• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

의료기관 개인정보보호 실태 집중 진단해보니... 2014.07.02

‘개인정보보호법’ 잘 알고 있는 의사 32%...나머지는 대충 알아

안전성 확보 조치 수행 병원은 60%, 의원은 29%로 미흡 


[보안뉴스 김태형] 우리나라 전 국민 의료보험 실시 이후 각 의료기관에 병원정보시스템이 도입되기 시작했다. 그러면서 많은 의료기관이 디지털화됐고 인터넷 및 웹 환경의 확대와 u-Health, smart-Health 등과 같은 IT 기술이 발전함에 따라 개인의료정보에 대한 접근성과 이동성은 더욱 편리해졌다.


이와 더불어 개인의료정보에 대한 유출이나 노출 위험도 점차 커지면서 개인의료정보보호에 대한 필요성도 부각되고 있다. 하지만 국내 병·의원의 개인정보보호에 대한 인식 및 보안 수준은 미흡한 편이다.


한국보건사회연구원에서 일반국민과 의사를 대상으로 한 개인의료정보 보호 인식현황 조사결과에 따르면, 개인정보보호법에 대해 ‘어느 정도 알고 있는’, 즉 보통 수준보다 많이 알고 있는 일반국민은 16.4%, 의사는 32.4%로 많은 이들이 개인정보보호법 내용에 대해 대충 알고 있거나 잘 알지 못하는 것으로 나타났다.


또 개인정보보호법 상의 개인정보의 안전성 확보조치 이행과 관련해서는 병원이 평균 60%, 의원은 29%로 나타나, 병원보다는 의원의 개인정보보호를 위한 안전성 확보가 미흡한 것으로 조사됐다.


이에 대해 한 종합병원의 보안담당자는 “그래도 의원급 보다는 대형종합병원의 상황이 나은 편이다. 우리 병원에서는 현재 일부 제한적으로 적용되기는 하지만, 화면캡처 방지, 인터넷 접속 차단, 로그기록 관리, 개인의료정보에 대한 접근 권한 부여 및 접속기록 관리 등의 사전 및 사후 개인정보보호를 위한 방안을 마련·운영하고 있다”고 설명했다.


그는 또 “현재 종합병원이나 국립병원의 보안담당자들은 개인정보보호 이슈로 매우 바쁘다. 특히 최근엔 보건복지부에서 병원의 개인정보관리수준 현황을 점검 중이며 개인정보영향평가도 진행하고 있다”고 밝혔다.


이러한 상황에서 병원의 보안담당자들은 의료기관에 보안전문 인력이나 조직이 없다는 점이 가장 힘들다고 토로한다. 특히 보안장비나 솔루션을 도입하다 보면, 의료진들은 진료 업무와 연구활동에 많은 불편을 준다는 이유를 들어 화면캡처나 인터넷 접속 차단을 풀어줄 것을 요구하기도 한다.


이처럼 정부정책이나 법·규제가 강화되는 부분은 환영하지만 이를 준수하기 위해서는 의료진과의 마찰이 불가피한 상황이라는 것. 이에 보안담당자들은 어쩔 수 없이 의료진과의 조율을 통해 일부 제한사항을 열어주어 진료시간이 지연되거나 환자의 대기시간이 길어지지 않도록 하고 있다.


하지만 이렇게 되면 보안의 홀이 생기고 이를 통한 보안 위협과 사고는 충분히 가능하기 때문에 사전 및 사후 보안조치가 적절히 운영되어야 한다.


이와 관련 한국보건사회연구원 정보기술융합센터 정영철 센터장은 “실제로 의료기관 현장에 가보면 대부분의 구성원들이 개인정보보호법의 내용을 잘 모른다. 또 개인정보보호가 무엇인지, 왜 보호해야 하는지를 전혀 모르기 때문에 의료기관 맞춤형 개인정보보호 교육이 필요하다”라고 말했다.


특히 한국인터넷진흥원(KISA)나 한국정보화진흥원(NIA)에서 진행하는 개인정보보호관련 교육은 의료기관의 특성에 맞는 교육이 아닌 일반적인 기업이나 기관에 해당하는 교육이기 때문에 의료기관에 맞는 개인정보보호 교육이 필요하다는 것.


또한 의료현실을 잘 아는 개인정보보호 전문가나 전문가 집단이 많지 않기 때무에 보건복지부 산하기관에 대해서는 개인정보 관리수준 등의 현황 조사나 점검이 이루어지지만 의원이나 민간병원은 순위에서 뒤로 밀려나 있어 제대로 관리되지 않고 있다.


보건복지부가 각 의료기관을 대상으로 개인정보 관리수준 현황조사와 규제를 통해 의료기관 전체의 개인정보보호 수준을 높여야 하는 것이 맞지만 현실은 그렇지 못하다는 것이다.


정영철 센터장은 “현재 한국보건사회연구원이 보건복지부의 개인정보통합관제센터를 위탁받아 운영하고 있다. 이는 보건복지부 산하 의료기관을 대상으로 진행되고 있다. 한국보건사회연구원은 이를 기반으로 현재 민간의료기관에 대한 개인정보보호 맞춤형 교육과 컨설팅을 진행하고 있다”고 덧붙였다.


이처럼 의료기관의 개인정보보호는 의료기관의 특성과 현실에 맞는 교육과 컨설팅을 통해 적절한 개인정보보호 시스템이 구축 및 운영되는 매우 중요하다. 또 의료기관은 개인의료정보 보호가 왜 중요하고 꼭 필요한 것인지 직원들에게 재인식시켜야 한다는 것. 단순한 법·규제 준수와 처벌을 피하기 위해서가 아니라 실제로 개인의 사생활 보호를 위해 반드시 필요하다는 점을 강조할 필요가 있다.      

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>