진료기록은 병력으로, 의료법은 진료정보와 진료기록 등에 대해 각종 의무를 적용하고 있다. 의료법 제22조 제1항에 따르면 의료인은 “환자의 주된 증상, 진단 및 치료 내용” 등을 진료기록부 등에 기록하고, 의료법 시행규칙 제14조 제1호는 진료기록부에 기록해야 할 의료 행위로 진료받은 사람의 주소, 성명, 연락처, 주민번호 등 인적 사항과 주된 증상, 관련 병력, 진단 결과 및 진단명, 경과, 치료 내용, 진료 일시 등을 제시한다.
의료법에 따라 진료기록은 환자가 제공한 개인 정보를 바탕으로 의사가 전문적인 의학 지식에 따라 환자의 병을 진단하고, 향후 치료 계획 등을 기재한 자료라고 할 수 있다. 다시 말해 환자의 개인 정보는 물론 의사의 소견이 담긴 자료라는 의미다. 환자의 개인 정보이자 의사의 개인 정보라는 이중성을 갖는다. 그렇다면 진료기록은 의사와 환자 중 누구의 소유라고 할 수 있을까.
우선 이 문제는 데이터 오너십(Data ownership) 이슈를 출발점으로 한다. 데이터 오너십이라 부르는 데이터 소유권은 데이터가 경제적 가치를 갖는 ‘거래의 객체’로 인정받는 현실을 고려할 때, 데이터에 대해서도 소유권을 인정해 법적 보호를 해야 한다는 논리를 기반으로 한다. 그러나 현행 민법상 소유권의 대상은 물건에 한정된다. 물건은 유체물 및 전기 기타 관리할 수 있는 자연력을 의미한다. 또 일반적으로 물건이 되기 위해서는 배타적으로 관리할 수 있어야 하며, 인격성을 갖고 있지 않아야 한다. 그런데 데이터는 복제가 용이해 그 주체가 데이터를 배타적으로 관리하기 어렵다. 의료 정보와 같은 일부 데이터는 인격적 요소들을 내포하는 경우들이 많아 물건의 요건을 충족하기 어렵다. 이런 이유로 현행법상으로는 데이터 소유권이 인정되기 어렵다는 견해가 많다.
판례도 절도죄의 객체는 관리 가능한 동력을 포함한 ‘재물’로 한정하고 있다. 또 절도죄가 성립하기 위해서는 그 재물의 소유자 및 기타 점유자의 점유 내지 이용 가능성을 배제하고, 이를 자신의 점유로 배타적으로 이전하는 행위가 있어야만 한다. 컴퓨터에 저장한 정보 그 자체는 유체물이라고 볼 수도 없고, 물질성을 가진 동력도 아니므로 재물이 될 수 없다고 판단한 것이다(대법원 2002. 7. 12. 선고 2002도745 판결). 이는 데이터의 물건성을 부정하는 의미로 해석할 수 있다.
결국 진료기록도 데이터이지만 그것이 환자, 의사, 병원 누구라도 소유권의 대상이 되지는 않으며, 소유권으로서 법적 보호는 받지 않는다고 볼 수 있다. 그럼에도 데이터 생산 주체는 ‘데이터에 대한 접근, 관리, 통제 권한이 인정된다’고 봐야 한다. 현행법은 진료기록에 대해 특별한 법적 보호를 하고 있고, 그에 따라 환자는 진료기록에 대해 특별한 권한을 보유한다. 의료법 제21조 제1항은 환자가 본인에 관한 기록의 전부 또는 일부에 대한 열람이나 사본 발급 등 내용의 확인을 요청할 수 있도록 하고, 제21조 제2항에서는 의료인에게 환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 하거나 그 사본을 내주는 등 내용을 확인할 수 없도록 하는 기록 열람 금지 의무를 보장하고 있다. 동조 제5항은 의료인 등은 「전자서명법」에 따른 전자서명이 기재된 전자 문서를 제공하는 방법으로 환자 또는 환자가 아닌 다른 사람에게 기록의 내용을 확인하게 할 수 있다고 규정하고 있다. 동법 제21조의 2는 환자의 동의가 있는 경우 의료인 등의 상호 간 진료기록의 송부를 허용하고 있다.
보건복지부의 ‘진료기록 열람 및 사본 발급 업무 지침’도 비슷한 내용을 담고 있다. 환자 본인이 진료기록 사본 발급을 요청하는 경우 환자는 제3자에게 송부할 것을 요청할 수 있다. 더불어 담당 의사의 확인 또는 승인 없이 진료기록의 사본 발급 등이 가능하다고 규정하고 있다. 이처럼 진료기록 데이터는 철저히 환자의 동의를 기반으로 처리하도록 하고 있다. 결국 진료기록은 환자에게 거의 전적으로 관리 통제권이 부여되어 있다고 할 수 있다. 의사나 병원에게는 제3자에 대한 공개금지, 사본 발급, 기록 송부 등의 의무만이 부여되어 있고, 이 의무를 이행하지 않기 위해서는 이에 대한 정당한 사유를 입증하도록 하고 있다.
하지만 이런 의료법의 태도는 최근 도입을 논의 중인 데이터 이동권에 기반한 마이 데이터 사업과 긴장관계를 갖는다. 마이 데이터란 정보주체가 그의 데이터에 대한 통제권과 결정권을 가지고 그 제공과 활용을 정하도록 하는 것으로 정의할 수 있다. 이를 위해 정보주체는 여러 기관이나 기업에 분산, 저장된 정보를 일괄적으로 확인하고 다운로드할 수 있다. 나아가 자신의 정보를 제3자에게 직접 제공하도록 요구할 수 있는 권리인 데이터 이동권이 인정된다.
데이터 이동의 대상이 된 데이터에 대해 유럽 일반 개인정보보호법(GDPR)은 ▲정보주체의 동의 혹은 계약에 근거해서 처리되는 개인 데이터여야 하고 ▲자동화된 수단에 의해 처리되는 개인 데이터여야 하며 ▲정보주체가 ‘제공한’ 데이터로 한정하고 있다. 신용 정보법도 민감정보나 개인 정보를 기초로 금융기관 등이 추가적으로 생성 가공한 2차 정보 등은 의무제공 대상에서 제외하고 있다. 개인정보보호법 제2차 개정안도 개인 정보처리자가 수집한 개인 정보를 기초로 분석·가공해 별도로 생성한 정보는 이동 대상에서 제외하고 있다. 근무평가, 신용평가, 인사 기록, 진료차트, 비디오 대여 기록, 고객 성향 등과 같이 개인 정보처리자가 정보주체가 제공한 정보를 토대로 생성한 2차 정보는 이동권의 대상이 아니라고 보고 있는 것이다.
이는 생성 정보, 2차 정보는 데이터에 대한 관리 통제권이 정보주체에게만 인정되는 것이 아니기 때문에 정보주체의 의사만으로 이동 대상이 될 수 없다는 것이다. 그럼에도 이미 우리 의료법은 위 조항들에서 본 바와 같이 의료분야의 데이터 이동권 유사 조항을 도입하고 있으며, 진료기록과 같은 생성 정보에 대해서도 의사나 병원의 동의 없이 이동 대상이 되도록 함으로써 정보주체 중심의 제도 설계를 하고 있다. 다만 개인정보보호법 제2차 개정안이 통과되는 경우 의료법과 개인정보보호법의 해석상 충돌이 예상되므로 이에 대한 입법적, 해석적 해결이 필요하다.
결과적으로 진료기록은 환자와 의사가 공동으로 관리 통제권을 가진다고 보는 것이 타당하며, 향후 의료분야에 마이 데이터가 도입과정에서 데이터 이동 대상에 진료기록을 포함할 것인지에 대해서는 추가적인 논의가 필요하다.
이성엽 고려대 기술경영전문대학원 교수・기술법정책센터 센터장