보건복지부, 환자 개인정보 불법 처리사건 재발방지대책 발표
보건복지부(장관 문형표)는 검찰에서 발표한 “외주 전산업체의 의료기관, 약국 환자 개인정보 불법 처리사건”의 재발방지대책을 발표했다.
이번 사건은 검찰 수사에서 드러났듯이 의료기관과 약국의 전산시스템 구축, 유지보수 등의 업무를 하는 외주 전산업체가 환자 개인정보를 불법적으로 취득한 데에 주된 문제점이 있다고 보고, 이에 대한 대책을 집중적으로 추진할 계획이다.
◇외주 전산업체 긴급 특별점검 실시
개인정보보호법을 주관하는 행정자치부(장관 정종섭) 등 관계기관(한국인터넷진흥원, 건강보험심사평가원)과 함께 이번 사건으로 기소된 외주 전산업체(4개사)에 대해 긴급 특별점검을 실시한다.
해당 업체가 불법으로 취득한 환자 개인정보 파기여부를 확인하는 등 환자 의료정보 관리실태를 집중적으로 점검할 계획이다.
한편 2014년말부터 행정자치부는 보건복지부 등과 함께 의료분야 외주 전산업체 27개사에 대한 계도·점검을 실시해, 이들 전산업체가 수탁하는 의료기관과 약국(약 7만 개소)의 환자 의료정보 관리 실태를 개선 중에 있다.
◇건강보험 청구 관련 소프트웨어 관리 감독 강화
첫째, 건강보험 청구 관련 S/W 배포 유지보수 등을 하면서 의료기관, 약국의 환자 개인정보를 청구 이전에 불법 처리한 외주 전산업체(A사, D재단)의 청구 소프트웨어를 사용하지 못 하도록 할 계획이다.
의료기관, 약국의 환자 개인정보를 불법처리해 기소된 업체에 대한 강력한 행정제재조치를 내려, 추가적인 환자 개인정보 불법 처리가능성을 사전에 차단하고자 한다.
‘행정절차법’에서 정한 제재처분 사전예고 및 소명 등의 절차를 거쳐 일정한 기간 이후에는 해당 전산업체에서 배포한 청구 S/W는 사용하지 못 하도록 할 계획이다.
둘째, 일선 의료기관에서 사용하는 ‘건강보험 청구 사전검토 S/W’의 기능과 운영방식의 범위와 한계를 명확하게 설정하고, 건강보험심사평가원(원장 손명세, ‘심평원’)에서 사전검토 S/W별로 검사 인증과 사후 관리를 실시하는 제도를 마련할 계획이다.
셋째, 심평원에서 실시하는 청구 S/W 사전인증(검사) 및 사후검사항목에 개인정보 보안항목(암호화, 불법처리 방지 등)을 추가하여 환자 개인정보가 불법적으로 처리되지 않도록 관리 감독을 강화할 계획이다.
마지막으로 건강보험 청구 S/W와 사전검토 S/W를 사용하여 환자 개인정보를 불법 처리할 경우, 해당 S/W 인증 취소 및 일정기간 동안 재인증을 금지할 계획이다.
청구 S/W 보안성 강화와 사전검토 S/W에 대한 관리강화대책은 건강보험법령 및 하위 고시를 조속한 시일 내에 개정하여 추진한다.
◇의료기관과 약국의 개인정보 관리 강화
현행 개인정보보호법에 따라 의료기관과 약국에서 환자 개인정보를 보다 안전하게 관리할 수 있도록 자율점검 실시, 가이드라인 보완 및 정보보호 교육 강화 등을 추진한다.
각 의료인단체 등과 협의해 일선 의료기관과 약국이 환자개인정보 관리 실태를 자율적으로 점검·보완토록 하고(8월 중), 자율점검에 참여하지 않는 의료기관과 약국은 관계기관과 합동으로 현장 점검을 실시하여 보완을 요청할 계획이다.
한편 지난 2월부터 3월, 병원급 의료기관(약 500여개)은 행정자치부 주관으로 합동점검을 받은 상태다.
환자 개인정보를 적정하게 처리하지 않은 의료기관과 약국은 관련법에 따른 조치를 강구할 계획이다.
그리고 의료기관 등의 자율점검 결과를 제출받아 현장의 실태를 분석하여 필요한 개선방안을 마련하고자 한다.
‘개인정보보호 가이드라인’을 보완해 의료기관 등에서 손쉽게 개인정보보호법 등을 준수할 수 있도록 한다.
한편 의료인, 약사 보수교육과정에 정보보호 교육을 강화해 일선 의료인 등이 개인정보 보호의 중요성과 보호방법을 보다 잘 숙지하여 실천할 수 있도록 할 계획이다.
◇외주 전산업체에 대한 관리감독 강화방안 마련
의료기관과 약국의 전산시스템을 실질적으로 관리하는 외주 전산업체의 환자 개인정보 악용을 방지할 수 있는 제도를 새로이 마련하고자 한다.
먼저 의료기관과 약국의 전산시스템을 취급하는 외주 전산업체 등록제를 도입하여 관리 기반을 구축한다.
둘째, 의료기관과 약국용 정보시스템에 대하여 적격성 기준을 심사해 인증을 부여하고, 인증을 받은 제품만 사용하도록 한다. 적격성 기준은 기능성(제품이 갖춰야 할 기능과 정상 작동여부), 상호 운영성(시스템간 상호 호환성), 보안성(기술적, 관리적 보안성) 등이다.
셋째, 외주 전산업체가 의료기관, 약국 정보시스템에 접속한기록과 의료기관·약국에서 외부로 정보를 제공한 기록을 각각 작성, 보관토록 의무화해, 불법적인 정보 유출 제공을 쉽게 확인할 수 있도록 한다.
넷째, 등록업체와 인증제품에 대한 무작위 수시 점검체계(spot check)를 도입하고, 환자 개인정보를 불법 수집한 외주 전산업체 등에 대해서는 징벌적 과징금 등 엄격한 제재방안을 마련하고자 한다.
향후 ‘전문가 TF’를 구성 운영해 단계별로 외주 전산업체 관리 및 정보보호 강화를 위한 세부 실행방안을 구체화하고 환자 의료정보 보호 및 (외주)전산업체 관리에 필요한 사항은‘(가칭) 건강정보보호법’을 제정하여 추진할 계획이다.
한편 환자 개인정보의 굳건한 보호기반 위에서 꼭 필요한 정보화 서비스는 제도화해 국민의 편의를 높이면서 의료 IT서비스의 발전이 이루어지도록 지원할 계획이다.
★정보보안 대표 미디어 데일리시큐!★
< 데일리시큐 길민권 기자> mkgil@dailysecu.com