개인정보 보호를 위한 법률이 시행되면서 병원들은 혼란에 빠졌다. 의료기관이 환자정보를 어떻게 보호할지에 대한 개념 자체가 생소하기 때문이다. 포털사이트와 일반기업체 등과 다른 특성을 갖는 의료기관의 환자정보 수집 관행이 고민거리로 떠올랐다.

의료기관의 경우 이미 의료법에서 환자의 비밀누설 금지에 의해서 환자정보를 보호해야 하므로 개인정보 보호에 익숙해져 있다. 도리어 연말정산간소화 등의 이유로 환자가 우리 병원에 내원했다는 사실을 국세청에 통보해야 한다.

진료내용이 나오지 않으므로 관계없다는 국세청의 설명보다는 그것도 환자가 어느 전문과목의 병원을 방문해서 진료를 했는지 여부의 측면에서 본다면 하나의 정보에 해당될 수 있다.

의무기록이라는 것은 진단, 치료, 치료결과에 대한 기록문서라고 할 수 있다. 임상적으로 환자치료에 활용하거나 의료인 사이에 소통도구로 이용하는 것이 중요한 역할이다. 그러나 질환에 대한 통계자료나 의료비의 산출에서도 근거자료로 볼 수 있다.

행정상으로는 출생이나 사망시각의 확정 등에서도 증명자료로 사용되며, 민형사상에서도 진료기록은 증거자료로 사용된다. 환자가 보험금을 포함하여 각종 수당의 청구자료로 사용되며 진료 후에 진료계약이행의 여부를 판단할 수 있는 자료로 사용된다.

이런 복잡한 역할을 하는 의무기록의 경우 병원에서는 각 환자의 구분을 잘 해야 추후 문제가 발생하지 않는다. 개인정보법 시행 초기에 행안부 관계자가 주민등록번호가 접수시 필요한지 궁금해했다는 후문이 있다. 의료법시행규칙에 명기된 주소, 성명, 주민등록번호, 병력 및 가족력, 주된 증상, 진단 결과 등을 의무기록에 남기는 것도 담당자의 생각에는 개인정보라고 생각되는 부분이 너무 많아 최소로 수집되어야 한다고 생각한 모양이다.

의료법 시행규칙에 있는 사항은 상위법의 개념으로 별도의 동의 없이 수집이 가능하다고 결정되었다. 그에 해당하지 않는 전화번호와 이메일의 경우는 처음에는 안 된다는 것이 진료목적이라는 명분으로 추후 동의 없이 수집 가능한 것으로 근거를 마련했다.

개인정보를 보호하는 이유는 환자의 정보이기 때문이다. 제일 좋은 방법은 무식하지만 병원에서 정보를 하나도 갖고 있지 않으면 된다. 그러나 도리어 환자의 정보를 가지지 않아서 진료상이나 환자에게 위해가 발생한다면 개인정보 수집의 득실을 따져보아야 할 것이다.

이전 기록이 없어서 환자의 경과를 판단할 수 없다면, 동명이인이라서 이름만으로 기록을 가지고 있어도 누가 누군지 구분이 불가능하다면, 그게 환자의 개인정보보호 보다 더 얻는 것이 많아질지는 의문이다.

우리는 진료상 병력이라고 환자의 히스토리를 채득한다. 이것은 정보가 아니라 하나의 역사인 셈이다. 최근 행안부의 유권해석에서 의료법에서 정한 의무기록보관 연한인 10년이 넘어가면 개인정보이므로 의무기록을 파기하도록 하였다.

최종내원일 10년 후에 환자가 내원했어도 이전의 기록이 있다면 당시 진료 시에 있던 사항과 특정약물에 대한 특이반응, 심지어 예전질환이 10년 만에 재발한다면 그에 대한 비교가 가능할 것이다. 법 취지는 환자의 진료에 도움이 되라고 최소 10년을 보관하라는 의미이지 10년이 넘은 의무기록을 파기하라는 것은 아니다. 의무기록을 10년이나 넘게 보관하다가는 정보유출이 생긴다는 생각이라면 현재 보관하고 있는 10년 이하의 의무기록은 유출이 생기지 않는 것인지 이해가 되지 않는다. 

기본적으로 개인정보보호법으로 혹시라도 의료기관에서 간과하고 있었던 부분은 이번 기회에 환자를 위한 기회로 삼아야 한다. 그러나 환자의 진료에서 환자에게 불리한 규정이 강제적으로 병원에 강요되는 것은 현실을 무시한 것이며, 법 개정을 통해서라도 환자진료를 하는데 도움이 되는 방향으로 가야 한다.