환자 영상 유출사건이 서울 강남의 한 병원에서 발생했다. 병원 인터넷 프로토콜(IP) 카메라로 녹화된 진찰실, 대기실 등의 환자 개인 식별 영상이 빠져나간 것이다.

의료법에 따라 병원에서 환자 영상을 촬영할 수 있다고 생각하는 사람들이 많은데 오해다. 이 사건은 촬영 대상과 촬영 방법이 잘못됐다. 개정된 의료법은 촬영 대상을 ‘전신마취 등 환자의 의식이 없는 상태에서 수술을 시행하는 경우’로 한정하고 있다. 또한, 촬영 방법은 인터넷 연결이 되지 않는 폐쇄회로 텔레비전(CCTV) 장비를 써야 한다. 인터넷에 연결된 장비는 외부 해킹이 가능하고 사고가 발생할 수밖에 없기 때문이다.

개정된 의료법은 오는 9월부터 적용된다. 아직 병원 수술실에서조차 얼굴, 신체 등 환자의 민감한 개인정보를 촬영할 수 있는 명확한 법적 근거가 없는 상태인 것이다.

환자 동의를 받으면, 촬영이 가능하지 않냐는 질문이 제기될 수 있다. 원칙론적으로는 맞다. 그러나 동의를 받기 위한 절차가 복잡하다. 동의를 받을 때에는 개인정보보호법에 따라 수집·이용 목적, 수집 항목, 보유·이용 기간뿐만 아니라, 촬영을 거부할 권리가 있다는 사실까지 고지해야 한다. 또한 안전 조치가 꼼꼼하게 마련돼야 한다. 외부로 유출되지 않도록 영상정보에 대한 접근을 통제하고, 영상정보를 안전하게 저장할 수 있는 암호화 기술을 적용하는 등의 조치를 취해야 한다.

그러나 언론을 통해 알려진 바로는 해당 병원은 수집 동의를 받지 않았고 기술·관리적 안전 조치를 마련하지 않았다고 한다. 향후 해당 병원은 개인정보보호법에 따른 형사처벌, 과태료 처분을 받을 가능성이 있다. 법에서 정한 방식에 따른 영상처리를 소홀히 했으므로 환자들로부터 민사상 손해배상 소송을 당할 수도 있다.

의료법에 따라 수집이 허용되거나 의무화된 개인정보 이외에 불필요한 개인정보를 수집해 저장 및 보관할 이유가 없다. 정보는 반드시 유출된다는 격언이 있다. 이제 병원도 환자 정보 취득에 감량을 해야 한다. 최소한 수집으로 불필요한 유출 위험을 줄여야 한다.

법무법인 세승 이서형 변호사(법학박사)