까발려진 환자정보... 무서워서 병원 가겠나
행정자치부와 보건복지부 등 정부 합동조사반이 지난 27일부터 일주일 예정으로 약학정보원과 전산업체 4곳에 대해 긴급 특별점검을 실시하고 있다. 이는 개인정보범죄 정부합동수사단이 약학정보원과 병원 보험청구심사 프로그램 공급업체 관계자 등을 개인정보보호법 위반 혐의로 지난 23일 기소한 데 따른 것이다.
정부합동수사단에 따르면 대한약사회 산하 재단법인인 약학정보원은 약국에서 사용하는 청구프로그램(PM2000)을 통해 환자 주민번호와 병명, 투약내역 등을 포함한 43억3593건의 진료정보를 빼내 다국적 통계회사에 팔아넘긴 혐의를 받고 있다.
보건복지부는 이와 관련해 환자 개인정보를 불법 처리하는데 사용된 전산업체 청구소프트웨어(S/W)를 앞으로 사용하지 못하도록 할 계획이라고 했다. 대한약사회는 긴급회의를 열어 PM2000 사용중지가 현실화되면 약국이 큰 혼란에 빠질 수 있다면서 대책 마련에 분주하다.
한국환자단체연합회는 “국민 90%의 개인정보와 질병정보가 국외로 빼돌려져 누구든지 돈만 주면 구입할 수 있는 상품이 됐다”며 “이 정보들은 제약회사 마케팅뿐만 아니라 보험회사가 보험금 지급 거절사유를 찾는데 활용되고, 보이스피싱 피해로도 이어질 수 있다”고 주장했다.
이번 개인 의료정보 누출 사건은 원격의료나 환자개인정보기록(PHR) 등 의료 IT의 걸림돌로도 작용할 수 있다는데 그 심각성이 있다. 이미 일부 의료계에서는 원격의료가 본격적으로 시행되면 개인 질병정보 유출 문제가 발생할 수 있다는 주장을 펴고 있다. PC의 악성코드나 바이러스 감염, 해킹 위험이 상존하고 있다는 것이다.
의료정보는 가장 내밀한 개인정보 중의 하나다. 성병 등 성관련 질병 정보는 물론 개인이 감추고 싶은 만성질환 내역도 고스란히 담겨있다. 이런 의료정보가 무차별적으로 확산된다면 개인에겐 치명타가 될 수밖에 없다. 환자 의료정보 누출 뉴스를 접할 때마다 가슴이 철렁 내려앉는 것은 이런 심각한 부작용 때문이다.
원격의료에는 의사와 환자의 대면 접촉을 대신해주는 화상 시스템 등 통신 수단이 필수적이다. 먼 거리에 있는 환자와 의사를 연결해주는 통신 수단에는 클라우드 시스템 도입이 필요하다. 클라우드는 소프트웨어 등을 인터넷과 연결된 중앙 컴퓨터에 저장해 데이터를 이용할 수 있도록 한 것이다. 개인의료정보가 의료기관이 아닌 별도의 공간에서 관리될 수밖에 없어 개인정보보호에 취약한 구조다.
정부는 원격의료 도입에 맞춰 개인정보보호 가이드라인을 따로 만들고 시범사업을 통해 보안 취약점을 분석해 대비책을 마련할 방침인 것으로 알려졌다. 원격의료가 실시되면 의사나 간호사 등 의료진뿐만 아니라 의공학자, 컴퓨터 전문가, 통계학자 등 다양한 분야의 인력이 관여할 수밖에 없다. 마음만 먹으면 개인의 내밀한 진료정보를 들여다볼 수 있고 밖으로 유출도 가능한 구조다.
이번 약학정보원 진료정보 누출 사건의 진실은 재판을 통해 드러날 것이다. 그러나 법적, 기술적 문제를 떠나 환자의 진료정보를 팔아 수익을 올리려 했다면 더욱 큰 문제가 아닐 수 없다. 환자의 진료정보를 다루는 의사나 간호사, 약사는 그 어느 분야보다 윤리의식이 철저해야 한다. 그래야 환자들이 자신의 질환 정보를 모두 공개하고 적극적인 치료에 나설 수 있다.
자신의 일기장이 많은 사람들한테 공개된다면 진실된 기록을 남기기 어렵다. 진료 내역도 그렇다. 환자 스스로 부끄럽게 여길 수 있는 진료 항목이 의료진을 떠나 수익사업이 목적인 다른 관계자들이 열람하는 상황을 가정해보자. 어느 환자가 자신의 내밀한 질병 상태를 의료진에게 솔직하게 털어놓겠는가.
이번 메르스 사태도 첫 번째 환자가 메르스 진원지인 사우디아라비아 방문사실을 제 때에 애기하지 않아 확산됐다는 주장이 있다. 진실은 추후에 밝혀지겠지만 그만큼 질병을 치료하기 위해서는 환자가 의료진에게 숨김없이 마음을 열어야 한다. 또한 의료계 관계자는 환자의 질병정보를 철석같이 보호하겠다는 윤리의식으로 무장돼 있어야 한다.
의료 IT는 거스릴 수 없는 대세다. 수많은 의료정보가 의료진과 환자의 손을 떠나 제3의 공간에서, 제3자에 의해 처리될 것이다. 의료정보는 미래 산업의 동력으로도 활용될 수 있지만 그만큼 부작용 위험도 커질 수밖에 없다. 개인정보 보호를 위한 제도적, 기술적 문제에 앞서 윤리의식 강화가 먼저 강조되는 이유다.