[청년의사 신문 양금덕] 약학정보원의 환자 정보 유출사건을 계기로 정부로부터 ‘개인정보보호’라는 본고사를 치르게 된 요양기관들이 바짝 긴장하고 있다.
하루 종일 건강보험심사평가원의 개인정보보호 자율점검 지원시스템을 붙잡고 씨름하며 답답한 마음을 토로하는 이가 있는가 하면, 행여나 교육을 받지 않거나 자율점검을 못하면 행정처분을 받을까 걱정하는 이들도 있다.
지난 24일 송파구민회관 대강당에는 심평원이 두 차례에 걸쳐 진행한 ‘요양기관 개인정보보호 자율점검 서비스’ 교육을 듣기 위해 1,200여명의 요양기관 관계자들이 모였다.
심평원이 일종의 예비고사 형태로, 개인정보보호 준수 여부를 요양기관 스스로 점검할 수 있도록 마련한 자율점검 지원시스템(SCSS, Self Check Support System)을 설명하고 참여 시 궁금한 점을 알려주기 위한 자리였다.
이날 심평원 정보기획실 조영래 차장은 “이번 자율점검 시스템은 신청하는 요양기관에 대해서만 점검을 지원하는 것으로, 의무사항은 아니다”라며 “많은 병원에 도움이 되길 바란다”고 했다.
심평원에 따르면, 이 자율점검 지원시스템은 두 가지 방식으로 운영된다.
먼저 의약단체와 심평원, 요양기관이 협업해서 자가 점검을 신청한 기관을 방문, 직접 점검하고 이행해주는 방법과 신청한 기관이 직접 자가점검을 할 수 있도록 지원하는 방법이다.
올해는 현장 방문 점검은 실시하지 않으며, 10월 말까지 신청한 기관에 대해 자율점검시스템을 이용할 수 있도록 안내하고 자가점검 결과를 심평원이 심의해서 이에 따른 점검확인서를 교부해 줄 예정이다.
주요 점검항목은 ▲개인정보의 처리(수집·이용·제공) ▲개인정보의 처리 제한 ▲개인정보의 안전한 관리 등으로 병원급 의료기관은 59개 항목, 한방병의원은 55개, 약국은 44개의 체크리스트로 구성돼 있다.
특히 개인정보의 안전한 관리 분야 중 내부관리계획 수립은 소상공인이나 5인 미만 업체나 기관의 경우 필수 항목은 아니지만 그 외 점검 항목이 대다수 포함돼 있는 만큼 관리가 필요하다.
송규섭 과장은 “소규모 의료기관은 내부관리계획을 수립할 필요는 없지만 안전한 비밀번호 작성이나 개인정보 암호화, 접속기록 보관 등 세부 점검항목은 관리해야 한다”고 설명했다.
이어 송 과장은 “이번 자율점검시스템에 담긴 점검 항목은 보건복지부와 행정자치부가 올해 2월에 발표한 180페이지 분량의 ‘개인정보보호 가이드라인’에 기초해 만들었다”면서도 “이 내용을 정독하면 자가점검 하는데 크게 불편한 점은 없을 것”이라고 설명했다.
하지만, 이 자율점검을 받더라도 행정자치부 등 정부의 각종 조사에서 행정처분 방지가 보장되지는 않는다. 현장 조사에서 관리부실 문제가 드러날 경우 그에 따른 책임을 면하기는 어려운 만큼 이를 대비해 미리 관리를 하자는 차원의 지원인 셈이다.
특히 심평원은 최근 개인정보보호에 대한 사회적 관심이 높아진 만큼 이를 악용하려는 불법 행위도 포착되고 있어 주의를 당부했다.
최근 복지부와 심평원을 사칭해 요양기관을 직접 방문해 개인정보보호에 대해 설명해주겠다는 이들이 나타나고 있는 것.
송 과장은 “2015년 자율점검은 요양기관 내에서 실시하고 심평원이 재점검을 하는 것으로 직접 방문하는 경우는 없다”면서 “일부 심평원을 사칭해 수익을 노리고 접근하는 업체일 가능성이 있다. 이같은 민원이 실제 심평원에 접수되고 있는 만큼 주의하라”고 당부했다.
“병원 한 곳당 작성하는데 16시간 넘게 걸려”
이날 설명회는 한 시간이 넘도록 이어졌지만 이를 들은 요양기관 관계자들은 어리둥절해 했다.
교육이나 자가점검이 의무는 아니라지만 여전히 미참여시 불이익 등이 우려되는 데다 실질적으로 일선 의원이나 약국에서 참여하기에도 한계가 있기 때문이다.
한 병원 관계자는 “이번 개인정보보호 자율점검이 부실하면 행정자치부에서 조사가 나올거라며 꼭 참석하라는 말을 듣고 왔는데, 정작 들어보니 자율점검과 현장조사는 다른 시스템이더라. 점검 받으면 무엇이 달라지냐”고 물었다.
또다른 병원 관계자도 “자율점검 신청을 하지 않으면 어떠한 불이익이 있냐”면서 “이렇게 복잡한 점검 안을 제시한 담당 부서는 도대체 어디냐”고 쏘아붙였다.
이에 심평원은 “교육 참석여부 등은 불이익과 상관없으며, 심평원은 복지부의 요청에 따라 요양기관이 개인정보 관리가 잘되는지 점검할 수 있도록 심평원 시스템을 활용해 지원하는 것”이라고 설명했다.
또한 “자가점검을 한 요양기관에 대해서는 명단을 복지부에 전달하지만 그 명단을 복지부와 행정자치부가 현장조사에서 어느 정도 인정하거나 반영할지에 대해서는 모르겠다”고 전했다.
그러자 한 병원장은 “병원 한곳에서 자율점검 항목을 체크하고 입력하는데 얼마의 시간이 걸리는지 알고는 있냐”면서 “나 또한 18시간 이상 하다가 열이 받아서 이 자리에 왔다”고 불만을 토했다.
다른 병원 관계자도 “우리 병원은 서버관리를 외주에 맡기는데도 심평원 홈페이지를 이용하다보면 다운되는 경우가 있다”면서 “일선 약국과 의원의 경우 단시간에 전산 입력하는게 상당히 곤란할 것이다. 요양기관 종별로 분리해 점검하거나 단계적으로 시행해야한다”고 지적했다.
그 외에도 자율점검 기간을 늘리고 심평원 홈페이지에 질의응답이나 우수 사례 등을 게재해 요양기관에서 참고할 수 있도록 해달라는 주문도 있었다.
이에 대해 심평원은 “현재 9,000여개 요양기관이 자율점검서비스를 신청한 상태로 일차적으로는 10월말까지 점검해 준 데이터를 점검할 예정이며 9월 중에도 추가 설명회를 갖는 등 지속적으로 개인정보보호에 대한 정보를 주고 사례도 공지하겠다”고 말했다.