상세검색
최근 검색어 전체 삭제
다국어입력
즐겨찾기0
151835.jpg
KCI등재 학술저널

미국의 의료정보보호법제에 관한 공법적 고찰

미국의 최근 행정법제 적용사례 논의를 중심으로

  • 228

본고에서는 의료정보의 보호 및 관리에 관한 기본법으로 의료정보보호법(“Health Insurance Portability and Accountability Act”, 이하 HIPAA)의 구체적인 집행 및 적용사례 연구에 초점을 맞추었다. HIPAA는 1996년 연방법으로 도입되었지만 연방법과 주법의 충돌 문제, 의료기관의 개인정보보호의무의 범위, 의료정보 유출 시 책임의 주체 및 범위에 관하여 명확하게 규정되지 않았으며, 적용대상 정보(보호의료정보, “Protected Health Information”, 이하 PHI)에 대한 의료기관의 인식이 낮은 상태에서 위반행위 유형화에 대한 해석여지가 많은 입법으로 이루어졌으므로 행정적 제재수단으로 과징금의 부과 가능성 및 정도에 관하여도 논란의 여지가 있었다. HIPAA 도입 이후 최근까지 미국 보건복지부 인권국은 법률을 적극적으로 집행, 과징금 부과처분 등을 이행하여 왔다. 과징금 부과의 대부분은 보호의료정보(PHI)의 유출(직접유출, 간접유출, 홈페이지 유출, 대량정보, 개별정보, 의료진 일탈행위 등), 의료기관의 위험관리책임(시스템 점검, 제3자 정보공개시 절차준수의무) 등에 대하여 이루어졌으며, 법령 위반 시 정보유출의 고의성, 정보주체의 동의여부와 동의의 유형(구체적 정보제공 및 인지), 피해정도에 따라 과징금액이 산정・부과되고 있다는 점을 알 수 있다. 의료정보를 개인정보법체계의 일부로 규정하고 있는 우리나라의 경우, 의료정보의 유출 및 위험관리 책임에서 의료정보의 특수성을 반영하기 어려운 한계가 있다. 구체적으로 의료정보가 유출될 경우 개인정보관리책임만 적용되므로 의료정보의 민감성에 따른 별개의 과징금부과 등 행정처분이 이루어지지 어려우며, 현행 법체계에서 개인정보보호 측면이 강조될 경우, 사실상 의료정보의 활용이 이루어지고 있는 영역(치료, 연구, 보건정책목적 등)은 개별 법률에서 특별한 규정이 없는 한 일반법으로 포섭되지 못하는 결과가 나타난다. 따라서 미국의 의료정보보호 법제의 도입사례 및 적용사례 등을 참조하되, 우리 정보 및 의료에 관한 법률에서 규정하고 있는 공법적 가치를 고려하여 정보유출 방지, 보안의무 강화, 연구 및 치료목적의 정보활용 기준 및 절차 명확화 등의 제도적 보완이 고려되어야 할 것으로 생각된다.

This article focuses on the specific law enforcement cases under the “Health Insurance Portability and Accountability Act”(HIPAA) in the United States. The law has been introduced in 1996 as Federal Legislation to protect patients’ information separate from the privacy legislations. However, as the law has not been clearly determined a few significant issues including supremacy(how to deal when there are conflicts between the Federal and States laws), the scope of the medical institution’s liability to protect medical information etc. Moreover, in practice, since medical institution has not been well-informed to their scope and ways to protect medical information, especially protected health information, there has been concerns whether the federal government would apply the law actively or how the court would determine. After HIPAA introduced, U.S. Department of Health and Human Services, mainly led by Office for Civil Rights, has been actively apply the law by investigating cases while making settlement or providing penalties. Recent cases includes (i) leaking PHI(directly or indirectly), (ii) risk management(system management, procedural management); and penalties levy according to the degree of intention, willingness, damages etc. In Korea, medical information is dealt by the legal system of personal information, so that it makes limitation to reflect the speciality of the medical information. To be specific, medical information may not be penalized reflecting its sensibilities or special characters as it only dealt as personal information in current legal system. Moreover, it makes barriers in promoting usages of medical information in treatment, researches or developing health policies. Therefore, while referring the legal systems in the United States, more specific laws dealing with medical information different from the personal information, which includes detailed determination of the medical information, security obligation, patients’ rights, concent procedures etc., needs to be discussed.

Ⅰ. 들어가며

Ⅱ. 미국의 의료정보관련 법제 현황

Ⅲ. 미국의 의료정보관련 행정법제 적용사례

Ⅳ. 나가며

로딩중