과 파기요구가 있을시 파기의 의무화를 규정하여야 하고, 제공시에도 익명화하여 제공하는 것에 대한 규정이 있어야 한다. 또한 의료정보의 불법제공의 경우에 제공자와 이용자에 대한 처벌이 전제되어야 의료정보의 불법유통을 막을 수 있을 것이다. 즉, 이들은 정보주체의 의사와 무관하게 정보를 제공·이용한 것이고, 이로 인하여 정보주체가 피해를 입을 수 있기 때문이다(이한주, 2012).
2) 독립된 개인의료정보 보호기구의 설치
민감한 의료정보의 침해에 대해서는 소송이라는 제도를 통하여 손해의 전보를 받고 침해의 정지를 구하는 것도 필요하지만, 증명의 곤란함과 많은 비용 및 소송의 장기화로 인하여 정상적인 소송절차를 통한 권리구제가 어려울 수 있고, 민감한 정보가 장시간 대중에게 노출됨으로써 피해가 확산될 위험이 있음으로 의료정보에 관한 관리와 침해구제의 업무를 담당할 별도의 기구를 두어 외부의 간섭으로부터 독립된 업무를 수행하도록 하여야 한다.
현행 「개인정보 보호법」은 이에 따라 개인정보보호위원회를 두고 있다. 동위원회는 개인정보 보호와 정보주체의 권익보호를 위한 기본계획 및 정책, 제도 및 법령의 개선 등에 관한 사항을 취급하고 있다(제9조). 문제는 개인정보를 취급하는 개별기관에서는 개인정보보호를 위한 위원회가 설치되지 못하고, 개인정보 보호 책임자를 지정하여 문제를 해결하려고 시도하고 있지만, 특히 민감한 내용을 가지는 의료정보의 경우에는 정보보호기구의 중립성과 공정성을 확보하고, 행정 기관 간에 공유되는 의료정보의 유출 및 오·남용을 방지하기 위하여 별도의 독립된 의료정보보호기구가 설치될 필요가 있다.
독립된 개인의료정보 보호기구 설립은 다름 아닌 국가보건의료정보 인프라의 구축을 의미한다. 정보생성기관이 독립기구에 개인의 의료정보를 위탁하면 독립기구는 상당한 개인의료정보 데이터베이스를 보유하게 된다. 특히 민감한 정보에 해당하는 개인의료정보의 집적을 위한 정보보호 체계는 매우 엄격하고 신뢰성이 높아야 할 것인데, 이에 대해 명확하고 상세한 규정이 없어 과도한 개인정보수집이 이루어질 가능성이 있다. 독립기구 등의 통합정보센터의 경우 기존의 분산 시스템에 비해 한곳에 많은 정보가 집적되므로 더욱 강력한 보안체계를 확보해야 한다. 의료정보 서비스 검색 및 중개 시스템이나 축약된 정보를 집적하는 서버가 운영되는 경우 이들 시스템도 강력한 보안대책이 필요하다. 기술적인 대책뿐만 아니라 보안관리 프로세스 및 정책, 물리적 보안 대책 등이 종합적으로 수립될 필요가 있다. 또한 개인의료정보를 위탁하는 기관의 조건이나 위탁받은 의료정보 관리방안, 의료정보의 분리 운영의무와 위반 시 형사처벌 등 보다 엄격한 규정이 필요하다(정영철 외, 2013).
3) 의료기관 개인의료정보의 보호 인증제도
의료기관 인증제란 「의료법」제58조(의료기관 인증)에 근거하여 환자의 안전과 의료서비스의 질 향상을 위해 2011년 1월부터 의료기관의 자율적인 참여를 취지로 시행하고 있는 제도로 ‘의료기관 평가인증원’이 인증전담기관으로 수행하고 있다. 또한 동법 제58조의3(의료기관 인증기준 및 방법 등) 제1항에 의하면 인증기준으로는 환자의 권리와 안전, 의료기관의 의료서비스 질 향상 활동, 의료서비스의 제공과정 및 성과, 의료기관의 조직·인력관리 및 운영, 환자만족도 등을 포함하며, 일정수준을 달성한 의료기관에 대해 유효기간 4년인 인증마크를 부여하게 된다(최민경, 2015).
인증대상은 모든 의료기관으로, 병원급 의료기관은 자율적으로 인증을 신청할 수 있으며 다만, 상급종합병원과 전문병원의 경우에는 지정기준에 해당되므로 인증조사를 받아야 한다. 한편 요양병원은 2013년부터 의무적으로 인증신청을 하도록 했다. 인증기준은 기본가치체계, 환자진료체계, 행정관리체계, 성과관리체계 4개 측면으로 구성하여 의료기관의 규모 및 특성 즉, 대형병원, 중소병원, 요양병원, 정신병원에 따라 선택적 또는 단계적으로 적용하고 있다.
이러한 인증제도는 개인정보 보호를 위해 기관차원의 필수적이고도 충분한 조건들을 갖추었는지를 평가함에 있어, 이러한 기준에 도달하기 위해 필요한 절차와 조건들을 스스로 학습하고 이행하는 과정에서 조직 구성원들의 의식과 행동양식이 개선되고, 궁극적으로는 조직의 개인정보 보호수준이 향상됨에 그 의의가 있다. 이를 위해서는 인증에 대한 신뢰와 요구, 책임감이 사회 전반적으로 확산되어 활발하게 수용되어야 스스로 실천하는 자율규제적인 문화가 조성될 수 있으리라 생각된다. 이처럼 스스로 실천하는 자율규제적인 특성 속에서 볼 때 우리나라의 개인정보 보호관련 인증제도는 아직까지는 당위성 측면과 필요성 측면에서 폭넓게 확산되지 못하고 있는 실정이며 특히 의료기관의 경우 인식측면에서 더 많은 준비가 필요하다고도 할 수 있다.
그러므로 정부차원의 인증제도간 중복 혹은 유사성에 대한 정리 뿐 아니라 의료기관과 같이 특정 영역의 특성을 잘 반영할 수 있는 부문별 영역별 인증체계로의 정립이 매우 필요한 시점이라 할 수 있다. 한편 이와 같은 개인정보 보호관련 인증제도와 더불어 의료서비스의 질 향상을 위한 의료기관 인증제도에 있어 개인정보 보호측면을 보다 강화할 필요가 있다(최민경, 2015).
참고문헌
박민영최민경, 의료정보의 관리와 비식별화에 대한 법적 과제, 유럽헌법연구, 제21호, 2016.
오진석, 의료기관의 개인의료정보 문제점과 개선방안, 아주대학교 정보통신대학원 논문, 2020.
이상명, 의료정보화와 의료정보보호, 한양대학교 법학논총 제25권 제1호, 2008.
이한주, 개인의료정보의 헌법적 보호, 고려대학교 대학원 논문, 2011.
이한주, 의료영역에서의 개인정보보호의 문제점과 해결방안, 한국의료법학회지, 제20권 제2호, 한국의료법학회, 2012.
장석천, 의료정보보호와 민사법적 문제, 법학연구, 제28집, 2007.
장석천, 의료정보보호에 관한 입법방향, 법학연구 제24권 제1호, 충북대학교 법학연구소, 2013.
정영철 외, 의료기관의 개인정보보호현황과 대책, 한국보건연구원, 2013.
최민경, 개인의료정보의 실질적 보호를 위한 법제 개선에 관한 연구, 동국대학교 대학원 논문, 2015.