"직업이 어떻게 되세요" "가족관계도 말씀하세요"

의료기관 개인정보 보안 불감증 심각

“직업이 어떻게 되세요? 대졸이시죠?”

직장인 김모(31·여)씨는 지난달 간단한 수술을 받기 위해 서울의 한 대학병원을 찾았다가 뜬금없는 질문을 받았다. 병원 관계자는 복용 중인 약 및 병력이 있는지와 함께 직업, 학력, 부모와 조부모 생존 여부, 형제관계 등에 대해 물었다.

김씨의 대답은 고스란히 환자 정보란에 입력됐다. 김씨는 “병원 관계자에게 왜 그런 내용이 필요한지 물으니 제대로 대답하지 못하고 당황했다”면서 “병원에서 무슨 기준으로 개인정보를 수집하는지 모르겠다”고 분통을 터뜨렸다.

카드사 개인정보 유출 등으로 개인정보보호에 대한 관심이 높아지고 있는 가운데 의료기관이 환자에 대한 불필요한 정보까지 수집하고 있다는 지적이다. 또 의사들의 경우 환자의 건강상태, 병력 등은 물론 신용카드번호, 통장계좌번호, 개인영상정보 등에 손쉽게 접근할 수 있지만 개인정보보호 인식은 부족한 것으로 나타났다.

14일 보건복지부와 안전행정부가 정한 의료기관 개인정보보호 가이드라인에 따르면 환자 동의없이 병원이 수집할 수 있는 개인정보는 방문에 의한 진료 요청 시 ‘환자 이름, 주민등록번호, 주소, 전화번호, 진료과목’으로 한정돼 있다.

진료과정에서는 진료기록부와 간호기록부, 수술기록부 등에서 각각 개인정보를 수집하고 있지만 대부분 진료와 관련된 항목으로 한정된다.

진료목적이 아니거나 법률에 근거하지 않은 개인정보를 수집하기 위해서는 수집 목적과 항목, 보유 및 이용기간, 동의를 거부할 수 있는 권리 등에 대해 환자의 동의를 받아야 하지만 이를 지키지 않는 것이 대부분이다. 한국보건사회연구원이 최근 발표한 ‘의료기관의 개인정보보호현황과 대책’에 따르면 의사들의 개인정보에 대한 인식도 부족했다. 16개 시·도 의사회 소속의원 원장 105명을 대상으로 설문조사한 결과 개인정보보호법에 대해 정확히 알고 있다고 응답한 의사는 7.6%에 그쳤다. ‘대충 알고 있으나 다른 사람에게 설명할 수준은 아니다’란 응답이 42.9%로 가장 많았다.

안행부가 지난해 전국 500병상 이상 대형병원 11곳과 의원급 병원 10곳에 대한 개인정보보호 기획점검을 실시한 결과에서도 21개 병원 모두가 개인정보보호법을 위반한 것으로 나타났다.

위반 사항은 접근통제·암호화 접속관리 등 안전확보조치 미흡, 위탁업체관리 의무 위반, 개인정보수집 시 통보 위반 등이다. 또 지난해 서울의 성형외과 2곳에서 환자정보 6만여건이 유출되고, 홍콩의 서버에서 국내 환자 수술기록이 무더기로 발견되는 등 의료정보 유출 사례도 끊이지 않고 있다.

박영준 기자 yjp@segye.com