지난 10월 24일 복지부가 입법예고한 건강정보보호 및 관리・운영에 관한 법률 제정안’에 대한 문제제기가 이어지고 있는 가운데, 민주사회를 위한 변호사회와 진보네트워크센터등 정보화문제에 대한 전문가단체와 참여연대등 시민사회단체가 법안의 수정을 강력하게 요구하였다.

이들 단체들은 '급속한 의료 정보화가 진행되고 있는 상황에서, 개인 의료정보를 실효성있게 보호하기 위한 법제도적 장치가 시급하게 마련될 필요'가 있다는데 동의하면서도 이번 법안은 개인정보의 보호는 생색내기이고, 의료정보화 및 산업화를 촉진하기 위한 법안으로 보인다고 강력한 '우려'를 표명했다.
이들은 보건복지부에 이 법안을 개인의료정보를 실효성 있게 보호살 수 있는 방향으로 수정해야 한다는 내용의 의견서를 제출하였다.

이들은 의견서에서 현재의 법안의 내용이 개인건강정보의 보호대책이 매우 미흡하며, 실효성있는 보호조치와 보호소홀시의 제재조치와 감독의 구체적인 방안이 제시되어야 한다고 주장했다. 특히, 신설되는 '건강정보보호위원회'와 개인정보보호기본법 상 '개인정보보호위원회'와의 관계정립의 필요성도 제기하였다.
또한 건강정보의 이용, 수집, 3자제공을 엄격하게 규제하고,열람및 교류시의 기술적보안조치의 명시를 주장하였다.
건강정보 보호진흥원의 데이터베이스 구축도 우려하여 형사처벌등 엄밀한 규정이 들어가야 한다고 제안하기도 하였다.

이들의 의견서 원문은 아래와 같다.




건강정보보호 및 관리・운영에 관한 법률(안)에 대한 의견서

지난 2006년 10월 24일, 보건복지부는 ‘건강정보보호 및 관리・운영에 관한 법률 제정안’을 입법 예고하였다. 현재 각 급 병・의원들의 정보화가 급속도로 진행되고 있고, 건강보험관리공단 등 취급기관들은 엄청난 규모의 개인 의료정보 데이터베이스를 보유하고 있다. 현행 의료법 등에 개인 의료정보 보호와 관련된 규정을 두고 있으나, 발전된 의료 정보화 수준에 맞게 종합적이고 실효성 있게 개인 의료정보를 보호할 수 있기에는 매우 미흡한 상황이다. 따라서 개인 의료정보를 실효성 있게 보호할 수 있는 관련 법안이 조속히 제정되어야 한다는 것에 대해서는 공감하는 바이다.

그러나 보건복지부가 이번에 입법 발의한 법안은 개인 의료정보를 실효성 있게 보호하기에는 미흡한 부분이 많다. 오히려 개인정보의 보호는 생색내기에 머물고, 의료정보화 및 산업화를 촉진하기 위한 법안이 아닌지 우려하지 않을 수 없다. 우리는 아래와 같이 법안의 문제점을 지적하며, 이러한 제안을 수용하여 개인 의료정보(건강정보)를 실효성 있게 보호할 수 있는 방향으로 법안을 수정할 것을 강력하게 촉구한다.


1. 생성기관 및 취급기관의 실효성 있는 건강정보 보호 대책 수립을 강제할 수 있는 방안이 미흡하다.

실제로 대부분의 건강정보 유출 및 남용은 건강정보를 직접 관리하는 생성기관 및 취급기관에서 발생할 수밖에 없다. 따라서 생성기관 및 취급기관에서 개인정보 보호 및 정보보안을 위한 적절한 대책을 세우고 이를 지키지 않는다면, 제반 개인정보 보호 관련 법규정은 실효성을 잃게 될 것이다. 정부는 생성기관 및 취급기관이 실효성 있는 대책을 세우고 이를 준수하도록 감시・감독해야할 것이다.

1) 생성기관 및 취급기관의 건강기록의 보호조치
제11조에서는 보건복지부장관이 관리적, 물리적, 기술적 조치를 포함한 건강기록 보호지침을 정하여 고시할 수 있고, 생성기관 및 취급기관은 이를 준수할 것을 규정하고 있다. 또한 제37조에서 이를 준수하지 않았을 경우 1천만원 이하의 과태료를 부과하도록 하고 있다.

정부에서 각 급 병원의 정보화 수준에 맞는 구체적인 관리적, 물리적, 기술적 조치에 대한 가이드라인을 만들고, 이를 각 급 병원에서 준수할 수 있도록 감독할 필요가 있다는 점에 대해서는 동의한다. 그러나 이 법안에서는 관리적, 물리적, 기술적 조치들이 어느 정도 수준에서 이루어질 것인지에 대해서 별다른 언급이 되어있지 않다.
물론 법안에서 상세한 조치들을 모두 기술할 수는 없으나, 이러한 조치에 포함되어야 할 중요한 원칙에 대해서는 법에서 규정할 필요가 있다. 이러한 원칙에는 다음과 같은 규정이 포함될 수 있을 것이다.

- 생성기관 및 취급기관은 건강기록을 접근・이용하는 이용자를 식별・인증할 수 있는 인증체계를 두어야 하며, 건강기록에 대한 모든 접근・이용은 기록으로 남기도록 의무화해야 한다.
- 건강기록에 대한 유출, 변조, 훼손 등이 이루어졌을 경우, 이 사실을 정보주체에게 고지하도록 한다.
- 생성기관 및 취급기관에서 건강정보보호책임자를 두고 각 기관의 건강기록 보호정책을 수립하고, 건강기록의 보호와 관련된 제반 업무를 책임질 수 있도록 해야한다.

2) 건강기록 보호지침을 준수하지 않았을 경우의 제재조치
건강기록 보호지침을 준수하지 않았을 경우의 과태료도 지나치게 적다. 건강기록 보호지침 준수를 보다 강력하게 수용할 수 있을 정도로 과태료를 높일 필요가 있다. 혹은 과태료의 성격상 액수를 높이는 것이 적절하지 않다면, 보다 높은 수준으로 벌금을 부과하는 방안을 검토할 필요가 있다.

3) 건강기록 보호조치 이행 여부에 대한 감독의 부재
개인정보 보호를 위해서는 정보 수집자에 대한 사회적인 감시・감독 체제가 마련되어야 한다. 그러나 이 법안에서는 생성기관 및 취급기관의 건강기록 보호조치 준수를 의무화하고 있지만, 처벌도 미약할 뿐만 아니라, 실제 이행 여부를 어떻게 감독할 것인지, 누가 감독할 것인지가 명확하지 않다.
제12조에서 보건복지부장관이 건강정보보호 수준평가를 할 수 있다고 되어있을 뿐이다. 그러나 건강정보보호 수준에 대한 평가가 (이 자체는 의미가 있다고 하더라도) 건강기록 보호조치 이행 여부에 대한 실효성있는 감독이 되기에는 부족하다.
제10조에서 규정하고 있는 ‘건강정보보호위원회’ 역시 분쟁조정 및 보호지침에 관한 사항을 맡는다고 규정하고 있을 뿐, ‘개인정보 감독기구’로서 각 급 기관의 개인정보 보호 현황에 대한 효과적인 감독의 역할을 할 수 있을지는 명확하지 않다.
생성기관 및 취급기관의 건강기록 보호 상황을 실효성 있게 감독하고, 이행을 촉구하며, 건강정보 침해에 대해 구제해줄 수 있는 감독기구를 두어야 하며, 감독기구의 역할, 조직체계 등에 대한 구체적인 방안이 마련되어야 한다.

4) 개인정보보호기본법 및 기본법 상 개인정보보호위원회와의 관계 문제
현재 국회에는 개인정보보호기본법 제정과 관련된 3개 법안이 계류되어있는 상태이다. 기본법에서는 우리 사회 전반의 개인정보 보호 문제를 다룰 ‘개인정보보호위원회’의 설립을 규정하고 있다.
그런데 ‘건강정보보호 및 관리・운영에 관한 법률’에서 설립을 규정하고 있는 ‘건강정보보호위원회’의 역할은 ‘개인정보보호위원회’의 역할의 일부분에 해당한다. 따라서 건강정보보호위원회의 설립을 논의하기 위해서는 그 전에 개인정보보호위원회의 역할과 부문별 개인정보 감독기구 설립의 필요성 등에 대한 논의가 선행되어야할 것이다. 그렇지 않고 ‘건강정보보호위원회’를 먼저 설립한다면, 조직의 특성상 향후 개인정보보호위원회와의 관계 설정이 모호해질 가능성이 매우 높다.


2. 건강정보의 보호 관련

건강정보는 여타 개인정보에 비해 전반적으로 민감한 정보가 많다. 따라서 보다 높은 수준의 보호가 필요하다는 것이 일반적으로 인정되어 왔다. 그러나 법안에서 규정하고 있는 건강정보 보호 관련 조항은 일반적인 개인정보 보호 수준을 넘어서지 못하고 있다. 건강정보를 보다 엄격하게 보호할 수 있도록 아래와 같이 보완될 필요가 있다.

1) 건강정보 이용 내역에 대한 알권리
제4조 1항에서는 “생성기관은 본인 또는 본인이 지정하는 대리인이 건강기록의 열람・사본교부 등 그 내용확인을 요구한 때에는 이에 응하여야 한다.”고 되어있다.
법안에서 열람을 허용하는 건강기록의 범위는 개인정보에 국한된 것으로 보인다. 그러나 정보주체가 자신의 개인정보에 대한 통제권을 명확하게 행사할 수 있기 위해서는 자신의 정보가 어떻게 이용되었는지, 누구에게 제공되었는지에 대해서 알 필요가 있다. 따라서 정보주체가 열람 및 사본교부를 요구할 수 있는 정보의 범위에는 정보주체의 건강기록 뿐만 아니라, 건강기록의 이용 내역 및 제3자 제공 내역이 포함되어야 한다. (이를 위한 전제조건으로 다른 조항에서 건강정보의 모든 이용 내역 및 제3자 제공 내역을 기록에 남길 것을 의무화할 필요가 있다.)

2) 정보통신망을 이용한 열람 및 교류의 경우
제4조 3항은 정보통신망을 통한 열람을, 제5조 1항은 병원간 건강기록의 교류를 규정하고 있다.
정보통신망을 통해 건강기록의 열람을 허용하는 경우, 해킹 등으로 인한 정보 유출의 위험성이 존재한다. 현재로서는 모든 병원이 온라인 커뮤니케이션을 위한 적절한 보안 조치를 취했으리라고 기대하기 힘들다. 따라서 정보통신망을 통한 열람을 허용할 경우에, (세부적인 사항은 시행령에 규정하더라도) 정보보안을 위한 기술적 보안조치를 취할 것을 법안에 명시할 필요가 있다.
제5조 1항의 경우에는 정보통신망을 이용한 전송이 허용되는지에 대해 명확한 규정이 없으나, 건강기록의 교류 일반에 대한 규정이라고 보았을 때 정보통신망을 이용한 건강기록의 교류도 포함하는 것으로 보인다. 정보통신망을 이용하여 건강기록을 교류할 경우에는 정보보안을 위한 적절한 기술적 보안조치를 취할 것을 명시할 필요가 있다.

3) 건강기록의 수집
제6조의 제목이 “건강기록의 제공・수집에 대한 보호조캇라고 되어있지만, 이 조항은 사실상 건강기록의 제3자 제공에 대한 조항이다. 법안에서는 생성기관에 의한 건강기록의 수집과 관련된 조항은 존재하지 않는다. 생성기관에서도 건강기록을 수집할 때, 이용 목적 및 범위 등을 명확히 설명하고, 서면 동의를 받을 필요가 있다.
이때 이용 목적 및 범위 등은 진료에 필요한 범위를 넘어서서는 안 된다. (현재 대학병원 등에서 건강기록을 교육 목적으로 이용하는 경우도 있다. 그러나 교육을 위해서 실제 환자의 데이터를 반드시 이용해야 하는지는 의문이다. 필요하다면 가공의 데이터를 별도로 만들어서 이용할 수도 있을 것이다.)

4) 건강기록의 제3자 제공
제6조 1항은 “생성기관은 개인 식별이 가능한 건강기록을 본인의 동의없이 외부에 제공하여서는 아니된다.”고 되어 있다.

이 때 동의절차를 보건복지부령으로 정하게 되어있는데, 의료정보는 매우 민감한 정보이기 때문에 동의절차를 보다 엄격하게 할 필요가 있다. 즉, 이용 목적, 수집 범위, 이용절차, 보유기간 및 파기, 그리고 정보제공시 정보주체에게 미칠 수 있는 영향(위험성) 등에 대해 충분한 설명과 함께 서면 동의를 받도록 법에 명시적으로 규정해야할 것이다.

또한, 동의없이 1항에서 본인의 동의없이 제공할 수 있는 경우를 나열하고 있는데, 비록 법률로써 본인의 동의없이 제공한다고 하더라도, 본인에게 그 사실을 통지하도록 의무화함으로써 정보주체가 최소한 그 사실을 인지할 수 있도록 보장할 필요가 있다.


3. 국민 건강정보 데이터베이스 구축에 대한 우려

제23조 건강정보보호진흥원의 업무에 ‘생성기관 중 전자건강기록의 위탁관리를 요청하는 기관의 관련 정보시스템의 구축・운영 지원’(7항)을 포함하고 있다. 그러나 이에 대한 구체적인 사항은 기술되어있지 않다.
만일 생성기관이 건강정보보호진흥원에 자신의 전자건강기록을 위탁하게 된다면, 건강정보보호진흥원은 상당한 개인 건강정보 데이터베이스를 보유하게 된다. 특히 보건소 등 공공보건기관의 건강정보 데이터베이스를 기본적으로 위탁・관리하게 될 가능성이 높다. 건강정보보호진흥원이 위탁관리할 수 있는 건강정보 데이터베이스의 조건 등에 대한 상세한 규정이 없다면, 건강정보보호진흥원이 결국 전 국민에 대한 건강정보 데이터베이스에 준하는 정도의 데이터베이스를 보유하게 될 가능성을 우려하지 않을 수 없다. (현재로서는 보건기관의 이용율이 높지 않더라도 향후 정책에 따라 보건기관의 이용율은 변할 가능성이 있다.)
따라서 건강정보보호진흥원이 과도한 개인 건강정보를 수집・관리하지 못하도록, 위탁하는 생성기관의 조건이나 위탁받은 건강정보 데이터베이스 관리의 방안, 위탁받은 건강기록을 분리・운영해야할 의무, 그러한 의무를 위반하였을 때 형사처벌 등에 대해 좀 더 엄밀하게 규정이 될 필요가 있다.

개인 건강정보에 대한 시급한 보호의 필요성에도 불구하고, 이번에 입법예고된 법안은 건강정보에 대한 효과적인 보호대책이 되기에는 턱없이 부족하다. 오히려 의료산업화의 육성과 보건복지부의 영역 확대가 법안의 목적이 아닌가 의심될 지경이다.
대다수의 전문가, 관련 이해당사자, 그리고 시민사회단체가 환자들의 건강정보의 중요성을 한목소리로 얘기하고 있다. 법안이 개인 건강정보를 실효성있게 보호할 수 있도록 관련 제안을 적극 수용할 것을 보건복지부에 강력 촉구한다.

2006년 11월 13일

노동조합기업경영연구소 / 민주사회를위한변호사모임 / 의료연대노동조합 / 진보네트워크센터 / 참여연대 / 평화인권연대 / 함께하는시민행동