개인정보를 처리하는 약 350만개(금융, 정보통신, 의료 등) 조직이 2011년 9월 30일부터 개인정보보호법의 범주에 포함되면서 의료기관도 의무적으로 개인정보보호법의 적용을 받게 됐다.
개인정보보호법, 정보통신망법 등으로부터 사각지대에 놓여 있었던 의료기관은 앞으로 시행될 법적 요건을 충족하기 위한 의료정보관리나 기술적 보호대책 마련에 비상이 걸렸다.
이에 대한의무기록협회(회장 부유경)는 지난 15일 국립중앙박물관에서 ‘2011년도 상반기 의무기록실·과장 및 교수 워크샵’을 열고 개인정보보호의 실행사례, 의료기관 개인정보보호법 적용 논점과 대응책 등을 논의했다.
◆ 정보는 뒹구는데, 담당자는 없다?
개인정보보호법 제31조에 의해 앞으로 의료기관은 ‘개인정보관리 책임자’를 반드시 지정해야 한다. 이에 따라 개인건강정보를 담당하는 조직(개인정보보호위원회)도 별도의 구성이 필요한 상태다.
병원에는 기획실, 의무기록과, 전산과, 심사과, 보험과 등 부서가 있지만 실제 ‘개인정보보호 관련 조직구성 및 책임자’를 지정해야 할 담당영역이 명확하지 않은 상황이다.
실제로 ‘의료기관의 개인건강정보 보호 실태와 관리방안’에 대한 논문(충남대 조혜경 박사)을 살펴보면, 의료기관에 개인건강정보보호 정책을 수립하는 위원회가 없거나 문서상으로만 존재하는 의료기관은 조사대상의 52.5%, 위원회가 있고 활동이 활발한 의료기관은 11.3%를 차지했다.
즉 절반 이상의 의료기관이 현재 운영되는 별도의 기관이나 위원회가 없음을 알 수 있다.
위원회가 없는 의료기관은 대개 개인건강정보보호 정책을 검토하는 담당부서가 없거나, 문제가 생길 경우 관련부서가 ‘정리’하는 선에서 그치는 것으로 나타났다.
이날 워크숍에서 이희원 과장(동아대학교의료원 의무기록과장)은 “개인정보보호위원에 대한 책임부서를 지정하고 역할 구분도 명확해야 한다”며 “위원회를 구성할 때 환자정보만 관리,담당하는 책임자를 중심으로 환자정보보호 실무자와 환자정보보안 실무자를 따로 배치해 환자정보를 취급해야 한다”고 제안했다.
◆ 업무용·개인용 기기망의 분리사용, 과연 가능한가
개인정보를 안전하게 보호하기 위해서는 의료정보가 기록되는 기기관리가 필수다. 개인정보보호법이 적용될 경우 각 부서에 분담된 컴퓨터만으로 방대한 정보를 관리하기에는 다소 무리가 있다는 게 전문가들의 지적이다.
김옥남 소장(대한의무기록협회 보건의료정보연구소)은 “접근통제, 데이터마스킹, 데이터암호화 등이 요구되는 기술적 분리뿐 아니라 사용자에 대한 지속적인 교육과 홍보, 범칙자에 대한 지속적인 제재, 변화에 대응한 법 규정 등 의료정보 관련 시스템의 전반적인 정비가 요구된다”고 주장했다.
실제 ‘개인정보보호법시행령 제33조2항2’에 따르면 개인정보에 대한 접근권한을 확인하기 위한 식별 및 인증조치를 의무화하고 있다. 따라서 병원은 I-PIN 등 고유식별번호 외 인증수단 등을 통해 기술적인 보호대책을 마련해야 한다.
이같이 법률의 적용을 받아 기술적 조치를 이뤄야 할 부분은 총 11항목 이상이 될 것으로 보인다. 하지만 기술 구현을 이루기 위해서는 시간부족과 과도한 비용문제가 뒤따를 것이라는 게 병원측의 입장이다.
◆ 상황 이런데, 치과계는?
대형병원과 종합병원의 경우 대부분 의무기록사를 고용해 환자질병과 관계된 진단이나 치료를 시행한 모든 문서를 기록 및 관리하고 있다. 그러나 소수인력으로 운영되는 개인병원의 경우 의무기록사를 거의 고용하지 않는데다 관리적 보호조치에 대한 인식도 미흡한 실정이다.
대한치과병원협회 관계자는 “치과병원은 개인정보보호에 대한 내용파악이 안되는 것으로 안다”며 “실제 대형병원과 치과병원의(개인정보보호시스템 운영) 현실적인 차이는 어쩔 수 없다”고 말했다.
그는 이어 “그나마 대형병원은 치과병원을 운영하고 있기 때문에 치과병원의 환자의료정보는 대형병원의 큰 매뉴얼과 함께 움직인다”며 “소형병원의 경우 방법이 딱히 없거나 어려운 상황일 것”이라고 전했다.
이정화 의무기록사(연세대학교 치과대학병원)는 덴탈투데이와의 전화인터뷰에서 “의료법은 병원이 환자의 정보를 수집하도록 돼 있다. 의사는 환자의 상태를 정밀히 진단해 진료정보를 만들지만 정보보호에는 크게 신경을 쓰지 못하고 있는 상황인 것 같다”고 말했다.
그는 이어 “9월 30일 개인정보보호법이 의료기관에 적용되는 것에 대비해 치과병원에서도 대책이 필요할 것 같아 치병협에 대책마련에 대한 의견을 비쳤으나 묵묵부답이었다”고 토로했다.
<개인정보보호 기술적 대책>
|
|
법률적 근거(개인정보보호법 시행령) |
기술적 보호대책 |
|
필수 |
령33조2항1:개인정보에 대한 접근권한의 제한 및 관리조치 |
접근권한관리 |
|
령33조2항2:개인정보에 대한 접근권한을 확인하기 위한 식별 및 인증조치 |
I-PIN 등 고유식별번호 외 인증수단 |
|
|
령33조2항3:개인정보에 대한 권한없는 접근을 차단하기 위한 시스템 설치 등 조치 |
네트워크 접근통제/보호 솔루션-방화벽, 침임탐지시스템, VPN(선택/외부자 접근), 망분리/NAC |
|
|
령33조2항4:개인정보가 안전하게 저장·전송 될수 있도록 하기 위한 암호화 등 조치 |
개인정보 전송관리시스템 |
|
|
령33조2항5:접속기록의 보관 및 위조 변조방지를 위한 조치 |
로그 수집 및 위·변조방지솔루션 |
|
|
령33조2항6:보안프로그램의 설치 및 주기적 갱신 점검조치 |
패치관리시스템(PMS)PC매체제어 및 백신 프로그램 |
|
|
령33조3항:개인정보처리자는 법 제29조에 따라 개인정보의 안전보관을 위한 출입통제, 잠금장치 등의 조치를 하여야 함 |
SOC 또는 물리보안 영역 |
|
|
법제21조:개인정보의 파기 |
영구삭제(S/W, H/W파쇄기) 솔루션 |
|
|
령25조:고유식별정보의 안정성 확보조치 |
암호화(DRM/DB, file암호화)솔루션 |
|
|
선택 |
령33조2항2:개인정보에 대한 접근권한을 확인하기 위한 식별 및 인증조치 |
개인정보식별시스템 |
|
령33조2항4 및 22조 2항 6 |
개인정보유출차단시스템(DLP) |
-실시간 치과전문지 덴탈투데이-
