병원 인증 준비 부담 감안, ISMS 1년 유예
행정자치부는 11월3일 분당서울대병원 헬스케어혁신파크 대강당에서 개최된 제9회 병원 의료정보화 발전 포럼에서 대한병원협회에 개인정보보호 자율규제단체 지정서를 전달했다.
이에 따라 대한병원협회는 정부로부터 회원병원들의 개인정보 보호 자율규제 및 점검 능력을 인정받았다.
자율규제단체는 개인정보 보호 교육 및 홍보활동과 개인정보 보호 자율규제 규약 제·개정, 개인정보 자율점검 및 컨설팅 등의 역할을 하게 된다.
또 자율규제단체로 지정됨에 따라 정부로부터 △개인정보 보호 전문 인력 파견, 자율점검 지원 △개인정보 보호 전문교육, 인식제고 교육 실시 △우수 자율규제단체와 개인정보처리자 장관 표창 △개인정보 관련 실태 점검 시 행정처분 유예 등의 지원을 받게 된다.
행정자치부는 내년에 개인정보보호 자율규제단체 지정제에 대한 법제화를 추진할 계획이라고 밝혔다.
이에 앞서 홍정용 대한병원협회장은 축사를 통해 “병원 의료정보화 발전 포럼은 의료정보와 관련된 정부기관, 병원 의료IT 전문가 등이 참여해 회원병원에 유익한 정보를 제공하는 명실상부한 병원 의료IT 관리 지침과 발전을 선도하는 지식공유의 장으로 자리매김했다”고 평가했다.
홍 회장은 이어 “이번 포럼은 보건의료 정보화 정책 및 현안, 의료정보 구축 사례 및 관리 방안 소개, 의료기관 정보보안 관리 및 최신 IT 솔루션 등을 공유해 의료정보를 관리하는 회원병원들이 최신 정보를 바탕으로 개선방안을 모색할 수 있도록 했다”고 소개하며 이 행사가 국내 병원계의 의료IT 기술 발전상을 확인하는 자리임과 동시에 병원협회도 포럼이 병원 의료IT 발전에 선도적 역할을 해나갈 수 있도록 적극적인 지원을 아끼지 않겠다고 강조했다.
이날 포럼에서는 또 미래창조과학부 사이버침해대응과 김기홍 사무관은 병원의 인증 준비 부담 등을 감안해 1년간 정보보호 관리체계(ISMS) 추가 인증기간을 부여하고 2017년 말까지 미인증에 따른 과태료 부과를 유예한다고 밝혔다.
김 사무관은 지난 6월 정보통신망법 개정에 따라 신규로 추가 의무대상이 된 연 매출액 1천500억원 이상 상급종합병원에 대한 ISMS 인증범위는 EMR, OCS, 병원 홈페이지 등이 될 것이라고 설명했다.
또 병원 ISMS 신규 의무대상 기관의 부담 완화를 위해 인증 수수료 등 비용 지원도 추진한다고 밝혔다.
2016년에 인증심사를 받는 경우 인증수수료 전액을 지원하고, 2017년에는 인증수수료 및 컨설팅비 일부를 지원하는 방안을 추진하겠다고 강조했다. 이를 위해 2017년도 정부 예산 확보를 위해 노력 중이며, 최종 확보 시에는 별도로 안내를 할 예정이라고 설명했다.
이와 함께 인증 범위 설정, 준비사항 점검, 심사 신청 등 인증 전 과정에 걸쳐 실무를 지원할 지원반을 구성해 운영하는 한편 병원 ISMS 인증 협의체를 구성해 운영할 계획이라고 덧붙였다.
김기홍 사무관은 ISMS 인증기준은 민간기업에만 적용 가능하고 병원에는 맞지 않는 것이 아니냐는 문의가 많은데, 모든 분야에 적용되는 범용기준이므로 병원에도 적용 가능하다고 답했다.
최초 심사 시 심사기간은 평균 5일 정도 현장 심사가 이뤄지며, 인증 준비를 위한 안내서, 세부점검항목, 신청 제출 서류 등을 홈페이지(http://isms.kisa.or.kr)에서 다운로드 가능하다고 소개했다.
이날 포럼에서 보건의료 정보화 현황조사 결과를 발표한 한국보건산업진흥원 박정선 팀장은 상급종합병원과 종합병원에는 정보화 담당 전담부서(직원)가 100% 구축돼 있지만 보건소(56.4%), 병원(30.8%), 약국(17.6%), 의원(8.1%) 순으로 보유 비율이 낮아지는 경향을 보였다고 발표했다.
현재 운영 중인 의료정보시스템으로는 ‘환자 관리 및 수납 시스템’이 85.7%로 가장 많았고, 이어 ‘처방전달시스템’이 79.2%, ‘전자의무기록시스템’이 71.3% 순으로 조사됐다.
또 의료정보시스템 장애 발생 시 해결방법으로는 65.4%가 외부에 요청해서 해결하고 있었고, 30.3%만이 자체 해결하고 있었다. 병원 규모별로는 상급종합병원의 경우 자체해결 비율이 81.6%, 종합병원이 56.8%로 나타났다.
의료정보시스템 서버 보관 장소로는 93.8%가 기관 내에 보관하고 있었으며 개발(또는 유지보수) 업체 2.3%, 기관 외 별도 장소(임대 등) 0.9%, 외부 IDC 0.8% 순이었다.
온·오프라인 의료기관 간 진료의뢰 참여 유무는 응답기관 전체의 68.9%가 참여하고 있다고 밝혔으며 기관 규모별로는 상급종합병원이 92.1%, 종합병원 79.7%, 병원 69.6%, 의원 69.5%, 보건소 53.2% 순으로 조사됐다.
진료 의뢰 시 정보 전달 방법으로는 진료의뢰서 의존도가 98.3%로 절대 다수를 차지했다. 다만 상급종합병원의 경우 웹기반 진료의뢰/회송 시스템으로 전달하는 비중이 45.7%로 상대적으로 비중이 높았다.
정보화 추진 및 관리를 위해 국가 지원이 가장 필요한 항목으로는 시스템 환경 구축을 위한 재정 지원 요구가 57.0%로 가장 높았고, 이어 필요한 소프트웨어 지원(50.9%), 정보관리비용 등을 수가에 반영(47.5%), 정보보호/보안에 대한 가이드라인 개발 보급(33.9%), 기술/교육지원 28.0% 순으로, 재정과 비용에 대한 요구도가 높게 나타났다.
이날 12시20분 진행된 기자간담회에서 신호철 대한병원협회 병원정보관리위원장(강북삼성병원장)은 “이번 행정자치부의 대한병원협회 개인정보 보호 자율규제단체 지정은 회원병원에 대한 서비스 차원에서 추진된 것”이라며 “만약 외부에서 회원병원에 대해 점검을 할 경우 발생할 수 있는 어려움은 예상하기 힘든 만큼 병원협회가 인력과 비용에 대한 부담이 있지만 회원병원을 위해 충실한 지원에 나설 계획”이라고 강조했다.
이날 포럼은 한근희 고려대 융합SW전문대학원 교수의 ‘정보보호 기술 최신 동향 및 사고 대응 방법’ 특강에 이어 △보건의료 정보화 정책 및 현안 △의료정보 시스템 구축 사례 및 관리 방안 소개 △의료기관 정보보안 관리 및 최신 IT 솔루션 소개 등 총 3부로 구분해 진행됐다.
1부에서는 △보건복지부 사이버안전 체계 확대·강화 계획(보건복지부 정보화담당관실 김동현 사무관) △개인정보보호 자율규제 단체(행정자치부 개인정보보호협력과 박종현 과장) △홈페이지를 통한 악성코드(랜섬웨어) 유포 사례 및 예방(KISA 인터넷침해대응센터 김홍석 선임연구원) △정보보호 관리체계(ISMS) 추진 방향(미래창조과학부 사이버침해대응과 김기홍 사무관) △정보 접근성 현황과 과제-병원 홈페이지 접근성 결과를 중심으로(미래창조과학부 정보활용지원팀 손창용 사무관) △보건의료 정보화 현황조사 결과(보건산업진흥원 박정선 팀장) 등의 주제발표가 진행됐다.
2부에서는 △의료기관 정보보호 관리체계(ISMS) 구축 및 인증 사례(롯데정보통신 보안팀 최승식 매니저) △차세대 시스템 소개(Smart HIS)(삼성서울병원 정보전략팀 최종수 팀장) △전자동의서 시스템 구축 소개(경상대병원 의무기록실 박상은 팀장) △효과적인 전자의무기록 관리 및 보존 방안-의료기록 관리를 위한 최적의 스토리지 시스템 구현 방안(한성SMB솔루션 이승준 이사), 효율적인 의료정보 시스템 및 데이터 관리 방안(에이치원 김세훈 차장)이 발표됐다.
3부에서는 △개인정보 보호를 위한 기술적 보호 방안-개인정보 통합관리 시스템과 최신 트렌드 소개(조은아이앤에스 백종일 이사), 효율적인 비정형(영상정보) 암호화 방안 소개(한컴시큐어 서원준 이사) △지속적인 랜섬웨어 위협으로부터의 대응 방안-솔루션 기반, 랜섬웨어 방어 기술(에스케이브로드밴드 최혁기 매니저), 지능형, 행위기반 랜섬웨어 차단/보안백업 투트랙 방어전략(이노티움 이형택 대표이사), 랜섬웨어 모니터링센터 소개(비트러스트 홍광석 이사) △병원 모바일 결제 시스템 소개 및 효과(데이타뱅크 마케팅부 권기욱 전무) △그룹웨어를 활용한 병원 IT활용 전략 소개(이유엔 조수민 대표) 등이 각각 발표됐다.
