이용자 진료 데이터 이용 상품 개발·광고
보건복지부, 개인정보위 “법 위반 소지 있어”
의료기록은 일반 개인정보와는 취급 달라야
비대면 의료 플랫폼 全數조사 필요 의견도
[Gettyimage]
진료 데이터로 마케팅, 위법 소지 있어
비대면 진료 기록 위법 사용 의혹을 받고 있는 A업체의 ‘개인 민감정보의 수집 이용 및 목적’. 개인정보보호법상 진료 기록 등의 민감정보는 광고 및 마케팅 수단으로 사용할 수 없다. [윤주경 의원실]
이 업체는 이용자의 진료 데이터를 광고에도 사용할 것으로 보인다. 업체의 ‘개인 민감정보 수집 및 이용 목적’에 보면 진료 데이터 등 맞춤 정보를 △맞춤형 회원 서비스 △마케팅 및 광고 △회원관리 △서비스 요금 정산 △통계 작성 등에 사용한다고 밝히고 있다.
일각에서는 개인정보, 그것도 민감정보인 의료 정보를 이용해 새로운 서비스를 내놓아도 되느냐는 지적이 나온다. 의료법상 환자가 지정하는 대리인도 의료 정보를 받을 수는 있으나 친족관계나 의료인이 아니라면 대리인이 될 수 없다. 이 조항에 따르면 비대면 의료 플랫폼은 운영이 불가능했지만 코로나19의 유행으로 2020년 12월 정부는 한시적으로 비대면 진료를 허용했다.
국회 정무위원회 소속 윤주경 의원실은 8월 보건복지부에 A업체의 진료 데이터 이용이 적법한지 질의했다. 보건복지부의 당시 답변을 살펴보면 “비대면 의료 플랫폼은 진료 목적 이외에는 의료 정보를 사용할 수 없다”며 “환자 동의 없는 진료기록 열람을 통한 광고 및 상품 개발은 의료법 위반 사항에 해당할 수 있다”는 내용이 있다. A업체의 진료 데이터 사용이 법 위반 소지가 있다는 이야기다.
진료 데이터 수집 동의도 적법하지 않아
물론 예외 조항이 있다. 비대면 진료 서비스 이용자의 동의를 받으면 된다. 지난해 1월 개인정보보호위원회와 보건복지부가 발표한 ‘보건의료 데이터 가이드라인’에 따르면 진료 데이터 등의 의료 정보는 개인정보보호법 상 ‘민감정보’에 해당한다. 즉, 민감정보와 같은 방식으로 취급한다면 의료 정보도 사용이 가능하다.민감정보를 이용하려면 이용자의 동의를 받아야 한다. 이 동의에도 종류가 있다. 홈페이지나 앱을 통해 서비스 이용자로 가입할 때, 개인정보 공개 ‘필수 동의’ 항목과 ‘선택 동의’ 항목이 있다. 필수 동의는 말 그대로 서비스를 이용하려면 반드시 동의해야 하는 항목이다. 선택 동의는 서비스 이용과는 무관하다. 이용자가 해당 개인정보 노출을 원치 않는다면 이를 가려도 서비스 이용에는 문제가 없다.
민감정보는 이 선택 동의를 통해 수집해야만 한다. 개인정보보호법 39조의 15에 따르면 개인정보보호위는 이용자의 동의를 받지 않고 민감정보를 수집한 기업에 매출의 3% 이하를 과징금으로 부과할 수 있다.
A업체는 민감정보인 진료 데이터를 ‘필수 동의’ 항목에 넣어 수집했다. 서비스를 이용하려면 진료 기록을 내줄 수밖에 없는 구조다. 개인정보보호위는 이 사항도 법 위반에 해당할 수 있다고 봤다.
동법 39조의 3에는 이용자가 민감정보를 제공하지 않는다고 해서 서비스 제공을 막아서는 안 된다는 조항이 있다. 개인정보보호위 관계자는 “선택적 동의 사항을 필수 동의 사항에 포함해 본연의 목적 외로 이용했다고 해서 반드시 처벌할 수는 없다”며 “구체적 사실관계 확인이 필요하다”고 말했다.
‘신동아’는 A업체에 수차례 전화를 걸어 진료 데이터 수집 및 이용 방식의 문제점에 대해 질의하려 했으나 전화를 받지 않았다.
새 가이드라인도 ‘의료 정보 보호’ 명시
윤주경 국민의힘 의원은 “비대면 진료 중개 플랫폼이 진료 데이터를 제대로 관리하고 있는지 전수조사가 필요하다”고 말했다. [윤주경 의원실]
보건복지부는 이 같은 문제를 막기 위해 8월 ‘한시적 비대면 진료 중개 플랫폼 가이드라인’을 발표했다. 이 가이드라인에는 환자의 의료 정보를 관련 법령(개인정보보호법, 의료법, 약사법)에 따라 보호해야 한다는 내용도 있다. 보건복지부 관계자는 “가이드라인 시행 초기인 점을 고려해 (각 업체에) 가이드라인 준수를 지속 촉구하고 있다”며 “이후에도 위법 소지가 있는 서비스를 지속하는 업체에 대해서는 경찰 조사 등 필요한 조치를 취하겠다”고 밝혔다.
가이드라인 준수 촉구 및 관련 조치만으로는 부족하다는 지적도 있다. 윤주경 의원은 “코로나19로 인해 급격하게 비대면 진료 중개 및 약 배달 플랫폼이 성장하고 있는 가운데 해당 서비스를 이용하는 국민의 개인 민감정보가 안전하게 지켜지고 있는지 우려되는 상황”이라며 “개인정보위와 보건복지부 등 관계기관이 개인 진료 데이터 등의 정보를 어떻게 처리하고 있는지 전수 조사해 잘못된 부분이 있다면 바로잡아야 한다”고 지적했다.
박세준 기자
sejoonkr@donga.com
1989년 서울 출생. 2016년부터 동아일보 출판국에 입사. 4년 간 주간동아팀에서 세대 갈등, 젠더 갈등, 노동, 환경, IT, 스타트업, 블록체인 등 다양한 분야를 취재했습니다. 2020년 7월부터는 신동아팀 기자로 일하고 있습니다. 90년대 생은 아니지만, 그들에 가장 가까운 80년대 생으로 청년 문제에 깊은 관심을 갖고 있습니다.
KAI “성능 문제없고, 폴란드 측 승인 기다리는 중”
“어머니 사랑 안에서 지구촌의 화합과 평화 구현할 것”