ICT융합기술이 도입되고 있지만, 법제도는 이를 따라가지 못하고 있다며 법적 개선을 촉구했다.
환자기록의 열람이나 교부, 송부 시 오프라인상의 유통만을 허용하고 있고, 병원을 옮길 때마다 진료기록을 CD로 저장해 제출하도록 한 것이 해당된다. 또, 전자의무기록의 보관의 경우도 의료기관 내에만 보관하도록 함으로써 클라우드 등 외부의 전문서비스를 이용하기 어렵게 했다는 지적이다.
이에 따라 최연구원은 △의료기관 간 기술, 양식 등을 표준화하고 안전한 송수신 장치를 기반으로 온라인 전송을 허용하고 △정보보호 인증강화를 통해 IDC·클라우드를 이용한 통합관리를 허용해야 한다고 의견을 밝혔다.
법학박사인 최경환연구원은 이처럼 의료분야의 특수성을 법제도에 반영하기 위해서는 일반법인 개인정보보호법을 개정하기 보다는 의료법을 개정하는 것이 낫다고 보고 향후 인터넷진흥원 내부 의견을 수렴하고 외부 기관과 협의를 진행한다는 계획이다.
박영하 자유기고가 (yhpark@nextdaily.co.kr)