공공기관 만족도 조사에 전체 환자 명단 USB로 넘기라는 정부

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

기획재정부가 시행하는 공공기관 고객만족도 조사를 위해 국립대병원 환자 명단 전수를 엑셀파일 형태로 이동식저장장치(USB)에 담아 제출하라는 요구가 있어 논란이다. 병원은 환자 정보가 병원 외부로 유출되는 것은 문제라는 입장이다.

8일 정부와 의료계에 따르면 기획재정부는 2020년 공공기관 고객만족도 조사를 위해 각 공공기관에 고객 명단을 제출할 것을 요청했다. 고객수가 10만명 이하 기관은 전체 고객 명단, 10만명 이상 기관에 대해서는 샘플링 방식이 적용된다.

공공기관 고객만족도 조사는 정부가 공공기관의 서비스 품질 개선 등을 위해 매년 시행하는 것으로, 결과는 공기업 경영평가에 반영된다. 올해는 전체 340개 공공기관 가운데 322개 기관을 대상으로 실시한다. 14개 국립대병원 및 치과병원은 기타공공기관에 해당한다.

병원이 제출하는 정보는 환자의 이름, 성별, 전화번호, 주소 등이다. 애초 동 단위 주소와 진료과 등도 포함됐지만 병원의 반발이 있자 주소는 지역 단위까지로 제한하고 진료과 등 민감한 정보는 제외하기로 했다. 각 병원은 환자 정보를 엑셀 파일 형태로 USB에 저장해서 전달한 것으로 전해졌다. 환자 정보에 대한 비식별화 조치는 이뤄지지 않았으며, 파일을 실행할 때 간단한 암호를 입력하도록 한 것이 보안 조치의 전부다.

기재부 관계자는 “환자를 고객으로 정의했을 때 이름, 성별, 전화번호 정도는 조사업체에 제공해야 이들이 공공 서비스 이용 과정에서 어떠한 응대를 받았는지 확인할 수 있다”면서 “조사 결과 조작을 방지하기 위해 고객 진위가 분명해야 하기 때문에 암호화 등 조치를 취하기 어려운 배경이 있다”고 설명했다.

개인정보보호법은 정보 주체의 동의 없이 개인정보를 제3자에게 제공하는 것을 제한하고 있다. 이번 사례는 18조 2항에 명시된 '다른 법률에 특별한 규정이 있는 경우' 제공할 수 있다는 예외 규정에 따라 이뤄졌다. 공공기관의 운영에 관한 법률 13조는 기재부 장관이 공공기관으로 하여금 연 1회 이상 고객만족도 조사를 실시하게 하고, 고객만족도 조사의 절차·범위 등 필요한 사항은 대통령령으로 정하도록 했다.

의료계에서는 의료법에 명시된 환자 기록 제공 제한 규정과 충돌 여지가 있다고 지적했다. 의료법은 의료인, 의료기관 종사자가 형사소송이나 역학조사 등 17개 예외 사항을 제외하고 환자가 아닌 다른 사람에게 환자에 관한 기록을 제공하는 것을 금지한다.

한 국립대병원 관계자는 “개인이 특정 시기에 특정 병원에서 진료를 받았다는 것 자체만으로도 민감한 정보가 될 수 있다”면서 “환자 개인정보에 관해서는 연구 목적으로 사용되는 경우에도 매우 엄격한 규정과 익명화 절차가 적용되는데 고객만족도 조사를 위해 몇 만명의 환자 명단이 아무런 보안 조치 없이 제공되는 것은 문제”라고 지적했다.

이 관계자는 “병원은 용역을 맡은 리서치 기관 등에서 환자 정보를 어떻게 관리하고 폐기하는지 모른다”면서 “의료기관 데이터는 고객이 아니라 '환자' 정보로, 다른 기준이 적용돼야 한다”고 덧붙였다.

정현정기자 iam@etnews.com, 오다인기자 ohdain@etnews.com, 유재희기자 ryuj@etnews.com