[단독] 서울대병원, 환자 개인정보침해 자료 ‘만지작’거리기만

환자 개인정보침해 관련, 서울대병원 정보화실의 미심쩍은 조치

기사승인 2017-09-29 16:21:21

서울대병원의 환자 정보기록은 안전하게 관리되고 있을까? 또한 무단열람 등 환자 개인정보의 침해가 이뤄졌을 때 이에 대한 대책과 후속조치는 피해자의 입장에서 진행될까? 최근 불거진 서울대병원의 전자의무기록 무단열람 사건을 보면, 대답은 ‘아니오’에 가깝다. 이 중심에는 서울대병원 정보화실이 자리하고 있다. 해당 부서가 환자의 개인정보침해를 자체적으로 조사·판단·조정하고 있다는 의혹이 제기된다.

지난 5월과 8월 서울대병원으로 각각 두 번에 걸쳐 내용증명이 발송된다. 특정 환자의 의무기록을 담당의사가 아닌 이들이 열람했는지 여부와 이들의 명단, 열람 방법, 일시 및 횟수를 알려달라는 요청이었다. 서울대병원 정보화실은 최초 내용증명에는 거부를, 두 번째에는 답변을 하지 않았다.

자료 요청 거부 사유는 이렇다. “의무기록 무단열람은 불법행위이더라도 해당 정보를 줄 경우 다른 문제를 야기할 수 있다”는 것. 서울대병원 소속 의사이자 동시에 환자였던 ㅅ씨의 전자의무기록을 병원 선·후배 동료이자 의사들이 훔쳐본, 매우 이례적인 사건의 시작이었다.

취재 결과 ㅅ씨의 의무기록 내용은 의료진뿐만 아니라 병원 직원 사이에서도 이미 파다하게 퍼져 있었던 것으로 확인됐다. 앞서 서울대병원 정보화실은 ㅅ씨의 요청에 따라 한차례 무단열람자 명단 일부를 건넨다. 이미 의료법 위반 사항이 벌어졌음을 정보화실도 인지하고 있었음을 반증한다.

그러나 당초 건넨 리스트보다 더 많은 이들이 ㅅ씨의 의무기록을 불법적으로 열람한 것으로 본지 취재 결과 확인됐다. 병원 정보화실이 무단열람자들의 범위를 축소해 제공했음을 보여주는 부분이다.

이번 사건이 언론을 통해 기사화되자, 정보화실 측은 사건에 연루된 병원 직원들에게 소명을 요구한 것으로 알려진다. 다음은 병원 정보화실 정보시스템보안 담당자의 진술이다. “(무단열람자들에게 의무기록) 접속 장소 정보와 접속 시간 정도를 개별적으로 보내고 있다. 소명을 받기 위해서다.” “이런 업무에 대한 부분은 윗분에게 (지시를) 받아서 진행한 것이다.” “어제(19일) 의사결정이 나서 저희에게 오더가 떨어졌다.”

서울대병원 정보화실의 구체적인 역할과 권한에 대해 그동안 알려진 바는 거의 없었다. 다만, 이와 관련해 병원 고위 관계자는 ‘제한적’ 기능을 맡는 부서라고 밝혔다. “정보화실은 환자의무기록 무단열람 여부만 확인할 수 있는 부서이지, 어떠한 판단을 할 수 있는 곳이 아니다. ”정리하면, 정보를 ‘열수 있는 기능’만 가진 부서라는 이야기다.

이 말대로라면 최초 ㅅ씨의 개인정보침해 여부를 정보화실이 직접 확인·제공한 상황에서 개인정보보호법 제34조를 어기면서까지 추가 자료 요청을 거부한 이유는 쉬이 납득키 어렵다. 아울러 무단열람 정보를 선별해 제공할 권한을 갖고 있었는지도 의문이다. 이번 사건과 같이 의료정보와 관련한 사건을 처리하는 병원내 기구는 ‘의료정보보호위원회’ 소속 교수들로 구성된 조사위원회다. 현재 의료정보보호위원회 위원장은 현 정보화실 책임자인 ㄱ교수이다. 병원 정보화실의 권한 및 역할은 한정돼 있더라도, 책임자의 권한이 커 정보화실이 사실상 의료정보를 주무르고 있는 게 아니냐는 추정도 가능케 한다.

개인정보보호법 제34조 제1항은 개인정보 유출시 정보 권한을 가진 자의 역할에 대해 다음과 같이 적시하고 있다. “개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. ▶1. 유출된 개인정보의 항목 ▶2. 유출된 시점과 그 경위 ▶3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 증에 관한 정보 ▶4. 개인정보처리자의 대응조치 및 피해 구제절차 ▶5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처.” 이를 어길시 해당 개인정보처리자에게는 개인정보보호법 제75조 과태료 규정에 따라 5000만원 이하의 과태료를 부과할 수 있다.

사진=픽사베이

◇ 말뿐인 ‘의료정보 윤리헌장’

지난 2004년 서울대병원은 ‘의료정보 윤리헌장’을 선언한다. 여기에는 ▶의료정보는 인류건강 증진과 의학 발전을 위해 사용돼야 한다 ▶의료정보의 생성·가공·활용 과정에서 환자의 개인비밀을 보호해야 한다 ▶의료정보에 대한 접근은 합법적으로 권한이 부여된 자에 한해 허용돼야 한다 ▶의료정보는 허가받은 목적과 방법으로 사용돼야 하고 누출·변조·훼손을 금지한다 ▶의료정보 운영자와 사용권한을 가진 자는 정보의 윤리적 활용에 관심을 갖고 책임을 다한다는 내용이 담겨져 있다.

분당서울대병원에서 발생한 배우 고 이은주씨 의료기록 무단열람 사건부터, 고 앙드레김, 고 백남기 농민 등을 거쳐 현재 사건에 이르기까지 서울대병원의 환자 의무기록은 허술한 관리와 불분명한 감시 체계, 미흡한 후속 조치 등으로 재발의 불씨를 갖고 있다. 병원 소속 의사이자 환자였던 ㅅ씨와 달리 일반 환자의 경우, 개인정보가 침해됐는지 여부를 알 수도 없거니와 설사 알게 되어도 개인적으로 소송 등을 벌이지 않는다면 사실상 대응할 방법은 많지 않다. 제2의 이은주나 앙드레김과 같은 사건이 일어날 불씨를 내포하고 있다는 말이다.

김양균 기자 angel@kukinews.com