1천만건 이상의 개인정보가 유출된 온라인 쇼핑몰 인터파크가 정부로부터 약 45억원의 과징금 부과 처분을 받았다. 개인정보를 부실하게 관리한 기업에게 물리는 과징금으로는 역대 최대 금액이다. 개인정보보호 처리자나 담당자들에게 개인정보보호에 대해 다시 한 번 생각하게 하는 계기가 되고 있다.

최근 의료분야에 대한 보안위협은 지속적으로 증가하고 있다. 미국 신분도용범죄정보센터(ITRC: Identity Theft Resource Center)에 따르면 2016년 올해 미국에서 발생한 총 980건의 개인정보 유출 사건 가운데 355건(36.2%)이 메디컬·헬스케어 분야에서 발생한 것으로 나타났다. 발생 건수 기준으로는 일반 비즈니스 분야에 이어 두 번째이지만, 유출된 개인정보 건수 기준에서는 메디컬·헬스케어 분야가 가장 많았다.

ITRC에서 2005년부터 개인정보 유출 사건을 장기적으로 분석한 결과, 2005년부터 2011년까지는 메디컬·헬스케어 분야의 발생 건수는 약 10~24% 정도에 머물렀으나 2012년 이후부터는 30~44%를 웃돌아 최근 메디컬·헬스케어 분야에서의 개인정보가 해커로 부터의 주요 타겟이 되고 있고, 관리 부주의에 의한 유출 사고도 증가하는 추세라고 볼 수 있다.

국내에서도 정부차원에서 2015년도에 의료분야 개인정보 관리실태를 점검한 결과, EMR(진료기록관리), OCS(처방전달시스템), PACS(영상정보시스템), 보험심사청구시스템 등에 대한 접근권한 관리, 접속기록 관리, 전송구간 암호화 관리 등이 미흡한 것으로 나타났다. 뿐만 아니라 의료정보 업체에서 환자의 건강정보를 기본적인 목적과 다르게 이용하는 경우도 발생되어 개인정보보호에 대해 다시 한 번 되돌아 볼 필요가 있다고 판단된다.

환자 진료정보 등 민감한 개인정보를 다루는 의료분야는 침해사고 발생 시 대규모 피해 발생이 우려된다. 특히 의료기관에서의 개인정보 유출 사고는 국민들에게 심각한 정신적 충격도 안겨 줄 수 있다.

정부에서도 이러한 심각성에 대비하여 보건의료 분야 전반의 정보보호 수준을 제고하고자 정보보호 관리체계 인증 대상자의 범위에 연간 매출액 또는 세입이 1,500억원 이상인 상급종합병원을 포함하였다. 병원 등 의료기관들이 국민들의 민감한 건강정보를 안전하게 관리하기 위해서는 아래의 사항들을 고려할 필요가 있다.

첫째, 적정 인력의 확보이다. EMR, OCS 시스템 등을 통해 수집, 저장 및 관리, 제3자 제공 및 이용, 그리고 파기되는 개인정보를 생명주기에 따라 전반적으로 관리하기 위해서는 개인정보보호 관련 지식과 전문성을 갖춘 인력의 확보가 필요하다.

의료법 뿐만 아니라 개인정보보호법을 이해하고 기술적 보호조치를 할 수 있는 인력의 확보는 효율적인 개인정보보호의 첫 걸음이라 할 수 있다. 개인정보보호 담당자가 개인정보보호 업무 외에 다른 업무를 병행하면서 종종 개인정보 관리에 소홀해지는 경우도 발생하기도 한다. 상급종합병원 기준으로는 개인정보보호 업무를 전담으로 하는 인력을 확보함으로써 체계적인 관리를 할 필요가 있다.

둘째, 개인정보보호 업무 관련 부서별 역할과 책임을 명시화해야 한다. 개인정보보호 담당자가 정해졌다고 담당자가 개인정보보호 관련 모든 업무들을 다 하는 것은 불가능하다. 담당자는 개인정보보호 관련 계획을 수립하고 지침과 기준을 만드는 일, 점검하고 확인하는 일에 초점을 맞출 필요가 있다.

계획에 따라 개인정보보호 업무를 이행하고 결과를 제출하는 일들은 개별 부서의 역할로 업무분장에 명시화해야 직원들 모두가 개인정보보호 활동에 참여할 수 있다. 개인정보보호 담당자로 하여금 계획을 수립하고, 제출된 결과를 점검하고 확인하는 일에 집중하게 함으로써 Plan(계획)-Do(이행)-Check(확인)-Act(개선) 과정이 원활하게 작동되도록 해야 한다.

셋째, 지속적인 관리이다. 인증을 받기 위해 또는 검사를 받기 위해 단발적인 조치에 그치는 것은 일시적인 수준이 올라가는 것 밖에 되지 않는다. 무인단말기 같은 새로운 시스템이 도입되면 새로운 접속장치, 즉 들어오고 나가는 문이 만들어 지는 것이고, 새로운 직원들이 입사한다는 것은 문을 관리하는 사람도 많아지는 것이다.

또한 문을 통해 오고 가는 정보를 관리하는 사람도 많아지는 것이다. 시스템에 대해서도 지속적으로 개인정보보호에 대한 룰을 적용해야 하고, 직원에 대해서도 지속적인 교육과 훈련을 통해 인식을 제고시키는 과정은 개인정보보호 수준을 향상시키는 데 반드시 필요한 과정이다.

넷째, 개인정보보호 관련 정보공유 커뮤니티 참여 활성화도 필요하다. 집단지성(the wisdom of crowds)은 다수의 개체들이 서로 협력하거나 경쟁하는 과정을 통하여 단일 개체의 지적 능력을 뛰어 넘는 힘을 발휘한다는 개념이다. 개인정보보호도 마찬가지다. 최신 메디컬·헬스케어 분야에서의 위협 동향이나 공격기법 등에 대한 정보를 CPO 포럼이나 다양한 정보공유 커뮤니티 활동을 통해 공유해 나가면, 단일 조직이 대응하는 것 보다 훨씬 효율적으로 대응해 나갈 수 있다.

건강정보는 쇼핑정보에 비교할 수 없을 정도로 아주 민감하고 중요한 정보이다. 의료기관에 대한 국민의 신뢰는 진료 서비스 만족 뿐만 아니라 건강정보의 안전한 관리도 포함된다. 새해에는 의료기관의 진료서비스 수준이 나날이 발전하는 것 처럼 개인정보보호 수준도 한층 더 강화되길 기대한다.