환자 진료 정보의 공유

A 의원 네트워크 서울 oo점을 운영 중인 김원장은 최근 환자로부터 강력한 항의를 받았는데, 그 내용이 아주 생소했다. 자초지종을 들어보니, 그 환자는 김원장으로부터 시술을 받은 후에 이사를 가게 되었는데, 부산의 똑같은 A의원에서 상담을 받던 중 자신의 정보가 부산에도 있다는 사실을 알게 된 것이었다. 환자는 왜 자신의 허락도 없이 나의 민감 정보를 부산에 있는 병원으로 제공했냐면서 법적 조치를 운운했다. 갑자기 이런 항의를 받게 되자 어떻게 설명해야 할지 아주 난감했고, 직원들도 왜 어떤 경위로 차트가 공유되고 있는 것인지 알지 못했다.

병원간의 진료 정보 제공

개인정보보호법 제23조에 따르면 개인의 건강에 관한 정보는 “민감정보”에 해당하므로 일반 개인정보 관련 동의와 별도의 동의를 받아야 하고, 일반적인 개인정보보다 안전성 확보에 필요한 조치를 더 강화해야 한다. 따라서 아무리 병원이라고 하더라도 본인의 명시적인 동의 없이 건강에 관한 민감정보를 제3자에게 함부로 제공해서는 안되는 것이 원칙이다.

다만 의료기관의 진료기록에 관해서는 의료법에 특별한 규정이 있다. 의료법 제21조의2 제1항 본문은 “의료인 또는 의료기관의 장은 다른 의료인 또는 의료기관의 장으로부터 제22조 또는 제23조에 따른 진료기록의 내용 확인이나 진료기록의 사본 및 환자의 진료경과에 대한 소견 등을 송부 또는 전송할 것을 요청받은 경우 해당 환자나 환자 보호자의 동의를 받아 그 요청에 응하여야 한다.”라고 하여 환자 치료에 필요한 진료정보를 의료기관 간에 공유할 수 있도록 규정하고 있다.

그리고 보건복지부는 병원간 협진과 관련하여, “같은 의료원으로 묶여 있는 각 병원에서 환자로부터 개인정보이용동의서를 받을 때, 의료원 내의 각 병원 의료진이 진료상 필요할 때 다른 병원에 보관되어 있는 환자 진료기록을 열람하는데 동의한다는 내용을 기재하여 동의를 받으면 적법하게 전자의무기록을 열람할 있을 것으로 판단됩니다.

각 병원에서 진료기록을 열람하려고 하는 사람이 환자를 진료하는 의사라는 점을 확인하고 전자의무기록을 열람하도록 허용하는 시스템을 구축하면 될 것입니다.” 라고 의견을 표명한 사실이 있는데, 이런 방식은 네트워크 병원에도 동일하게 적용될 수 있다. 이런 보건복지부의 유권해석에 따라, 협진 시스템을 구축한 네트워크 의료기관들은 환자의 최초 진료시 동의서를 받아놓는 방식으로 대응하고 있다.

따라서 위 사례의 김원장의 경우에도, A의원 네트워크가 구축해 놓은 시스템에 따라 환자의 동의를 구비하고 있을 가능성이 높으므로, 해당 동의서를 찾아서 환자에게 제시함으로써 항의에 대응할 수 있을 것이다.

** 물론 이런 사전 동의 절차를 구비하지 않은 상태에서 구먹구구식으로 협진 시스템을 운영하고 있는 의료기관들이 있다면 지금이라도 빠르게 개선할 것을 권고한다.

보건복지부 진료정보 교류 시스템

한편, 보건복지부는 환자의 편의를 위해 의료법 제21조의2(진료기록의 송부 등)에 근거하여 환자 동의 하에 의료기관 간 진료정보를 전자적으로 공유할 수 있도록 지원하는 진료정보교류 시스템을 운영하고 있다. 진료정보교류 시스템상에서 정보가 공유되기 위해서는 양 의료기관이 이 사업에 참여하고 있어야 한다.

의료기관의 입장에서는 EMR 시스템 내에서 환자의 동의를 받거나, 환자에게 링크를 보내 마이차트 내에서 동의를 받으면 되므로 보다 간편한 방법으로 진료정보를 교류할 수 있으며, 환자와의 관계에 있어서도 잡음이 적은 방법이라 할 수 있겠다.

홍보업체 또는 MSO 등과의 정보 공유

최근에는 단순히 의료기관 간의 협진이나 진료의뢰 등을 위해서 진료정보를 공유하는 것이 아니라, 마케팅 등의 목적으로 환자 정보를 활용하는 사례가 있는데, 이는 아주 깊은 주의를 요한다.

일단 민감정보를 제외한 이름, 연락처, 상담 요청 사항 등은 애초에 개인정보 수집 단계어서부터 마케팅 이용 목적 및 제3자 제공 동의 등을 받아놓으면 DB마케팅, 전화나 문자 마케팅을 진행함에 있어서 어느 정도 법적인 안전장치는 마련할 수 있겠으나, 실제로는 정보를 제공 받는 제3자가 누군인지 명확하게 특정되지 않는 경우가 많다.

예를 들어서, B라는 광고회사가 무작위로 수집한 개인정보를 여러 의료기관에 판매하는 것은 제3자 제공의 상대방이 특정되어 있지 않으므로 개인정보 침해행위가 될 수 있다.

의료기관이 수집한 개인정보를 활용하기 위해 제3자에게 제공할 때에도 유사한 절차가 필요하지만, 그 이용 목적이나 방식에 따라 “개인정보 위탁 계약” 이라는 절차를 통해 간단히 해결되는 경우도 있다. 이와 관련하여서는 개인정보보호 가이드라인(의료기관편)에 자세히 나와 있으니 개인정보보호위원회의 홈페이지에서 관련 자료를 찾아볼 것을 권고한다.

맺음말

당 법률사무소와 자문계약을 맺고 있는 병·의원들의 질문 사례들을 분석해 보면, 몇 년 전부터 개인정보보호와 관련된 이슈의 비중이 점차 늘어나고 있다.

개인정보와 관련된 법규와 가이드라인을 살펴보면, 대부분이 “동의”로 귀결되고 있음을 확인할 수 있으므로, 결국 동의서를 얼마나 잘 구비하느냐가 관건인데, 동의의 방식이나 내용, 사소한 문구 하나에 따라 합법과 불법이 결정되기도 한다. 따라서 의료기관 운영자들은 한 번 정도는 개인정보보호 가이드라인을 읽어보고, 우리 병원에 부족한 부분은 없는지 체크해 볼 필요가 있겠다.