의료정보보호 가이드라인 “필요하다” vs “현실성없다” 대립

병원협회, 현실성 없는 정책 지적

의료계의 정보보호가 취약해 찬바람만 불어도 감기에 걸리기 쉽상이다. 이에 보건복지가족부는 ‘의료기관 개인정보보호 가이드라인(안)’을 만들어 취약한 부분을 강화하려고 한다. 의료정보보호는 이미 오래전부터 이슈가 되어왔고 필요성이 제기되어 왔기 때문에 이번 공청회는 이에 대한 논란에 불을 붙이는 계기가 되었다.

이번 발표에서 정부가 제시하고 있는 500병상 이상 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인(안)’의 접근방향과 일방적 추진방법에 대해서 의료계가 이의를 제기하고 나섬에 따라 정부·의료계 간 의견조율이 필요할 것으로 보인다. 지난 1월 26일, 서울아산병원 대강당에서 개최된 ‘의료기관 개인정보보호 가이드라인(안) 공청회’에서 병원협회 전문위윈인 이경권 교수(분당서울대병원)는 “보건복지가족부가 제시하는 의료기관 개인정보보호 가이드라인은 기존의 의료법, 정통망법, 공공정보법 이외에 추가적으로 가이드라인을 만들어 오히려 의료기관에 대한 규제를 강화하게 될 것”이라며 “이러한 중요한 사안이 충분한 공감대 및 현장검증 없이 성급하게 추진해 의료기관에게 일방적으로 따르도록 하는데 문제가 있다”고 지적하고 나섰다.

의료기관 특수성 고려한 정책 필요

또한 이 교수는 “지난해 7월 정통망법 시행규칙이 개정되면서 의료기관이 준용사업자로 지정돼 의료기관의 특수성을 고려하지 않은 채 동의겿캇?등 의료기관 특성상 적용이 곤란한 조항 등으로 인해 많은 의료기관들이 혼란과 의료분쟁의 사유가 발생되고 있는 상황”이라며 “이런 측면에서 볼 때 ‘의료기관 개인정보보호 가이드라인’이 이러한 의료기관 적용에 문제가 되는 사안에 대해 명확한 지침을 제시해야 함에도 이를 다루지 않고 관리적 부문에서의 의료기관 정보보호 강화와 기술적겧갭??측면의 보안만을 강요하는 것은 문제가 있다”고 꼬집었다. 이어서 그는 “그간 논란이 되었던 광범위한 의미의 개인정보를 재정의해서 ‘의료기관이 개인정보보호 가이드라인’이라고 정의하고 있으나 이 가이드라인은 의료인과 의료기관 종사자가 진료과정에서 알게 된 의료정보, 즉 진료기록, 검사, 의학적소견서, 처방조제, 간호기록 등에 대해서 보다 안전하게 보호하고 관리·운영하도록 하기 위한 목적이므로 ‘의료기관 의료정보 보호 가이드라인’으로 용어를 명확히 해야 한다”고 말했다.

특히 이 교수는 관리적 측면에서 관련위원회 구성 및 운영, 보호 및 보안책임자(정규직 전임자) 임명, 방화벽 설치, 외부기관에 안전진단을 받도록 규정하는 것에 강하게 이의를 제기했다. 즉 병원계는 관련위원회를 구성하고 보호 및 보안책임자를 임명하려면 상당수의 의료기관에서는 새로운 조직구성과 인력충원이 불가피해 추가적인 인력채용 비용과 방화벽 설치 등의 물리적·기술적 보호조치를 해야 하는데 이를 위해서는 많게는 수억원의 비용이 발생하게 될 것이라고 주장했다.

또한 병원계는 외부 안전진단을 받도록 강제화하는 것에 대해서 정부가 외부진단 업체로 15명 이상의 기술인력을 보유한 외부안전 진단업체(법인)로 규정하는 것이 과연 타당한지 의문을 제시하면서 이는 정보보호 인프라가 구축되어 있지 않은 현 상황에서 의료기관에 과다한 부담만 될 뿐 외부업체에 안전진단을 받는 것은 무의미한 조치라고 말했다. 아울러 의료기관에서는 환자의 정보보호와 편의성을 제고하기 위해 전자의무기록시스템(EMR:Electronic Medical Record)을 도입ㆍ운영하고 있으나 오히려 이러한 규제로 인해 의료정보화정책에 역행하는 것이라고 주장했다.

의료기관의 개인정보보호의 중요성과 필요성에 대해서는 공감하나 의료현실을 전혀 고려하지 않고 일방적으로 추진하는 것은 바람직하지 않다고 지적하며 충분한 시간을 두고 의료기관이 개인정보보호 인프라 구축할 수 있도록 정부의 다양한 지원책을 요구했다.

가이드라인 적용 시점 유예기간 필요

반면 이날 공청회에 보안전문가로서 지정토론자로 나선 윤삼수 안철수연구소 팀장은 “법적 구속력보다는 의료계에서 정보보안에 대한 관심을 갖게 하는 계기가 될 수 있다는 점에서 가이드라인 자체는 긍정적인 측면이 있다”는 입장을 밝히기도 했다. 또 다른 병원협회 한 관계자는 “의료기관에서 정보보호 조치를 위해 새로운 인력 보강과 전담조직 구성은 많은 부담이 되는 현실에서 정보보호 투자에 대한 보상과 인센티브가 제시되어야 한다”며 “이 가이드라인의 정보보호 대상에 대한 정의를 개인정보에서 의료기관의 진료정보로 변경하는 것이 적절하고 세부적으로 정의하는 것보다 큰 틀에서 의료기관에 방향성을 제시하는 것이 바람직할 것이며 향후 U-health 등 차세대 의료산업에 대한 정보보호 지침도 고려하여야 할 것”이라고 밝혔다.

그는 또 “가이드라인에 대한 병원협회의 의견과 복지부의 관련 공청회 시 언급된 문제점 등을 면밀히 검토하고 반영하여 의료기관에서 실질적으로 도움이 되는 지침이 마련되기를 희망한다”고 덧붙였다.

아울러 의료현장의 한 관계자는 “의료기관별로 환경, 인프라, 조직 구성 등이 모두 상이하기 때문에 모든 의료기관을 정보보호 가이드라인의 지침에 따르도록 하는 것은 의료기관과 현업 담당자들에게 많은 부담이 되는 것이 사실”이라며 “포괄적인 지침에 따라 의료기관이 자율적으로 시행하여 점차적으로 정보보호 수준 격차를 줄이는 형태로 추진하는 것이 바람직할 것”이라고 말했다.

그리고 그는 전자의무기록시스템(EMR:Electronic Medical Record)이 미흡한 의료기관이 이 가이드라인을 따르기 위해서는 의료정보시스템을 도입해야 하는 등 비용적인 부담이 있어 단기간에 추진하기에는 무리가 있으며 가이드라인의 적용 시점에 충분한 유예기간을 두어 준비하는 것이 바람직하다고 강조했다. 한편 보건복지가족부는 향후 공청회에서 논의된 의견을 종합적으로 검토해 500병상 이상 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인’을 확정ㆍ배포한다는 계획이다.

<글 : 김태형 기자(is21@boannews.com) / 호애진 기자(is@boannews.com) / 김정완 기자(boan3@boannews.com)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>