약학정보원의 환자정보 누출사건으로 우리나라 국민 88%인 약 4,400만명의 개인정보 및 질병정보가 외국으로 유출됐다. 이에 대한 후속조치로 정부는 뜬금없이 모든 일선 의료기관과 약국에 개인정보보호 자율점검교육을 받게 하고, 자율점검을 실시토록 했다. 게다가 자율점검을 시행하지 않는 의료기관은 현장점검으로 관련법에 따른 조치를 취한다는 엄포도 이어졌다. 정부는 마치 이번 사건의 책임이 일선 의료기관에도 있는 것처럼 호도하고 있다. 이는 종로에서 뺨 맞고 한강에 가서 화풀이하는 격이다.
이번 환자정보 누출사건은 일선 의료기관의 관리부실이 아니다. 약국청구용 프로그램 PM2000을 이용하여 약학정보원과 보험청구 심사프로그램 회사인 ‘지누스사’, 다국적 의료통계회사인 IMS헬스코리아 및 SK텔레콤 등이 연루된 조직적 범죄인 것이다. 이를 사전에 관리, 감독하지 못한 정부는 해당 환자와 이를 진료했던 의료기관에 책임을 떠넘길 것이 아니라 관련자의 철저한 조사와 함께 조속한 재발방지대책을 세워야 함이 옳다.
정부는 그동안 IT 기술의 발전으로 건강보험 청구를 전산화하고 의료기관들이 이를 사용하도록 독려해왔다. 병원이나 약국의 환자 정보가 디지털화되어 관련 업체를 통해 심평원에까지 도달할 때 더이상 환자정보 보호는 의료기관의 책임이 아니다. 이 사건의 원인 파악과 해결을 위해 정부가 최우선으로 할 일은 의료기관과 약국의 전산시스템을 구축하고 유지 보수 등의 업무를 하는 외주 전산업체에 대한 집중 관리방안을 마련하는 것이다. 또한 관련 소프트웨어 업체 보안시스템의 철저한 점검으로 일선 의료기관이 안심하고 전산화된 청구 프로그램을 이용할 수 있도록 하는 것이다.
이를 토대로 의료기관에 환자정보 보호에 관한 방침을 설명하고, 의료기관이 해야 하는 역할을 부여해야 적극적으로 협조할 수 있다. 용어도 난해하고, 일반 의료인이 이해하기도 힘든 항목들을 체크하도록 설계된 비현실적인 자율점검은 당장 시정되어야 한다.
전국 모든 의료기관과 약국을 대상으로 하는 단기간의 오프라인 교육이 아니라 중장기적으로 온라인 교육을 통해 개원가의 불편함을 덜어줄 방안도 마련할 필요가 있다. 현장 점검을 통한 처벌만이 능사가 아니다. 서너 명의 직원이 전부인 의원급 의료기관에게는 개인정보보호법 가이드라인 준수에 필요한 예산을 지원하고 이를 준수하고 있는 기관에는 인센티브를 제공하여 자연스럽게 정보보호에 동참하도록 유도함이 바람직하다.
의원급 의료기관과 대형 병원의 책임도 구분할 필요가 있다. 사실 의원급 의료기관의 대규모 환자정보 유출사례는 극히 드물다. 고의성이 있거나 과실에 의한 것일지라도 이에 대한 처벌의 강도 또한 매우 높다. 의료법 제21조에서는 의료인이나 의료기관 종사자가 환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 하거나 사본을 내주는 등의 내용을 할 수 없도록 규정한다. 의료법 제80조에서는 이를 어길 경우 3년 이하의 징역이나 1,000만원 이하의 벌금에 처하게 되어있고, 자격정지 2개월의 행정처분이 뒤따른다.
환자의 질병에 관한 정보유출은 결코 일어나서는 안 된다. 일반 개인정보와 달리 환자에게 돌이킬 수 없는 심각한 피해를 불러올 수 있기 때문이다. 의료기관과 전산업체나 소프트웨어 업체, 정부는 이를 보호할 각자의 역할이 있다. 아무런 책임이 없는 사건에도 의료기관을 들볶는 전시행정에 개원가는 골머리가 아프다. 치협을 비롯한 의료계와 정부는 환자 정보보호를 위해 합리적인 방안을 원점에서부터 모색하여 모든 국민이 안심하고 진료받을 수 있는 환경을 조성해 주길 바란다.