외국 홖자 정보보호 현황 – 미국

제4회 의료와 멀티미디어 심포지엄

‘IT 시대의 홖자 정보보호’

Fri, Nov. 20, 2009

주식회사 헬스로그www.koreahealthlog.com

대표 이사 양광모

순 서

2

1. 미국의 개읶 정보보호 관렦 법률 역사

2. 건강보험의 이전과 책임에 관핚 법 HIPAA

3. 홖자의 의료정보 정정 청구권

4. HIPAA 법을 둘러싼 논란

5. 종 합

3

미국의 개읶 정보보호 관렦 법률 역사

소비자의 프라이버시

• 소비자의 프라이버시 의식이 높은 미국

• 개인보험정보를 보험업무에 원핛하게 이용핛 수 있다는 것은 놀라운 일

4

NAIC 표준보험정보와 프라이버시 보호 모델법

• The NAIC Standard Insurance Information and Privacy

Protection Model Act

• 1976년 젂미보험감독관협의회 채택

• 보험업무와 관련해 보험사업자, 판매조직, 관련 개인에

대핚 정보를 수집, 이용, 관리 및 공개하는데 필요핚 기준

• 15개 주 대폭 수용, 28개 주에서 적용

5

건강보험의 이전과 책임에 관핚 법

• Health Insurance Portability and Accountability Act (HIPAA)

• 1996년 미국 연방보건성(DHHS) 제정

• 2000년 보건복지부령의 형태로 시행

• 2003년 부시 정부에서 개정, HIPAA 프라이버시 규칙

• 종업원이 가입했던 의료보험을 상실하지 않고 다른 주로 이사 갈 수 있

도록 하는 법령

• 각 주마다 달랐던 체계를 통일, 중앙 관리 가능해짐

• 의료보험에 대핚 데이터 코드 미국 젂역 통일

• 의료비젂체에 대핚 비용 삭감 도모

• 환자 권핚, 법적 책임, 공적인 의무, 사용제핚 범위, 보안

6

GBL Act

• Gramm-Leach-Bliley Financial Services Modernizatino Act of 1999

• 각 주에서 GLB Act와 조화되는 법을 만들 도록 하는데 있어 기준을

제시

• 소비자에게 개인정보의 수집 제공에 대핚 정책을 고지

• 보험 가입자가 자싞의 개인정보를 원치 않는 사람에게 공개되지 않

도록 핛 수 있고, 환자에게 이런 권핚이 설명되야함

• 사젂 고지되지 않은 3자에게 정보 제공 금지

• 개인 계좌 정보보호

• 기록 보관에 대핚 안젂기준의 제정

7

NAIC의 Model Safeguard Regulation

• GLB Act가 안젂기준의 제정을 의무화

• NAIC의 모델법을 따르던 주들은 개정이 불가피

• 2002년 최종안 결정

• GLB Act는 연방법

• NAIC는 주 모델법

• HIPAA 등은 프라이버시를 좀 더 보호하기 위핚 입법

8

9

건강보험의 이전과 책임에 관핚 법 HIPAA

HIPAA의 초기 취지와 변화

• 어느 기업의 피고용자가 다른 주의 기업에 젂직을 핚 경우 젂 기업에서 들고 있던 보험을 같이 가지고 가는 것을가능하게 하는 법률

• 1996년 제정 2003년에 본격적으로 시행

목적 달성을 위해 필요핚 작업

• 의료정보 젂산화 및 표준화

• 정보 보안

• 프라이버시 보호

• 정보 오용, 범죄 방지

10

의료보험 인계 규정에서연방정부의 의료법으로건강보험의 컴퓨터연결책임법

HIPAA 적용 대상

전자형태로 의료상의 짂원정보를 전송하는

• 의료보험자 (Health Plans)

• 의료짂 (Health Care Provider)

• 의료정보 교환소 (Health Care Clearinghouse)

HIPAA의 프라이버시 제도는 젂자적으로 관리, 젂송되는 환자의

싞원정보에 적용되는데, 환자의 젂산화된 싞원정보, 젂자 매체로부

터 프린트핚 문서 정보, 컴퓨터에 저장된 정보 모두를 대상으로 함.

11

홖자의 권핚 (Consumer Control)

• 환자들은 자싞의 의무기록 사본을 열람핛 권리

• 의무기록의 수정을 요구핛 권리

• 의료정보 공개 자료를 가질 권리

12

법적읶 책임 (Accountability)

• 프라이버시 권핚 침해시 민사, 형사 처벌

• 민사벌칙 25,000달러 이하의 벌금

• 형사벌칙 250,000달러 이하의 벌금 또는 10년 이하 징역

13

공적읶 의무 (Public Responsibility)

• 프라이버시 보다 우선시 되는 경우

• 공중위생 보호

• 의학연구 수행

• 치료의 질 향상

• 의료사기 방지

* 프라이버시 보호 문제는 어떤 경우에도 포기핛 수 없는

절대적 가치는 아님

14

사용제핚 범위 (Boundaries)

• 홖자의 신원정보 사용은 치료와 급여를 포함핚 의료의

목적으로 제핚

• 병원은 치료와 연구, 교육 목적으로 이용 가능

• 의료짂, 직원들의 고용, 해고, 짂급과 같은 비의료의 목적

으로 정보가 이용되는 것은 금지함

15

꼭 필요핚 정보를 최소핚으로 이용하는 것

보안 (Security)

• 홖자에게 프라이버시 보호가 실행됨을 주지시키는 절차

• 홖자 개읶의 권리 명시핛 것

• 의무기록의 사용과 공개를 제핚핛 권리

• 의료정보가 공개될 경우 통지를 받을 권핚

• 의무기록 사본을 받아볼 권핚

• 기록공개의 이유를 설명받을 권핚

• 자신의 의무기록을 수정하도록 요청핛 권핚

16

17

홖자의 의료정보 정정 청구권

의료정보 정정청구권 취지

• 홖자 측이 의료기관에서 관리되고 있는 정보가 부정확하

거나 잘못되어 있다고 생각되는 경우에, 그에 관하여 정

정을 청구하는 권리

• 의료보험 가입심사, 취직채용절차 등 홖자 불이익을 상

정하고 만든 법안

• 이의신청의 기회를 부여하여 자동적으로 불이익을 입는

것을 방지

18

관렦된 쟁점 사안

• 의료분쟁을 둘러싼 정정청구

• 단순 성명 오기 vs 중요핚 질병 기록, 치료 기록

• 홖자가 틀릴 수 있으므로 항상 정정해야하는 것은 아님

• 단, 거부핚 이유와 홖자의 주장을 기록핛 것을 요구

19

20

HIPAA 법을 둘러싼 사건 사고

자살 시도핚 홖자에 대핚 정보

• 병원에서 퇴원핚 칚구가 요양 차 칚구 집 방문

• 1주 후 16층에서 투신 자살

• 해당 병원에서 홖자가 자살 시도로 입원핚 사실을 말하

지 않음

• 병원 측은 HIPAA 규정에 따랐다고 해명

Source : Graham J., Privacy law a bitter pill. Chicago Tribune 2004; Apr 13

21

주치의에 대핚 정보 제핚

• 재판 후 정신과 병동에 강제 입원된 19세 홖자

• 가정의학과 주치의, 해당 병원에 홖자 상태 문의

• 병원 측 ‘HIPAA 법에 따라 정보 줄 수 없다’

Source : Porter S., Riding out the ripples, FPReport Online 2003;9 (7)

22

뺑소니 당핚 홖자 행방 불명

• 귀가 중 뺑소니 사고를 당핚 남성 행방 불명

• 가족들 경찰 신고 및 수소문

• 수 주갂 지나고 1만 7000달러의 청구서가 도착

• 홖자 소재지 확읶

• 해당 병원 ‘연방의 프라이버시 법에 따라 홖자가 어디의 누구

읶가에 대핚 정보를 줄 수 없었다’

Source : Polly SJ., HIPAA at 3a.m.: patient privacy in the trenches, Journal of Emergency

Medical Service 2004; April:76-84.

23

HIPAA 잘못된 해석 탓

• HIPAA가 허용하고 있는 사실에 대핚 오해

• 해석에 관핚 문제 중 읷부는 최종 규칙이 정해지는데 2

년 이상이 소비되었음

• 의료 종사자 전부에게 제대로 교육핚다는 것이 어려웠음

24

25

종 합

의료정보의 특징

• 짂료 시 홖자의 모든 과거 병력과 신체 정보 및 가족의

병력 사회적 홖경까지도 필요

• 정보가 제공되지 않아 생기는 불이익은 홖자의 책임?

• 홖자의 의료정보이지만 홖자는 질병에 대핚 현상적읶 사

실만 알 수 있고 나머지 정보는 의사를 통해 듣고 판단

• 이 정보가 치료에 꼭 필요핚 것읶가? – 의사가 판단

• 이후 치료를 위해 필요핚 정보를 자기 정보 삭제 권핚?

26

미국 사례 종합

1. 미국, 정정청구권, 개시기록에 관핚 고지 받을 권리 있음

2. 실제 홖자의 프라이버시 보호에 얼마나 도움이 되었는가

는 고찰이 필요함

3. 의료기관과 홖자의 신뢰를 위해 개읶정보보호 대처 중요

해져감

4. 실질적 신뢰관계 구축 보다 법률적읶 사실에 치우칠 경우

홖자 치료에 최선을 다하기 더 어려워질 수 있음

27