).
2) 독립된 개인의료정보 보호기구의 설치
민감한 의료정보의 침해에 대해서는 소송이라는 제도를 통하여 손해의 전보를 받고 침해의 정지를 구하는 것도 필요하지만, 증명의 곤란함과 많은 비용 및 소송의 장기화로 인하여 정상적인 소송절차를 통한 권리구제가 어려울 수 있고, 민감한 정보가 장시간 대중에게 노출됨으로써 피해가 확산될 위험이 있음으로 의료정보에 관한 관리와 침해구제의 업무를 담당할 별도의 기구를 두어 외부의 간섭으로부터 독립된 업무를 수행하도록 하여야 한다.
현행 「개인정보 보호법」은 이에 따라 개인정보보호위원회를 두고 있다. 동위원회는 개인정보 보호와 정보주체의 권익보호를 위한 기본 계획 및 정책, 제도 및 법령의 개선 등에 관한 사항을 취급하고 있다(제9조). 문제는 개인정보를 취급하는 개별기관에서는 개인정보보호를 위한 위원회가 설치되지 못하고, 개인정보 보호 책임자를 지정하여 문제를 해결하려고 시도하고 있지만, 특히 민감한 내용을 가지는 의료정보의 경우에는 정보보호기구의 중립성과 공정성을 확보하고, 행정 기관 간에 공유되는 의료정보의 유출 및 오·남용을 방지하기 위하여 별도의 독립된 의료정보보호기구가 설치될 필요가 있다.
독립된 개인의료정보 보호기구 설립은 다름 아닌 국가보건의료정보 인프라의 구축을 의미한다. 정보생성기관이 독립기구에 개인의 의료정보를 위탁하면 독립기구는 상당한 개인의료정보 데이터베이스를 보유하게 된다. 특히 민감한 정보에 해당하는 개인의료정보의 집적을 위한 정보보호 체계는 매우 엄격하고 신뢰성이 높아야 할 것인데, 이에 대해 명확하고 상세한 규정이 없어 과도한 개인정보수집이 이루어 질 가능성이 있다. 독립기구 등의 통합정보센터의 경우 기존의 분산시스템에 비해 한곳에 많은 정보가 집적되므로 더욱 강력한 보안체계를 확보해야 한다. 의료정보 서비스 검색 및 중개 시스템이나 축약된 정보를 집적하는 서버가 운영되는 경우 이들 시스템도 강력한 보안대책이 필요하다. 기술적인 대책뿐만 아니라 보안관리 프로세스 및 정책, 물리적 보안 대책 등이 종합적으로 수립될 필요가 있다. 또한 개인의료정보를 위탁하는 기관의 조건이나 위탁받은 의료정보 관리 방안, 의료정보의 분리 운영의무와 위반 시 형사처벌 등 보다 엄격한 규정이 필요하다.
3) 의료기관 개인의료정보의 보호 인증제도
의료기관 인증제란 「의료법」제58조(의료기관 인증)에 근거하여 환자의 안전과 의료서비스의 질 향상을 위해 2011년 1월부터 의료기관의 자율적인 참여를 취지로 시행하고 있는 제도로 ‘의료기관 평가인증원’이 인증전담기관으로 수행하고 있다. 또한 동법 제58조의3(의료기관 인증기준 및 방법 등) 제1항에 의하면 인증기준으로는 환자의 권리와 안전, 의료기관의 의료서비스 질 향상 활동, 의료서비스의 제공과정 및 성과, 의료기관의 조직·인력관리 및 운영, 환자만족도 등을 포함하며, 일정수준을 달성한 의료기관에 대해 유효기간 4년인 인증마크를 부여하게 된다.
인증대상은 모든 의료기관으로, 병원급 의료기관은 자율적으로 인증을 신청할 수 있으며 다만, 상급종합병원과 전문병원의 경우에는 지정기준에 해당되므로 인증조사를 받아야 한다. 한편 요양병원은 2013년부터 의무적으로 인증신청을 하도록 하고 있다. 인증기준은 기본가치체계, 환자진료체계, 행정관리체계, 성과관리체계 4개 측면으로 구성하여 의료기관의 규모 및 특성 즉, 대형병원, 중소병원, 요양병원, 정신병원에 따라 선택적 또는 단계적으로 적용하고 있다.
이러한 인증제도는 개인정보 보호를 위해 기관차원의 필수적이고도 충분한 조건들을 갖추었는지를 평가함에 있어, 이러한 기준에 도달하기 위해 필요한 절차와 조건들을 스스로 학습하고 이행하는 과정에서 조직 구성원들의 의식과 행동양식이 개선되고, 궁극적으로는 조직의 개인정보 보호수준이 향상됨에 그 의의가 있다. 이를 위해서는 인증에 대한 신뢰와 요구, 책임감이 사회 전반적으로 확산되어 활발하게 수용되어야 스스로 실천하는 자율규제적인 문화가 조성될 수 있으리라 생각된다. 이처럼 스스로 실천하는 자율규제적인 특성 속에서 볼 때 우리나라의 개인정보 보호관련 인증제도는 아직까지는 당위성 측면과 필요성 측면에서 폭넓게 확산되지 못하고 있는 실정이며 특히 의료기관의 경우 인식측면에서 더 많은 준비가 필요하다고도 할 수 있다.
그러므로 정부차원의 인증제도간 중복 혹은 유사성에 대한 정리 뿐 아니라 의료기관과 같이 특정 영역의 특성을 잘 반영할 수 있는 부문별 영역별 인증체계로의 정립이 매우 필요한 시점이라 할 수 있다.
한편 이와 같은 개인정보 보호관련 인증제도와 더불어 의료서비스의 질 향상을 위한 의료기관 인증제도에 있어 개인정보 보호측면을 보다 강화할 필요가 있다(김한나, 2014).
참고문헌
강애란, 성형외과 환자 잇단 개인정보 유출 사건 발생, 데일리메디, 2020.
김경에, 유명 성형외과 개인정보 유출...고객 협박까지 2차 피해, 보안뉴스, 2018.
김승모 외, 부모님 치매정보가 요양센터 손에? 줄줄 새는 건보 정보, 노컷뉴스, 2020.
김일환, 개인정보의 보호와 이용법제의 분석을 위한 헌법상 고찰, 헌법학연구 제17권 제2호, 2011.
김정덕, 개인정보 보호를 위한 관리체계와 거버넌스, 정보보호학회지, 2008.
김한나, 개인정보 누출의 시대, 개인의료정보의 보호, 의료정책포럼 제12권 제2호, 의료정책연구소, 2014.
박우성 외, 개인정보보호 의료기관 개인건강정보보호, 퍼시빅북스, 2010.
백윤철, 우리나라에서 의료정보와 개인정보 보호, 헌법학연구, 한국헌법학회, 2005.
성수연, 의료정보의 공적활용과 개인정보보호, 고려대학교 법무대학원 논문, 2009.
연기영, 일본의 의료정보법제와 개인정보보호, 중앙법학회 제7집 제4호, 2005.
오승지, 코로나 확진자 가족 신상정보 유출 피해 호소, 광주매일신문, 2020.
이근호, 개인의료정보 유출에 따른 민사책임, 중앙대학교 대학원 논문, 2012.
정영철 외, 의료기관의 개인정보보호현황과 대책, 한국보건연구원, 2013.
최민경, 개인의료정보의 실질적 보호를 위한 법제 개선에 관한 연구, 동국대학교 대학원 논문, 2015.