의료 정보 보호

의료 정보는 개인의 신체적·정신적 건강 상태를 포함하는 민감한 정보로, 유출 시 정보 주체에게 심각한 피해를 줄 수 있다. 따라서 보건의료분야에서는 일반적인 개인정보보다 엄격한 보호 기준이 적용된다. 의료기관은 진료 목적 외에 정보를 무단으로 사용하거나 제3자에게 제공해서는 안 되며, 기술적·관리적 보안 대책을 수립해야 한다. 또한 환자의 자기정보통제권을 보장하기 위해 열람·정정·삭제 요구 등 정보 주체의 권리를 존중해야 한다.

대한민국에서 의료 정보 보호는 주로 「개인정보 보호법」과 「의료법」에 근거한다. 「의료법」 제19조는 의료인이나 의료기관 종사자가 업무상 알게 된 환자의 비밀을 누설하는 것을 금지하며, 위반 시 처벌 규정을 둔다. 「개인정보 보호법」은 건강에 관한 정보를 '민감정보'로 분류하여 별도의 동의를 받거나 법령에 근거가 있는 경우에만 처리할 수 있도록 규정한다. 또한 「생명윤리 및 안전에 관한 법률」 등 관련 법령도 일부 적용된다.

개인정보보호위원회와 보건복지부는 보건의료데이터의 안전한 활용을 위해 2024년 12월에 개정된 「보건의료데이터 활용 가이드라인」을 제시하였다. 주요 내용은 다음과 같다.

• 가명정보 처리: 개인을 식별할 수 없도록 조치한 가명정보는 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위해 정보 주체의 동의 없이 활용할 수 있다.
• 안전성 확보: 가명정보 처리 시 식별 가능성을 방지하기 위한 기술적 보호 조치를 취해야 하며, 재식별 시도를 금지한다.
• 거버넌스 및 윤리: 처리 과정 전반에 걸쳐 절차적 거버넌스와 윤리적 사항을 정하여 정보 주체의 권익을 보호한다.

이 가이드라인은 보건의료데이터의 분야·유형·목적별 세부 방법과 절차를 제시하여 가명정보 처리에 대한 이해를 돕는다.

건강정보고속도로(My Healthway)는 여러 의료기관에 흩어져 있는 개인의 진료 기록을 본인이 직접 조회하거나 원하는 기관에 전송할 수 있도록 지원하는 의료 마이데이터 플랫폼이다. 이 시스템은 정보 주체의 자기결정권을 강화하며, 데이터 전송 과정에서 보안을 유지하기 위해 관련 법률에 따라 엄격히 관리된다. 환자는 자신의 진료 정보를 한곳에서 통합적으로 확인할 수 있고, 필요 시 다른 의료기관으로 전송하여 진료 연속성을 높일 수 있다.

보건복지부는 「전자의무기록의 관리·보존에 필요한 시설과 장비에 관한 기준」을 제정하여 전자의무기록(EMR)의 안전한 보관과 관리를 위한 최소 요건을 규정한다. 이 기준에는 전자의무기록의 백업, 재해 복구, 접근 통제, 암호화 등 기술적 조치와 함께 기록의 무결성 및 가용성을 유지하기 위한 관리적 조치가 포함된다. 의료기관은 이 기준을 준수하여 전자의무기록을 안전하게 보존해야 한다.

의료기관 개인정보보호 가이드라인은 의료기관이 개인정보 보호 법령을 준수하고 환자 정보를 안전하게 관리하기 위한 실무 지침을 제공한다. 주요 내용으로는 개인정보 처리 방침 수립, 개인정보 보호책임자 지정, 내부 관리 계획 수립, 접근 권한 관리, 암호화 및 로그 관리 등이 있다. 또한 환자 동의 절차, 정보 제공 시 주의사항, 유출 대응 절차 등도 포함된다.

보건의료기관은 개인정보 처리 방침을 공개하고, 개인정보 보호책임자를 지정해야 할 의무가 있다. 만약 의료 정보가 유출되거나 권리가 침해된 경우, 정보 주체는 다음과 같은 구제 절차를 밟을 수 있다.

1. 개인정보 침해 신고: 개인정보보호위원회나 한국인터넷진흥원(KISA)을 통해 신고할 수 있다.
2. 분쟁 조정: 개인정보 분쟁조정위원회를 통해 피해 구제를 신청할 수 있다.
3. 법적 대응: 위반 행위에 대해 손해배상을 청구하거나 형사 고발을 진행할 수 있다.

또한 의료기관은 정보 유출 시 지체 없이 정보 주체에게 통지하고, 피해 확산 방지를 위한 조치를 취해야 한다.