메디온테크

美 보건부, 의료정보 차단에 '철퇴'…위반 시 건당 13억원 벌금 폭탄

Jung Han -

美 보건부, 의료정보 차단에 '철퇴'…위반 시 건당 13억원 벌금 폭탄

"환자 의료기록 못 주면 13억원 물어라"... 美 보건부, EHR 독점 기업에 철퇴

Epic 42% 시장 지배 끝나나... 팩스·전화로 기록 요청하던 시대 종언 선언

한국도 '마이헬스웨이' 추진 중... 대형병원 EMR 과점 해결 시급

미국 보건복지부(HHS)가 2025년 9월 3일 환자 의료정보 접근을 방해하는 모든 행위에 대해 전면적인 단속을 선언했다. 위반 시 건당 최대 100만 달러(약 13억원)의 벌금을 부과하겠다는 초강경 조치다. 9년 전 제정된 '21세기 치료법(21st Century Cures Act)'의 정보 차단 금지 조항을 이제야 본격 집행하겠다는 것이다.

줄리엣 호지킨스 HHS 감찰관 대행은 "우리는 위반자를 조사하고 책임을 묻기 위해 가능한 모든 권한을 동원할 것"이라며 "법 집행과 환자의 건강정보 접근권 보호에 전념하고 있다"고 강조했다.

이번 조치로 가장 큰 타격을 받을 것으로 예상되는 곳은 미국 급성기 병원 전자의무기록(EHR) 시장의 42%를 점유한 Epic Systems다. Epic은 현재 경쟁사의 데이터 접근을 차단했다는 이유로 Particle Health와 CureIS Healthcare로부터 2건의 집단소송을 당하고 있다.

정보 차단의 정의와 규제 대상

정보 차단(Information Blocking)은 법적으로 요구되는 경우를 제외하고 전자건강정보(EHI)의 접근, 사용, 교환을 의도적으로 방해하는 모든 행위를 말한다. 환자 차트의 병리 보고서, 영상 검사 결과, 검사 데이터, 진료 기록 등 모든 의료 정보가 해당된다.

HHS가 규제하는 대상은 크게 3개 그룹이다. ▲의료 서비스 제공자(병원, 클리닉, 개인 의원) ▲건강정보교환 네트워크(HIE) ▲인증된 헬스 IT 개발업체(EHR 소프트웨어 제조사) 등이다.

존스홉킨스대학 조시 뉴먼 임상시스템 담당 부사장은 "EHR 벤더들은 경쟁적 목적으로 정보를 차단하는 경향이 있다"며 "반면 의료 제공자들은 주로 자원 부족이나 규정에 대한 이해 부족으로 위반하는 경우가 많다"고 설명했다.

특히 EHR 업체들은 경쟁사나 제3자 플랫폼이 자사 시스템의 데이터에 접근하는 것을 막아 고객 이탈을 방지하려는 동기가 강하다. 시장 지배력을 유지하기 위한 반경쟁적 행위인 셈이다.

정보 차단이 초래하는 연쇄 피해

미국의사협회(AMA)에 따르면 정보 차단은 환자 치료 지연, 의료비 증가, 의사 번아웃(burnout) 등 심각한 문제를 야기한다.

가장 직접적인 피해는 환자가 입는다. 한 병원에서 검사를 받고 다른 병원으로 옮겼는데 두 시스템이 정보를 교환하지 않으면 동일한 검사를 반복해야 한다. MRI 한 번에 2000~3000달러가 드는데, 이런 중복 검사로 인한 연간 낭비 비용이 300억 달러에 달한다는 추정이다.

의료진도 고통받는다. 시스템 간 정보 교환이 안 되니 팩스나 전화로 일일이 정보를 요청해야 한다. 하루 평균 2시간의 추가 업무가 발생하고, 불완전한 정보로 의료 결정을 내려야 하는 스트레스도 크다.

2024년 시카고의 한 암 환자 사례는 정보 차단의 심각성을 보여준다. 전문 치료를 위해 메이요 클리닉으로 전원을 갔는데, 기존 병원이 3주간 의료 기록 전송을 지연시켜 치료가 늦어졌다. 환자 가족은 결국 소송을 제기했다.

HHS의 처벌 규정

HHS가 발표한 처벌 규정은 위반 주체에 따라 다르다. 헬스 IT 개발사는 건당 최대 100만 달러의 벌금과 함께 HHS 인증이 취소될 수 있다. 의료 제공자는 메디케어(Medicare)와 메디케이드(Medicaid) 프로그램에서 불이익을 받는다. 수가 삭감은 물론 프로그램에서 배제될 수도 있다.

정보교환 네트워크 역시 건당 100만 달러의 벌금과 함께 네트워크 운영 자격을 박탈당할 수 있다. HHS는 "법 제정 후 9년간 단 한 건의 처벌도 없었지만, 이제는 달라질 것"이라고 경고했다.

처벌 수위가 이렇게 높은 이유는 그만큼 문제가 심각하기 때문이다. 바비 무카말라 AMA 회장은 "한때 업계에서 묵인되던 관행이었던 정보 차단이 이제 진정한 책임 추궁의 대상이 되었다"며 "이는 환자들에게 더 나은, 더 빠른, 더 안전한 치료를 의미한다"고 환영했다.

합법적 예외 사항

모든 정보 차단이 불법은 아니다. HHS는 몇 가지 예외를 인정한다. ▲환자 프라이버시 보호 ▲보안 위협 방지 ▲기술적으로 실행 불가능한 요청 ▲법적 요구사항 충족 ▲환자 안전 위해 우려 등의 경우다.

단, 모든 예외 사항은 철저히 문서화해야 한다. "시스템 호환이 안 된다" "보안상 위험하다"는 막연한 이유로는 정보 공유를 거부할 수 없다. 구체적인 근거와 증거를 제시해야 한다.

업계 반응과 전망

이번 조치에 대한 업계 반응은 엇갈린다. 중소 헬스테크 스타트업들은 "대형 업체의 독점 행위를 견제할 수 있게 됐다"며 환영했다. 반면 Epic 같은 대형 EHR 업체들은 "과도한 규제로 혁신이 저해될 수 있다"고 우려했다.

일부 의료기관도 부담을 토로한다. 정보 공유 시스템 구축에 막대한 투자가 필요하고, 컴플라이언스 비용도 만만치 않기 때문이다. 특히 소규모 병원들은 "존립 자체가 위협받을 수 있다"고 호소한다.

그러나 전문가들은 장기적으로 긍정적 효과가 클 것으로 본다. 마이클 블룸버그 디지털헬스 전문 변호사는 "Epic과 Cerner 같은 거대 업체들은 비즈니스 모델 자체를 재검토해야 할 것"이라며 "폐쇄적 생태계로 수익을 창출하던 시대는 끝났다"고 말했다.

기술적 해결책

정보 차단 문제를 해결하기 위한 기술적 대안도 주목받고 있다. 대표적인 것이 FHIR(Fast Healthcare Interoperability Resources)다. API 기반으로 실시간 데이터 교환을 가능하게 하는 차세대 의료정보 표준이다.

블록체인 기술도 유력한 대안이다. 탈중앙화 구조로 특정 업체의 독점을 방지하고, 환자가 직접 자신의 데이터 접근 권한을 관리할 수 있다. 변조가 불가능한 감사 추적 기능도 장점이다.

AI를 활용한 정보 통합 시스템도 개발되고 있다. 서로 다른 형식의 데이터를 자동으로 변환하고, 중복 정보를 식별해 제거한다. 실시간으로 데이터 품질을 검증하는 기능도 포함된다.

환자 권리와 신고 방법

이번 조치로 환자의 권리가 대폭 강화됐다. 환자는 ▲자신의 모든 의료 기록을 즉시 열람할 권리 ▲전자 형식으로 데이터를 다운로드받을 권리 ▲지정한 제3자에게 직접 전송을 요구할 권리 ▲잘못된 정보의 정정을 요구할 권리 ▲특정 정보의 공유를 차단할 권리 등을 갖는다.

정보 차단을 당했다면 HHS에 신고할 수 있다. HHS 공식 웹사이트나 전화(1-800-HHS-TIPS), 이메일(HealthIT.Feedback@hhs.gov)을 통해 가능하다. 익명 신고도 받는다.

신고 시에는 ▲차단 주체(병원/업체명) ▲차단 일시와 경위 ▲요청한 정보 종류 ▲받은 거부 사유 ▲피해 내용 등을 구체적으로 제시해야 한다.

글로벌 동향

미국만의 움직임은 아니다. EU는 GDPR(일반데이터보호규정)을 통해 환자 데이터 이동권을 보장한다. 위반 시 연매출의 4% 또는 2000만 유로의 벌금을 부과한다. European Health Data Space 구축도 진행 중이다.

영국은 NHS 디지털 전략을 통해 모든 NHS 병원 간 정보 공유를 의무화했다. 2025년까지 완전한 상호운용성 달성이 목표다. 일본도 2026년까지 전국 의료정보 네트워크 통합을 추진한다.

한국은 '마이헬스웨이'를 통해 환자 중심 건강정보 플랫폼을 구축하고 있다. 의료기관 참여에 인센티브를 제공하고, 정보 차단 시 건강보험 수가 불이익을 준다. 하지만 대형병원 EMR 시장 과점이 심하고 병원 간 정보 교류가 극히 제한적인 상황이다.

향후 로드맵

HHS는 2025년 4분기에 첫 처벌 사례를 발표할 예정이다. 주요 EHR 업체들에 대한 컴플라이언스 점검도 시작된다. 의료기관 대상 교육 프로그램도 곧 시작한다.

2026년에는 정보 차단 신고 포털이 개설되고 실시간 모니터링 시스템이 구축된다. 첫 대규모 벌금 부과도 이 시기에 예상된다. 2027년까지는 완전한 상호운용성 달성과 환자 데이터 접근권 100% 보장이 목표다.

사라 첸 스탠포드 의료정보학과 교수는 "정보 차단 금지는 단순한 규제가 아니라 의료 혁신의 촉매제"라며 "데이터가 자유롭게 흐를 때 AI 진단, 정밀의료, 예방의학이 폭발적으로 성장할 것"이라고 전망했다.

의료정보 민주화 시대 개막

2025년 9월, HHS의 정보 차단 단속 강화는 미국 의료계의 패러다임 전환을 알리는 신호탄이다. 의료 데이터가 특정 기업이나 기관의 소유물이 아닌, 환자 개인의 자산임을 명확히 한 것이다.

100만 달러라는 천문학적 벌금은 '업계 관행'으로 용인되던 정보 독점에 대한 경고장이다. Epic을 비롯한 거대 EHR 업체들은 폐쇄적 비즈니스 모델을 포기하고 개방형 생태계로 전환해야 한다.

의료 제공자들에게는 당장 부담이 되겠지만, 환자들에게는 축복이다. 자신의 건강 정보를 자유롭게 관리하고 원하는 의료기관을 선택할 수 있는 진정한 의료 소비자 주권 시대가 열렸다.

로버트 김 병원 CIO 협회 회장은 "단기적으로는 컴플라이언스 비용이 부담되지만, 장기적으로는 중복 투자 감소와 효율성 향상으로 이익이 될 것"이라며 "문제는 전환 과정의 혼란을 어떻게 최소화하느냐"고 말했다.

정보 차단의 벽이 무너지는 2025년, 미국 의료계는 진정한 디지털 전환의 원년을 맞이했다. 이 변화의 물결은 곧 전 세계로 확산될 것이며, 한국 의료계도 대비가 필요한 시점이다.

"환자 데이터는 환자의 것이다." 이 단순한 진리가 마침내 현실이 되고 있다.

U.S. Health Department cracks down on blocking medical information... Violators face hefty fines of $100,000 per violation

HHS Enforcement Targets Epic Systems and EHR Giants

The US Department of Health and Human Services (HHS) launched a major crackdown on healthcare information blocking on September 3, 2025, threatening penalties up to $1 million per violation. The enforcement comes nine years after the 21st Century Cures Act first prohibited the practice.

"We will deploy all available authorities to investigate and hold violators accountable," said Juliet Hodgkins, HHS Acting Inspector General.

Epic Systems, controlling 42% of the acute care EHR market, faces the most scrutiny with two pending lawsuits from Particle Health and CureIS Healthcare alleging anticompetitive data blocking.

What Is Information Blocking?

Information blocking refers to any practice that interferes with access, use, or exchange of electronic health information (EHI), except when legally required. This includes all patient data—lab results, imaging, clinical notes, and pathology reports.

Three groups face regulation:

  • Healthcare providers (hospitals, clinics, physician practices)
  • Health information exchanges (HIEs)
  • Certified health IT developers (EHR vendors)

"EHR vendors often block information for competitive purposes, while providers typically violate rules due to resource constraints or misunderstanding," explained Josh Newman, VP of Clinical Systems at Johns Hopkins University.

Real-World Impact

The American Medical Association (AMA) reports information blocking causes treatment delays, increased costs, and physician burnout. Annual waste from duplicate testing alone reaches $30 billion.

A 2024 Chicago case highlighted the severity: a cancer patient's transfer to Mayo Clinic was delayed three weeks due to records blocking, prompting legal action.

Healthcare workers spend an average two extra hours daily on manual information requests via fax and phone calls.

Enforcement Framework

Penalties vary by violator:

  • Health IT developers: Up to $1M per violation plus certification revocation
  • Healthcare providers: Medicare/Medicaid payment cuts or program exclusion
  • Information exchanges: $1M fines and network disqualification

"Once a tolerated industry practice, information blocking is now a target for real accountability," said Bobby Mukkamala, AMA President.

Legitimate Exceptions

HHS recognizes limited exceptions for:

  • Patient privacy protection
  • Security threat prevention
  • Technically infeasible requests
  • Legal compliance requirements
  • Patient safety concerns

All exceptions require thorough documentation—vague claims won't suffice.

Industry Divided

Small healthtech startups welcome the ability to "challenge monopolies," while major EHR vendors warn of "innovation-stifling overregulation."

"Epic and Cerner must fundamentally reconsider their business models. The era of closed ecosystems is over," said Michael Bloomberg, a digital health attorney.

Tech Solutions Emerging

  • FHIR: Next-generation API-based standard for real-time data exchange
  • Blockchain: Decentralized structure preventing vendor lock-in
  • AI Integration: Automatic format conversion and quality verification

Patient Rights Expanded

Patients now have guaranteed rights to:

  • Immediate access to all medical records
  • Electronic data downloads
  • Third-party transfer requests
  • Error correction demands
  • Selective sharing controls

Violations can be reported via HHS website, phone (1-800-HHS-TIPS), or email (HealthIT.Feedback@hhs.gov).

Global Movement

The EU's GDPR ensures data portability with fines up to 4% of annual revenue. The UK targets complete NHS interoperability by 2025. Japan pursues national integration by 2026. South Korea's MyHealthWay platform offers incentives for participation.

2025-2027 Timeline

  • Q4 2025: First enforcement cases, vendor audits begin
  • 2026: Reporting portal launches, monitoring systems deployed
  • 2027: Complete interoperability target, 100% patient access goal

"Information blocking prohibition isn't just regulation—it's a catalyst for medical innovation," said Sarah Chen, Stanford Medical Informatics Professor.

The Bottom Line

After years of tolerance, the $1 million enforcement hammer signals healthcare's open future. As walls crumble, data liberation promises better care, reduced costs, and physician relief from administrative burdens.

"Patient data belongs to patients"—this simple truth finally becomes enforceable reality in American healthcare.