나도 모르는 사이 누군가 내 진료기록을 들여다본다면?

 생각만 해도 아찔한 개인정보 유출 사고가 비일비재하지만, 이를 막아야 할 법과 제도는 여전히 제자리걸음이라는 비판이 나온다.

 환자의 민감한 의료정보가 담긴 전자의무기록(EMR)의 단순 열람 행위에 대한 기록 관리가 법적으로 의무화되지 않은 '입법 공백'이 수년째 방치되고 있기 때문이다.

 29일 보건복지부와 국회입법조사처에 따르면 현행 의료법은 의료인이나 의료기관 개설자가 전자의무기록을 추가로 기재하거나 수정할 경우에만 접속기록을 별도로 보관하도록 규정하고 있다.

 물론 보건복지부 고시인 '전자의무기록 관리·보존 기준'에는 열람, 입력, 수정, 삭제 등 모든 주요 행위에 대한 상세한 로그를 남기고 안전하게 보관하게 돼 있다.

 그러나 상위법인 의료법에 명확한 근거가 없다 보니 현장에서 이 고시가 실효성 있게 작동하지 않고 있다는 지적이 많다.

 법률이 아닌 고시는 강제성이 약해 사실상 의료기관의 자율에 맡겨진 셈이다.

 마치 'CCTV는 녹화하되, 누가 드나드는지는 신경 쓰지 않아도 된다'는 식의 반쪽짜리 규제인 셈이다.

 설상가상으로 의료 현장에 만연한 '아이디 공유' 관행은 문제 해결을 더욱 어렵게 만들고 있다.

 바쁜 진료 환경을 핑계로 의사와 간호사 간에 아이디를 공유하거나, 다른 사람의 아이디로 대리 처방하는 일이 암묵적으로 벌어진다.

 이런 상황에서는 설령 로그기록이 남는다 해도 실제 행위자가 누구인지 특정하기 불가능하다.

 결국 환자 정보가 유출돼도 '꼬리 자르기' 식 처벌에 그치거나 책임 소재를 가리지 못한 채 사건이 종결될 위험이 크다.

 이런 문제를 해결하기 위해 이중 인증이나 생체 인증 같은 기술적 보완책 도입과 함께 의료기관 내부에서만 사건을 처리하는 '셀프 감독' 체계를 개선해야 한다는 목소리가 높다.

 사고가 터져도 기관 자체 조사와 징계로 미온적으로 끝나는 경우가 많아 재발 방지로 이어지지 않는다는 것이다.

 국정감사나 감사원 등 외부 기관의 감사를 연계하고, 보건복지부가 상시로 관리·감독할 수 있는 제도적 장치가 시급하다는 지적이다.