경기도병원회, 의료기관 개인정보보호 정책토론회
또한 의료기관 내부가 아닌 보험관리와 청구를 위해 밖으로 나가는 공용 의료정보에 관한 부분은 수도·전기·도로 등과 마찬가지로 정부 예산에서 지원해야 한다는 의견도 제시됐다.
경기도병원회(회장 정영진)는 9월26일 ‘병원급 개인정보 보호 이대로 방치할 것인가’를 주제로 아주대의료원 대강당에서 의료기관 개인정보보호 정책토론회를 개최했다.제1주제는 이왕준 명지병원 이사장이 좌장을 맡아 ‘의료기관 개인정보의 법률적 문제’를 다뤘고, 제2주제는 박진식 세종병원 이사장이 좌장을 맡아 ‘의료기관 개인정보의 현실적 문제’에 의견을 나눴다.
구태언 테크앤로 법률사무소 변호사는 ‘의료기관 개인정보 보호의 법률적 문제’에 대한 주제발표에서 “건강보험심사평가원의 개인정보 보호 자율점검에 전체 기관의 50.4%만이 신청했다”며 “저조한 참여율은 행자부의 현장점검 실시로 이어질 가능성이 높다”고 지적했다.“의료기관이 보유 관리하는 개인의료정보가 유출될 경우 신뢰 회복 불가한 수준으로 떨어질 수 있으며 사회적 파장도 감수해야 한다”며 “의료기관 차원에서 보다 적극적으로 개인정보 보호 조치를 위해야 할 필요성이 있다”고 말했다.
보건복지부 보건의료정책과 홍화영 사무관은 “빅데이터 활용과 개인정보 보호 균형 정책을 추진하고 있다”며 “개인정보 보호가 잘 관리 되도록 법에서 상충되는 부분은 제도적 정비와 비용지원 등으로 해결해 나가겠다”고 말했다.좌혜선 한국소비자단체협의회 사무국장은 “개인정보가 암호화 됐다고는 하지만 다 풀 수 있어 주민번호에 대한 제도 변화가 요구되는 실정”이라며 빅데이터 활용에 대해 우려를 나타냈다.
강요한 드림이엔씨 본부장은 “의료기관에 대한 ISMS(정보보호관리체계인증)에 앞서 상용프로그램에 대한 개인정보보호와 관련한 점검 및 책임을 규율해야 하는 것이 선행돼야 한다”고 말했다. 의료정보 운영체계에 대한 국가 차원의 검증과 인증의 필요성도 제기했다.“비영리기관인 병원이 법을 지킬 수 있도록 제도적 환경 구축이 급선무”라는 의견도 제시했다.
퓨처시스템/아이리노테크 유혜령 부장은 의료정보 통신 구간과 이동 진료환경의 취약성을 극복하기 위해 VPN(암호통신) 및 보안AP 도입을 주장했다. 또한 인터넷을 통한 외부 침투를 방지하기 위해 망분리 기능도 고려해야 한다고 말했다.
이영곤 건강보험심사평가원 정보통신실 이영곤 부장은 주제발표에서 “개인정보보호는 스스로의 점검이 가장 중요하다”며 “요양기관의 자율점검을 지속 지원하고 청구 SW에 개인정보보호 관련 인증을 강화해 나갈 예정”이라고 밝혔다. 정보관리수수료에 대해서도 적극 건의하겠다는 의지도 밝혔다.
행정자치부 개인정보보호정책과 김용학 과장은 “9월30일부터 건강 등 민감정보를 처리하는 경우에는 안전성 확보에 필요한 조치를 해야 한다”며 “모든 공공기관, 5만명 이상의 고유식별정보를 처리하는 자에 대해서는 행자부가 2년마다 1회 이상 정기적으로 조사하도록 개정됐다”고 설명했다.
김 과장은 “행자부가 해당기관으로부터 자료를 제출받아 검토한 후 문제가 있다고 판단되는 기관에 대해 선별적으로 현장조사를 실시할 계획”이라며 “의료기관에서 성실히 자료를 제출해 줄 것”을 당부했다.행자부는 지난 8월부터 민간분야의 개인정보보호 자율규제 체계를 구축하기 위해 ‘자율규제협의회’를 구성, 협회·단체의 신청을 받아 자율규제 단체를 지정하고 있다.
자율규제 단체는 자율규제 규약에 따라 소속 사업체의 개인정보 처리 실태를 점검하고 미흡한 점을 개선하도록 지도할 수 있다.대한병원협회도 최근 지정신청을 해 심사가 진행중이며 조만간 지정받게 되면 회원병원들의 개인정보 보호를 위한 각종 지원에 나설 예정이다.
김 과장은 “국민의 개인정보를 합리적이고 효율적으로 보호하고자 하는 자율규제 활동에 적극적인 협조”를 당부했다.배준익 법무법인 엘케이파트너스 변호사는 의료법을 통한 의료정보 보호의 구체화가 필요하다는 입장이다.
현행 의료법의 진료기록부 등과 관련한 조항은 서면 기록에 대한 규정을 그대로 답습하고 있어 전자의무기록 시스템을 통해 생성된 진료기록부 등에 온전히 적용할 수 없는 한계를 지적했다.이에 의료정보에 관한 특별법 제정이나 의료법 개정을 통해 의료기관의 수집, 보유하고 있는 정보를 그 특성에 맞춰 규율하는 방법으로 해결해야 한다고 했다.
배 변호사는 “의료정보의 유출 가능성이 높아진 점을 고려할 때 의료기관 운영자들은 개인정보 관련 사고 발생 가능성 및 사고가 발생한 경우의 피해에 대한 경각심을 갖고, 보다 적극적으로 법의 준수를 위해 노력해야 한다”고 강조했다.의료기관 내부에 반드시 개인정보 보호와 관련된 부서를 신설하고 보호 책임자를 지정하며 홈페이지나 전자의무기록 시스템의 운영을 전문업체에 위탁해 개인정보 유출 사고가 일어나지 않도록 대비해야 한다고 말했다.
회계법인 EY 한영 홍성권 이사는 “의료기관의 장은 개인정보 보호에 더 많은 관심을 갖고 실무조직을 구성해 적극적인 투자에 나서야 한다”고 주장했다.의료기관은 개인정보 유출에 대한 예방을 효과적으로 수행하기 위해 관리뿐만 아니라 정보보안 솔루션의 구축과 법적 요구사항인 암호화 등을 적용해야 한다고 했다.
홍 이사는 “개인정보 취급자가 준수해야 하는 사항에 대해서도 지속적으로 교육을 실시해야 한다”고 말했다.대한병원협회 등 의료단체 등에서 개인정보보호 전문가를 자문위원으로 위촉하거나 컨설팅을 받아 관련 문제를 공동 대응해야 한다는 조언도 했다.
백설경 아주대 의무기록팀장은 “환자나 보호자도 개인정보 보호에 대한 인식 부족으로 신분증 없이 기록 사본을 요구하는 사례가 많다”며 “병원직원들의 교육 및 관리가 필수”라고 말했다.백 팀장은 사본발급, 증명서 발급 등을 위해 수집된 신청자의 개인정보가 포함된 일반문서 보관기관이 명시돼 있지 않아 병원별로 자의적 해석을 내리고 있으며, 진료기록의 보관 연한이 의료법과 개인정보보호법 의료기관 가이드라인과 달라 혼선을 빚고 있다는 병원계 애로사항을 전했다.
또한 진료기록 외부 보관 허용에 따른 소용비용 조달방안, 안전성을 확보할 수 있는 신뢰성 있는 업체 선정 등에 대한 정부의 지원이 필요하다고 강조했다.정영진 회장은 “민감한 개인정보인 진료기록을 국가에서 관리하는 사례가 많다”며 “개인정보 보호를 위해서는 병원과 국가가 부담을 함께 하는 방안을 찾아야 한다”고 말했다.
