치료 게을리 하면 더 큰 병 유발할 수 있다

지금까지 의료정보보안에 대한 증상을 살피고 진단해본 결과 적극적인 치료와 대대적인 수술이 불가피할 것으로 보인다. 의료계는 보건복지부가 추진중인 ┖의료기관 개인정보보호 가이드라인(안)┖ 마련 도입에 대해 투자비용 부담이 크고 구체적인 지침이 부재하다는 이유로 강하게 반발하고 있는 가운데 보안 업계에서는 정보보호의 기밀성, 무결성, 가용성 관점에서 건강정보보호법 제정 및 운영은 중요하다는 데 의견을 모으고 있으며 향후 의료 보안 시장이 점차 확대될 것으로 전망하고 있다.

보건복지가족부가 발표한 ‘의료기관의 개인정보보호 가이드라인(안)’은 문서, 컴퓨터, 정보의 처리 또는 송수신 기능을 가진 이동식 기기 장치에 의해 의료기관에서 처리되는 진료와 관련된 개인정보의 보호 및 보안에 관한 사항을 정함으로써 의료기관의 개인정보 처리 업무의 적정한 수행을 도와주고 국민의 권리를 보호하기 위해 마련된 것이다.

아울러 의료기관이 환자를 진료하는 과정에서 얻은 개인정보는 적절한 절차를 통해 보호 및 보안돼야 하며 환자의 진료 과정에서 얻어진 개인정보는 환자 본인의 진료 목적과 이에 수반되는 진료 지원 업무에 사용돼야 하고 환자 본인의 진료와 이에 필수적으로 수반되는 진료지원업무 외에 개인정보를 사용하기 위해서는 환자의 동의를 얻거나 법률에 이를 허용하는 근거가 있어야 한다는 것을 기본 원칙으로 하고 있다.

의료정보 특수성에 따른 법 제정 필요

의료 개인정보는 의료정보취급기관, 보험자, 고용주, 법집행기관 등의 다양한 이용자에 의해 접근되는 민감하면서 특수한 정보이다. 개인의 사생활면에서도 개인의 가족사항, 유전적 특징, 병력, 약물 중독 내용, 성병 등이나 개인의 신분관계, 재산 관계, 가족관계, 사회생활, 성생활, 성품, 습관 등 정보유출로 인한 피해가 매우 크다.

이성호 인포섹 융합컨설팅 사업본부 지식컨설팅담당 수석은 “정보보호의 기밀성, 무결성, 가용성 관점에서 건강정보보호법 제정 및 운영은 중요하다”며 “첫째, 기밀성 관점에서 볼 때 환자 개인의 의료 및 신상 정보가 유출되었을 경우, 상업적 마케팅(보험, 의료 관련 사업 등) 악용뿐만 아니라 심각한 사생활(민감한 의료정보 노출 등) 침해가 예상된다”고 말했다. 그는 또 “둘째로 무결성 관점에서 볼 때 환자의 의료정보가 비인가 및 오류에 의한 변조가 됐을 경우 환자의 생명에 심각한 영향을 미칠 뿐만 아니라 오용(의료기관간 변조된 환자의 의료정보 공유)으로 인한 문제점도 심각하리라 예상되고 셋째, 가용성 관점에서 볼 때 환자의 의료 정보가 지속적으로 활용되지 않았을 경우 환자의 생명에 심각한 영향을 미칠 것”이라고 강조했다.

이소영 법무법인 지평지성의 변호사는 “의료기관은 정통망법 개정안 및 의료 관계법에 의거한 개인정보보호의무 이행 규정을 숙지하고 민형사항의 처벌 규정에 따라 처벌 받는 일이 없도록 주의해야 한다”면서 “현재 개인건강정보보호법안이 3개 정도 발의됐는데 이는 정통망법 준용사업자의 개인정보보호 의무에 관한 법률과 기본 틀은 비슷할 것으로 예상되기 때문에 잘 알고 대비해야 한다”고 말했다.

또한 그는 이러한 규정을 지키지 않고 민사소송이 발생되거나 처벌을 받게 되면 해당 의료기관의 대외적 신임도를 떨어뜨릴 수 있으며 이에 따라 의료기관은 환자들에게 포괄적인 개인정보보호에 관련한 동의서 또는 동의를 받아야 하는 등의 방침을 정해야 한다고 밝혔다.

그러나 의료 개인정보는 일반적인 개인정보뿐만 아니라 전문가의 소견 등 생성된 개인정보이기 때문에 특수성이 존재한다. 외국의 경우 특수법이나 지침을 통해 의료 개인정보가 보호되고 있지만 우리나라의 경우 일반 정보통신사업자들과 동일한 보호가 이뤄지기 때문에 여러 가지 다양한 문제가 나타날 수 있다.

특히 우리나라의 경우, 전국 대학병원 등 대형 의료기관은 공공기관의 개인정보보호에 관한 법률에 의해 관리되고 있고 나머지 소규모 병원은 정보통신망법에 의해 관리되고 있다. 하지만 의료 개인정보만의 특수성이 고려되지 않아 환자개인정보관리에 대한 논란은 계속되고 있다.  

기술적ㆍ관리적 개인정보보호체계 수립

대형 병원은 하루에도 수백에서 수천명의 환자들이 입원과 수술, 진찰을 반복하는 유동인구가 많은 곳이다. 더욱이 어떤 산업분야보다 개인 보안이 중요시되는 진찰기록들이 보관되어있는 특수한 곳으로 분류돼 시스템 관리를 철저히 하고 있다. 하지만 그 중요성에 비례하지 못하고 있는 것이 현재 병원들의 현실이다. 막대한 진료데이터들과 방사선 그림 데이터들을 한꺼번에 전산화 하는 작업이 쉽지 않기 때문이다. 또한 의사들 및 관계자들의 협조부분이 상당수 차지하는 만큼 오랜 시간에 걸쳐 보안 정책을 적용시킬 수 밖에 없다는 것이 일반적인 견해다.

최승수 법무법인 지평지성의 변호사는 “의료기관이 정통망법상 준용사업자로 편입됨에 따라 의료기관은 지금까지와는 차원이 다른 개인정보보호대책을 세워야 한다. 의료기관이 보유하고 있는 개인의료정보는 매우 민감한 정보들로 유출될 경우 의료기관의 신뢰는 회복할 수 없는 수준으로 떨어질 수 있으며 사회적 파장도 감수해야 한다”며 “의료기관은 보다 적극적인 자세로 개인정보보호에 나설 필요가 있다”고 말했다.

김형준 안철수연구소 컨설팅 팀장은 “의료 기관은 우선 개인정보 관리 책임자의 실질적인 활동과 지원이 이뤄지는 가운데 현황을 분석하고 개인정보 체계를 수립하고 개인정보 수준을 평가, 법적 요구사항 분석, 이행 계획 수립 및 구현을 통해 개인정보보호 체계를 구축해야 한다”고 밝혔다.

이성호 인포섹 융합컨설팅 사업본부 지식컨설팅담당 수석은 “개인정보보호를 위해 의료기관은 의료정보보호 관리체계 및 기술적 보호체계를 단계적으로 수립해야 한다”며 “우선적으로 의료기관내 의료정보의 흐름을 정확히 파악하고 흐름 내의 보안 위험을 도출, 보안 위험을 제거하고 의료정보보호의 기획 및 운영을 주도할 수 있는 조직을 구성하거나 혹은 담당자 지정,  의료정보보호 활동의 기준이 될 수 있는 규정 및 지침 체계 수립, 보안 위험을 제거할 수 있는 보안시스템을 단계적으로 도입 및 구축, 지속적으로 의료 정보보호 활동을 유지 및 확대하고 의식을 제고할 수 있는 점검 및 교육을 정기적으로 실시 등 5단계를 거쳐야 한다”고 조언했다.

그는 또 “기존에 의료기관의 개인정보보호는 무결성 관점에서 의료정보의 비인가 변조에 중점을 두고 있었으나 현재와 향후 미래에는 개인정보 유출 및 가용성에 중점을 두고 개인정보보호를 준비해야 할 것”이라며 “의료정보를 공유하거나 원격 및 웹 접근의 의료정보시스템을 활용하는 서비스가 급진적으로 확대될 것으로 예상되기 때문”이라고 덧붙였다.

의료정보보호의 현실적인 대안, 의료정보보호 국제표준 ‘ISO 27799’

개인의 의료정보는 여러 가지 개인정보의 유형 중에서도 가장 민감한 정보라 할 수 있는 만큼 의료분야에서 개인의 의료정보에 대한 기밀성겧グ消틒가용성을 보장하는 것은 매우 중요하므로 특별한 관리가 필요하다. 의료서비스를 제공하는데 있어서 인터넷과 무선통신 기술의 사용이 증가하고 의료기관 대부분이 개인병원으로 운영되거나 규모가 작아서 정보보안을 관리할 전담인원이 부족한 상황이므로 명확하고 간결한, 의료기관의 특성에 맞는 지침서가 필요한 것이다.

그런 측면에서 지난달 19일 BSI코리아(대표 천정기) 주최로 개최된 ‘개인정보경영시스템(PIMS) 글로벌 표준 BS 10012 런칭 세미나’에서 소개된 ‘의료정보보호 국제표준(ISO 27799)’이 그러한 지침서가 될 수 있겠다. ISO 27799는 의료분야의 특수성을 고려해 의료환경에 적합한 ISO 27002를 적용하도록 할 뿐만 아니라 의료기관이 의료정보의 기밀성, 무결성, 가용성이 유지된다는 것을 보장하고 중요한 의료정보시스템이 이용가능하며 의료정보에 대한 책임추적성을 확보해 준다.

함병철 BSI코리아 심사원은 “여러 의료기관에서 표준에 따라 ISMS를 구축하게 되면 의료서비스를 제공하는데 있어서 의료기관 간의 상호 작용을 돕고 새로운 협업 기술의 안전한 적용을 가능하게 해준다”며 “안전하고 프라이버시가 보호되는 정보 공유는 의료서비스의 엄청난 발전을 가능하게 해주고 의료기관은 수많은 의료사고를 줄이는 것을 기대할 수 있으며 자원을 효과적으로 활용할 수 있도록 해주는 등 임직원의 도덕성을 향상시키고 의료정보를 다루는 시스템에 대한 대중의 신뢰를 높일 수 있다”고 ISO 27799의 이점을 설명했다.

특히 그는 “최근 정부에서 해외 환자의 유치에 적극적으로 나서고 있으며 의료분야에서 U-헬스케어나 원격진료가 중요한 이슈로 대두되고 있는 상황”이라며 “의료분야에서의 정보보호는 필수적인 요소로 ‘BS 10012’나 ‘ISO 27799’가 안전하고 신뢰할 수 있는 의료정보보호 환경을 만드는데 도움이 될 뿐만 아니라 그에 따라 실질적으로도 의료기관에 도움이 되는 만큼 이를 적극적으로 활용할 수 있기를 기대해 본다”고 강조했다.

<글 : 김태형 기자(is21@boannews.com) / 호애진 기자(is@boannews.com) / 김정완 기자(boan3@boannews.com)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>