2022년 12월호

[단독] 비대면 의료 플랫폼, 500만 이용자 의료 정보 위법 이용해

  • reporterImage

    박세준 기자

    sejoonkr@donga.com

    입력2022-11-15 10:00:02

  • 글자크기 설정 닫기
    • 이용자 진료 데이터 이용 상품 개발·광고

    • 보건복지부, 개인정보위 “법 위반 소지 있어”

    • 의료기록은 일반 개인정보와는 취급 달라야

    • 비대면 의료 플랫폼 全數조사 필요 의견도

    [Gettyimage]

    [Gettyimage]

    코로나19 대유행으로 인해 비대면 의료 플랫폼이 한시적으로 허용되며 활성화되자 일부 비대면 의료 플랫폼이 이용자의 개인 의료 정보를 이용해 상품 개발 및 맞춤형 광고에 나서며 의료 정보 오용 논란이 불거졌다. 의료법 21조에 따르면 개인 의료 정보는 본인을 제외한 직계가족, 국가기관 및 의료인만 제한적으로 수집할 수 있다. 비대면 의료 플랫폼이 개인의 의료 정보를 모아 상업적으로 이용하면 법적으로 문제가 될 수 있다. 하지만 일부 비대면 의료 플랫폼이 이용자의 진료 정보를 모아 마케팅·광고 등에 사용한 사실이 드러났다.

    진료 데이터로 마케팅, 위법 소지 있어

    비대면 진료 기록 위법 사용 의혹을 받고 있는 A업체의 ‘개인 민감정보의 수집 이용 및 목적’. 개인정보보호법상 진료 기록 등의 민감정보는 광고 및 마케팅 수단으로 사용할 수 없다. [윤주경 의원실]

    비대면 진료 기록 위법 사용 의혹을 받고 있는 A업체의 ‘개인 민감정보의 수집 이용 및 목적’. 개인정보보호법상 진료 기록 등의 민감정보는 광고 및 마케팅 수단으로 사용할 수 없다. [윤주경 의원실]

    위법 소지가 있는 것으로 알려진 업체는 이용자 500만 명이 넘는 비대면 의료 플랫폼 A. 이곳은 지난해 8월 비대면 진료 앱을 내놓았다. 이 업체는 서비스를 시작하며 수집하는 비대면 진료 데이터를 분석해 건강관리 상품을 내놓겠다고 밝혔다. 이후 비대면 진료를 통해 모은 데이터를 바탕으로 올해 7월 건강관리 제품을 판매하는 쇼핑몰을 시작했다. 해당 업체 대표는 각종 언론 인터뷰에서 “비대면 진료 데이터를 통해 다양한 상품을 개발, 최종적으로는 개인 맞춤형 건강 연계 서비스에 나설 계획”이라고 밝혔다.

    이 업체는 이용자의 진료 데이터를 광고에도 사용할 것으로 보인다. 업체의 ‘개인 민감정보 수집 및 이용 목적’에 보면 진료 데이터 등 맞춤 정보를 △맞춤형 회원 서비스 △마케팅 및 광고 △회원관리 △서비스 요금 정산 △통계 작성 등에 사용한다고 밝히고 있다.

    일각에서는 개인정보, 그것도 민감정보인 의료 정보를 이용해 새로운 서비스를 내놓아도 되느냐는 지적이 나온다. 의료법상 환자가 지정하는 대리인도 의료 정보를 받을 수는 있으나 친족관계나 의료인이 아니라면 대리인이 될 수 없다. 이 조항에 따르면 비대면 의료 플랫폼은 운영이 불가능했지만 코로나19의 유행으로 2020년 12월 정부는 한시적으로 비대면 진료를 허용했다.

    국회 정무위원회 소속 윤주경 의원실은 8월 보건복지부에 A업체의 진료 데이터 이용이 적법한지 질의했다. 보건복지부의 당시 답변을 살펴보면 “비대면 의료 플랫폼은 진료 목적 이외에는 의료 정보를 사용할 수 없다”며 “환자 동의 없는 진료기록 열람을 통한 광고 및 상품 개발은 의료법 위반 사항에 해당할 수 있다”는 내용이 있다. A업체의 진료 데이터 사용이 법 위반 소지가 있다는 이야기다.



    진료 데이터 수집 동의도 적법하지 않아

    물론 예외 조항이 있다. 비대면 진료 서비스 이용자의 동의를 받으면 된다. 지난해 1월 개인정보보호위원회와 보건복지부가 발표한 ‘보건의료 데이터 가이드라인’에 따르면 진료 데이터 등의 의료 정보는 개인정보보호법 상 ‘민감정보’에 해당한다. 즉, 민감정보와 같은 방식으로 취급한다면 의료 정보도 사용이 가능하다.

    민감정보를 이용하려면 이용자의 동의를 받아야 한다. 이 동의에도 종류가 있다. 홈페이지나 앱을 통해 서비스 이용자로 가입할 때, 개인정보 공개 ‘필수 동의’ 항목과 ‘선택 동의’ 항목이 있다. 필수 동의는 말 그대로 서비스를 이용하려면 반드시 동의해야 하는 항목이다. 선택 동의는 서비스 이용과는 무관하다. 이용자가 해당 개인정보 노출을 원치 않는다면 이를 가려도 서비스 이용에는 문제가 없다.

    민감정보는 이 선택 동의를 통해 수집해야만 한다. 개인정보보호법 39조의 15에 따르면 개인정보보호위는 이용자의 동의를 받지 않고 민감정보를 수집한 기업에 매출의 3% 이하를 과징금으로 부과할 수 있다.

    A업체는 민감정보인 진료 데이터를 ‘필수 동의’ 항목에 넣어 수집했다. 서비스를 이용하려면 진료 기록을 내줄 수밖에 없는 구조다. 개인정보보호위는 이 사항도 법 위반에 해당할 수 있다고 봤다.

    동법 39조의 3에는 이용자가 민감정보를 제공하지 않는다고 해서 서비스 제공을 막아서는 안 된다는 조항이 있다. 개인정보보호위 관계자는 “선택적 동의 사항을 필수 동의 사항에 포함해 본연의 목적 외로 이용했다고 해서 반드시 처벌할 수는 없다”며 “구체적 사실관계 확인이 필요하다”고 말했다.

    ‘신동아’는 A업체에 수차례 전화를 걸어 진료 데이터 수집 및 이용 방식의 문제점에 대해 질의하려 했으나 전화를 받지 않았다.

    새 가이드라인도 ‘의료 정보 보호’ 명시

    윤주경 국민의힘 의원은 “비대면 진료 중개 플랫폼이 진료 데이터를 제대로 관리하고 있는지 전수조사가 필요하다”고 말했다. [윤주경 의원실]

    윤주경 국민의힘 의원은 “비대면 진료 중개 플랫폼이 진료 데이터를 제대로 관리하고 있는지 전수조사가 필요하다”고 말했다. [윤주경 의원실]

    비대면 진료 업계에서는 이 같은 사례가 “일부 업체의 일탈일 뿐”이라고 지적했다. 업계 관계자는 “대부분의 비대면 진료 플랫폼의 최종 목표가 의료 정보 활용이긴 하나 법을 지켜서 영업을 해야 한다”며 “한시적 허용임에도 관련법을 어기게 되면 규제 완화가 어려울뿐더러, 서비스 이용자의 신뢰도 잃을 수 있다”고 말했다.

    보건복지부는 이 같은 문제를 막기 위해 8월 ‘한시적 비대면 진료 중개 플랫폼 가이드라인’을 발표했다. 이 가이드라인에는 환자의 의료 정보를 관련 법령(개인정보보호법, 의료법, 약사법)에 따라 보호해야 한다는 내용도 있다. 보건복지부 관계자는 “가이드라인 시행 초기인 점을 고려해 (각 업체에) 가이드라인 준수를 지속 촉구하고 있다”며 “이후에도 위법 소지가 있는 서비스를 지속하는 업체에 대해서는 경찰 조사 등 필요한 조치를 취하겠다”고 밝혔다.

    가이드라인 준수 촉구 및 관련 조치만으로는 부족하다는 지적도 있다. 윤주경 의원은 “코로나19로 인해 급격하게 비대면 진료 중개 및 약 배달 플랫폼이 성장하고 있는 가운데 해당 서비스를 이용하는 국민의 개인 민감정보가 안전하게 지켜지고 있는지 우려되는 상황”이라며 “개인정보위와 보건복지부 등 관계기관이 개인 진료 데이터 등의 정보를 어떻게 처리하고 있는지 전수 조사해 잘못된 부분이 있다면 바로잡아야 한다”고 지적했다.



    박세준 기자

    박세준 기자

    1989년 서울 출생. 2016년부터 동아일보 출판국에 입사. 4년 간 주간동아팀에서 세대 갈등, 젠더 갈등, 노동, 환경, IT, 스타트업, 블록체인 등 다양한 분야를 취재했습니다. 2020년 7월부터는 신동아팀 기자로 일하고 있습니다. 90년대 생은 아니지만, 그들에 가장 가까운 80년대 생으로 청년 문제에 깊은 관심을 갖고 있습니다.

    KAI “성능 문제없고, 폴란드 측 승인 기다리는 중”

    “어머니 사랑 안에서 지구촌의 화합과 평화 구현할 것”

    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사