지출보고서 데이터를 본사 차원에서 통합 관리하는 다국적제약회사들이 개인정보보호법상 제3자 개인정보 제공 이슈에 무방비로 노출된 경우가 많은 것으로 알려졌다.

의사, 약사 등 의료인에게 제공한 경제적 이익의 내용과 근거를 기록하고 이를 보관하도록 의무화한 지출보고서 제도는 올해부터 본격 시행됐다. 회계연도 종료 이후 3개월 이내에 지출보고서를 작성하고 이를 5년간 보관해야 하는데, 12월 결산법인이 대다수인 제약바이오업체의 경우 내년 3월까지 작성을 마쳐야 한다.

문제는 지출보고서 항목구성이 개인정보를 대거 포함하기 때문에 개인정보보호법상 사전동의 절차를 반드시 밟아야 하는데 수집목적 범위 내에서 ‘제3자’에게 해당정보를 제공하는 행위도 포함돼 있다. 제3자는 해당업무를 수행하는데 필요한 계열사나 협력업체 등을 모두 포함한다.

그런데 지출보고서 제도는 미국의 선샤인 액트(Sunshine Act)의 개념을 차용한 것이기 때문에 다국적사는 이미 운영 중인 본사 차원의 공통 시스템 하에서 그 데이터를 본사나 지역 단위로 수집하고 관리하는 경우가 많다.

다국적사에서 해당 업무를 맡고 있는 G씨는 “우리 회사는 의료인별로 제공된 경제적이익 데이터를 본사에 보고하고 이를 통합 관리하는데 본사도 제3자에 해당하기 때문에 개인정보보호법상 사전동의를 받아야 한다”며 “고객들에게 동의절차를 새롭게 밟아야 하는데 업무량 등 문제로 현재까지는 암묵적으로 방치해 둔 상태”라고 털어놨다.

본사가 데이터를 통합 관리하는 다국적사들은 비슷한 상황에 놓여 있다. 특히 의사, 약사 등 의료인들이 자신이 받은 경제적 이익 내역에 대한 확인요청을 하는 경우 거꾸로 본사로부터 해당 데이터를 받아 최종적으로 의료인에게까지 전달해야하는데 그 프로세스를 어떻게 구성하느냐에 따라 사전동의의 범위가 더 늘어나게 된다.

같은 상황에 있는 다국적사 관계자 T씨는 “지출보고서 뿐만 아니라 본사와 공유하는 개인정보적 성격의 사항들이 꽤 있는데, 현재까지 이 부분에 대한 사전동의 절차에 소홀한 것은 사실”이라며 “보고와 정보확인 등 프로세스를 최종 확정해서 시급히 보완해야 할 문제”라고 지적했다.