• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[의료보안-1]‘의료기관 개인정보보호 가이드라인’, 공개 임박 2010.03.05

4일, 복지부 장관 결재 완료돼...늦어도 다음주중 공개 예정  


<순서>

1. ‘의료기관 개인정보보호 가이드라인’, 공개·배포 임박

2. 대한병원협회의 입장

3. 보건복지가족부의 입장

4. 병원 실무자가 말하는 ‘의료기관 개인정보보호 가이드라인’

5. ‘의료기관 개인정보보호 가이드라인’으로 의료보안시장 얼마나 활성화될까!


보건복지가족부(장관 전재희)가 지난 1월 26일, ‘의료기관 개인정보보호 가이드라인(안)’ 공청회를 개최하고 협의체 운영 등을 통한 도출결과 등이 반영된 관리적·물리적·기술적 정보보호 가이드라인을 정리한 최종안이 4일, 전재희 복지부 장관 결재가 완료된 것으로 알려져 향후 이에 대한 대한병원협회 및 이 가이드라인에 해당하는 500병상 이상의 대형병원들의 반응에 귀추가 주목된다.


이에 따라 복지부는 늦어도 다음주 중으로는 장관 결재가 완료된 최종 자료를 공개·배포할 것으로 전망된다.


복지부는 지난해 9월 의료기관 정보보호가이드라인 수립 연구용역 사업을 시작으로 4개월여 동안 진행한 결과물과 함께 협의체 운영 등을 통한 도출결과 등이 반영된 관리적·물리적·기술적 정보보호 가이드라인(안)을 정리하고, 지난 1월 26일 최종 ‘의료기관 개인정보보호 가이드라인(안)’ 공청회를 개최한 바 있다. 하지만 이 ‘의료기관 개인정보보호 가이드라인’과 관련해 병원협회와의 마찰 등의 난항으로 인해 이 가이드라인의 발표가 늦어질 것이라는 예상과는 달리 복지부는 이를 강력하게 추진한 것.


그렇듯 현재 500병상 이상 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인’ 최종안의 공개·발표만을 남겨놓고 있는 시점에서 이 가이드라인이 담고 있는 내용은 무엇이며, 병원협회 등과의 마찰이 발생한 원인이 된 내용은 무엇인지를 우선 살펴보도록 한다.


‘의료기관 개인정보보호 가이드라인’의 목적

복지부는 이 가이드라인은 문서, 컴퓨터, 정보의 처리 또는 송수신 기능을 가진 이동식 기기 장치에 의해 의료기관에서 처리되는 진료와 관련된 개인정보의 보호 및 보안에 관한 사항을 정함으로써, 의료기관의 개인정보 처리 업무의 적정한 수행을 도와주고 국민의 권리를 보호함을 목적으로 한다고 설명하고 있다.


그에 따른 기본 원칙은 의료기관이 환자를 진료하는 과정에서 얻은 개인정보는 적절한 절차를 통해 보호 및 보안돼야 한다는 것과 환자의 진료 과정에서 얻어진 개인정보는 환자 본인의 진료 목적과 이에 수반되는 진료 지원업무에 사용돼야 한다는 것이다. 또한 환자 본인의 진료와 이에 필수적으로 수반되는 진료지원업무 외에 개인정보를 사용하기 위해서는 환자의 동의를 얻거나, 법률에 이를 허용하는 근거가 있어야 한다는 것이다.


특히 이 가이드라인은 의료기관이 개인정보를 처리하는데 있어서 ‘의료법’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정통망법’)’ 또는 ‘공공기관의 개인정보보호에 관한 법률(이하 ‘공공정보법’)’ 등의 법률 적용을 받는 경우에는 해당 법률, 시행령, 시행 규칙이 규정하는 바에 의해 적용 범위를 정하고 있다. 즉 서울대병원과 같이 공공의료기관이 적용받고 있는 공공정보법이나, 기타 민간의료기관이 정통망법에 따라 적용되고 있는 상황에서 이 가이드라인은 의료기관의 소관부처인 복지부가 이를 모두 아우르는 진료와 관련된 개인정보의 보호에 관한 사항을 정한다는 데 의의가 있는 것이다.


병원협회, 의료기관 현실 무시한 기술·물리적 정보보보호 가이드

지난 1월 26일 공청회 후 병원협회는 성명을 발표하면서 “의료기관의 개인정보보호의 중요성과 필요성에 대해서는 공감하지만 의료현실을 전혀 고려하지 않고 일반적으로 추진하는 것은 바람직하지 않다”고 지적했다.


그렇듯 병원협회가 강하게 반발·제기하고 있는 이 가이드라인의 내용은 개인정보관리책임자, 보호 및 보안 실무책임자를 두어야 한다는 것과 개인정보보호 감사 및 외부안전진단을 받아야 한다는 것 등이다.


그 내용을 상세히 살펴보면, ‘(500병상 이상)의료기관은 정보보호 및 보안 업무를 총괄 관리하고 시행할 수 있는 개인정보관리책임자를 지정해야 한다. 개인정보보호위원회 위원장은 개인정보관리책임자를 겸할 수 있다’는 것과 ‘의료기관은 개인정보보호위원회 규정에 의해 개인정보보호 및 보안관리 체계의 적합성 및 운용상황을 정기적으로 감사하거나 외부안전진단을 받아야 하고, 감사와 안전진단 결과에 따른 적정한 시정 조취를 취해야 한다’는 내용이 그것이다.


이에 병원협회 측은 개인정보관리책임자 1인을 두는 것이지만 1인 임명에 따른 비용은 단순히 거기에 그치는 것이 아니라는 것이다. 또한 외부 안전진단을 받도록 하는 부분은 국가기관에나 소용되는 것이지 민간에 이를 전가하는 것은 부담이 될 수밖에 없다는 입장이다.


아울러 이 가이드라인에는 ‘정보시스템의 운영 및 보안 관리’ 측면에서, ▲정보시스템의 도입 및 변경 관리 ▲네트워크 관리 ▲로그 관리 ▲정보유출방지 ▲백업 및 저장매체 관리 ▲사용자 인증 및 접근권한 관리 등의 내용들을 기술하고 있어 관련 보안시장 활성화에도 도움이 되는 측면이 있다.


한편 이와 관련 이어지는 기획기사를 통해서는 복지부 관계자와 병원협회 관계자를 비롯해 실제 병원 보안담당자 등을 직접 만나 이에 대한 이야기를 들어보는 한편 보안업체 담당자를 만나서는 보안시장 활성화 측면에서는 어느 정도의 파급력이 발생할 수 있을지 등에 대해 알아보도록 하겠다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>