[단독] 공주 요양병원, 환자 동의 없이 의료기록 유출
작성일
의료기록 관리 부실 드러나…민감정보 보호 인식 강화 필요
보호자 신고 뒤 보건소 사실확인…동의서·위임장 없는 제공 확인
절차 무시 유출 땐 형사처벌 가능
[충남=위키트리 양완영 기자] 충남 공주의 한 요양병원에서 환자 동의서와 위임장 등 법이 정한 확인 절차 없이 의료기록이 보험사 손해사정인에게 넘어간 사실이 보건당국 확인 결과 드러났다.
지난 4월 초 공주시 외곽의 한 요양병원 원무과 직원은 입원 중인 요양환자의 의료기록을 보험사 측 손해사정인에게 건넸다. 환자 본인의 동의서와 위임장, 대리권 확인 서류 등 법정 요건은 갖춰지지 않았다. 환자 보호자는 의료기록이 외부로 넘어갔다는 내용을 지자체에 신고했다. 공주보건소는 즉시 사실확인에 나서 의료기록 유출 사실을 확인한 뒤 병원 측 경위서를 받아 행정절차에 착수했다.
피해자 측은 공주경찰서에 의료법 위반과 개인정보보호법 위반 혐의로 고소장을 제출했다. 경찰 수사는 의료기록을 넘긴 병원 직원의 행위뿐 아니라 이를 받아 간 손해사정인의 취득 경위까지 살펴볼 것으로 보인다. 이 사안은 일반인이 우발적으로 정보를 주고받은 사건과 성격이 다르다. 병원 원무과 직원은 진료기록 발급 절차를 다루는 업무 담당자다. 보험사 손해사정인은 보험 심사와 손해 산정 과정에서 의료서류의 법적 요건을 숙지해야 하는 직무 수행자다.
의료법은 의료인, 의료기관의 장, 의료기관 종사자가 환자가 아닌 사람에게 환자 기록을 열람하게 하거나 사본을 내주는 행위를 원칙적으로 금지한다. 예외적으로 환자가 지정한 대리인이 기록을 받으려면 환자 본인의 동의서와 대리권을 증명하는 서류 등 보건복지부령이 정한 요건을 갖춰야 한다. 대한병원협회가 안내한 보건복지부 지침도 대리인이 진료기록을 요청할 때 신청자 신분증, 환자 자필 동의서, 위임장, 환자 신분증 사본 등을 제출해야 한다고 설명한다. 이 절차를 어기면 시정명령 대상이 되고, 시정명령을 이행하지 않으면 의료업 정지나 개설 허가 취소·폐쇄 명령까지 이어질 수 있다.
개인정보보호법상 책임도 가볍지 않다. 개인정보보호법은 정보주체 동의 없이 개인정보를 제3자에게 제공한 자뿐 아니라 그 사정을 알면서 개인정보를 제공받은 자도 처벌 대상으로 규정한다. 민감정보를 부적법하게 처리한 경우에도 형사처벌 규정이 적용된다. 현행 개인정보보호법 제71조는 해당 위반 행위에 대해 5년 이하의 징역 또는 5000만 원 이하의 벌금을 규정하고 있다.
병원 측은 착오에 따른 과실이라는 취지로 해명한 것으로 알려졌다. 그러나 원무과 직원은 가족이나 대리인의 서류 발급 때 신분증, 가족관계증명서, 동의서, 위임장 등을 확인해야 하는 위치에 있다. 손해사정인도 보험 업무 과정에서 의료기록 확보 절차를 반복적으로 다루는 전문가다. 두 직무 모두 의료기록의 민감성과 발급 요건을 모를 수 없는 영역이다. 이런 점에서 이번 유출은 단순 행정 착오라는 설명만으로 덮기 어려운 사안이다.
취재 결과, 병원 측은 의료기록을 받아 간 손해사정인의 인적사항도 정확히 파악하지 못했던 것으로 전해졌다. 사실이라면 문제는 의료기록 제공 자체에 그치지 않는다. 외부인이 어떤 자격으로 병원을 방문했는지, 어떤 자료를 요구했는지, 병원이 무엇을 확인하고 내줬는지에 대한 기본 통제도 작동하지 않았다는 뜻이다.
법원도 의료기록 관리 의무 위반을 엄격하게 판단하고 있다. 부산지방법원은 2019년 9월 24일 의료법 위반 사건에서 환자 의료기록을 개인 USB 등 정보저장장치로 옮겨 보관한 행위에 대해 벌금 500만 원을 선고한 바 있다. 이 사례는 의료기록이 외부에 대량 유포되지 않았더라도 의료기관 종사자의 기록 관리 의무 위반이 형사책임으로 이어질 수 있음을 보여준다.
공주보건소는 이번 사건을 계기로 관내 의료기관이 개인정보와 의료기록을 철저히 관리하도록 지도·감독하겠다는 입장이다.
최근 개인정보 유출 사고가 잇따라 언론에 보도되면서 사회 전반의 정보보호 경각심은 커지고 있다. 그러나 이번 사건은 의료기관 현장에서 가장 민감한 개인정보인 의료기록 관리가 여전히 느슨하게 다뤄질 수 있음을 보여준다. 환자 동의서와 위임장, 대리권 확인은 형식적 절차가 아니다. 환자의 사생활과 인격권을 지키는 최소한의 안전장치다.
의료기록은 일반 개인정보보다 침해 위험이 크다. 한 번 외부로 나간 진료정보는 회수하기 어렵고, 보험·고용·가족관계 등 개인의 삶 전반에 영향을 줄 수 있다. 특히 병원 원무과 직원과 손해사정인처럼 관련 법과 절차를 숙지해야 하는 업무 종사자가 관여한 사안이라면 책임은 더 무겁다. 이번 사건은 의료기관과 보험업계가 민감정보 보호를 관행이 아니라 법적 의무로 다시 인식해야 한다는 경고다.
보건당국의 행정절차와 경찰 수사는 유출 경위 확인을 넘어 의료기록 관리 체계 전반을 점검하는 계기가 돼야 한다. 개인정보 유출 사고가 반복되는 현실에서 필요한 것은 사후 해명보다 사전 통제다. 의료기관이 환자 정보를 다루는 방식을 근본적으로 바꾸지 않는 한 같은 유형의 사고는 언제든 되풀이될 수 있다.