7월부터 실시되는 개인정보보호 자율점검이란?

심평원 정보기획실 박근석 차장 인터뷰





7월부터 한의협 등 의약 5단체와 심평원이 의료기관 개인정보보호 자율점검에 나설 예정(본지 6월 29일자 18면 보도)인 가운데 의료기관 개인정보보호 자율점검과 한의의료기관에서 숙지해야 할 개인정보보호 사항에 대해 심평원에서 요양기관정보화지원 업무를 맡고 있는 정보기획실 정보화지원부 박근석 차장에게 들어본다.



박근석 차장은 지난 1988년 심평원 입사 이래로 대국민 포털서비스 개발 및 운영, 진료비청구포철서비스 및 요양기관업무포털서비스 등 요양기관정보화지원 등의 업무를 추진해오고 있다.



최근 의료기관에서 개인정보보호 중요성이 커지고 있는데, 그 이유는?



매년 의료기관의 진료정보가 유출되는 등 해커들의 진료정보에 대한 해킹이 빈번하게 이루어지고 있다. 이는 개인의 진료정보 가치가 그 만큼 높다는 반증이며, 개인의 프라이버시 침해 우려가 크므로 개인정보보호를 위해 반드시 개인정보보호법을 준수해야 한다.



심평원과 의료기관은 국민의 진료정보가 민감정보에 해당하므로 개인정보보호법(제23조, 제24조)에 따라 주민번호는 반드시 암호화해야 하는 등 개인정보보호를 위한 안전조치의무(제29조)조항이 있다.



이번에 한의협 등 5개 의약단체와 공동으로 추진하게 되는 개인정보보호 자율점검 서비스란?



심평원은 개인정보보호 자율점검 서비스를 위해 심평원 정보기획실장을 단장으로 하고 의약5단체 정보이사를 위원으로 하는 ‘개인정보보호 자율점검 서비스 추진단’을 운영하고 있으며, 추진단의 서비스팀은 개인정보보호 체계를 관리하는 국제 또는 국내 심사원 자격을 소지하고 있는 교육이수자를 팀원으로 구성하고 있다.



서비스 절차를 살펴보면, 서비스를 원하는 의료기관은 ‘자율점검 지원 시스템’을 통하여 신청을 하고 매뉴얼에 따라 자가점검을 실시하고, 이후 추진단 승인절차를 거쳐 현장점검을 하게 된다. 이때 의약단체와 함께 서비스팀을 구성하고 신청기관과 협업을 통해 점검을 하게 되며, 만약 이행사항이 발견되면 이행점검을 한다. 이는 횟수에 상관없이 진행하며 이행점검이 완료되면 추진단의 심의·의결을 거쳐 점검결과를 신청기관에 통보하는 절차다. 이는 일회성 점검이 아닌 유지관리점검 및 갱신점검을 통해 신청기관의 개인정보보호 책임자 스스로 체계적이고 지속적인 유지관리 활동이 가능하도록 돕는 것이 목적이다.



서비스의 특징은 심평원과 의약단체 그리고 신청기관의 3자 협의체로 점검하므로 독단적이거나 단속의 의미가 아닌 협업체계를 유지하며 자율적으로 점검한다는 것이다. 다만, 심평원은 이러한 과정 즉, 신청부터 결과까지 신청기관이 자율점검을 손쉽게 할 수 있도록 지원하는 것이라고 볼 수 있다.



개인정보보호 자율점검을 추진하게 된 배경은?



개인정보보호법이 2011년 제정이후 지속적으로 강화되면서 정부의 개인정보보호 책임은 강화되고 있는데, 의료기관은 개인정보보호 관련 예산 및 인력 등 대처능력이 부족한 것으로 판단되어, 의약단체(의료기관)와 함께 협업으로 자율점검 서비스를 추진하게 됐다.



자율점검으로 인한 기대효과는?



먼저 국민 관점에서는 국민의 민감한 주요정보인 의료정보의 체계적 관리를 통해 정보주체인 국민의 의료정보보호 강화로 권리강화 및 이익 침해의 최소화할 수 있고, 정부 관점에서는 자율적 예방점검으로 개인정보보호 관련 선순환 활동유도 및 사각지대 해소 및 국가 보건의료 분야의 개인정보보호 수준 향상의 효과가 있다. 의료기관 관점에서 보면 정보주체인 환자의 프라이버시 침해, 명의도용 등에 따른 정신적ㆍ금전적 손해배상 청구를 사전예방하고, 개인정보 유출방지를 위한 사전조치를 통해 행정처분 등 위법적 상황을 예방할 수 있는 긍정적 효과도 기대된다.



한의의료기관에서 개인정보보호와 관련해서 특별히 주의해야할 점은?



모든 의료기관은 민감정보인 진료정보를 보유하고 있기 때문에 개인정보보호에 대한 안전조치의무가 있다. 개인정보보호를 위한 관리적, 물리적, 기술적 보호조치는 복잡해 보이지만 실제로 적용하는데 크게 어렵지 않다. 물론 기술적 보호조치 중 암호화 등 어려운 부분이 일부 있지만 심평원에서 제공한 암호화 모듈을 적용하거나 기존 청구SW 유지보수 업체를 통해 대부분 서비스되고 있기 때문에 적은 비용으로도 해결이 될 것으로 판단된다. 관리적 보호조치의 기본사항은 개인정보보호 책임자를 지정하고 관리조직이 있어야 하며, 개인정보보호 처리방침과 기본계획을 수립해야 한다. 관리적 보호조치는 5인 이상 사업장에 적용하기 때문에 대부분 5인 이내의 소상공인에 해당하는 한의원은 의무사항이 아니지만, 홈페이지를 운영하는 의원은 개인정보보호 처리방침을 반드시 준수하여야하기 때문에 개인정보보호 기본계획을 수립하는 것이 좋다.



앞으로 정부에서 의료기관 대상 개인정보보호 실태 단속은 어떻게 진행되나?



행정자치부의 개인정보보호 합동조사에 두 차례 지원한 바가 있어 앞으로 지속적인 현장조사가 이루어질 것으로 예상된다. 하지만 모든 기관을 일일이 다 조사할 수 없는 것이 현실이기 때문에 자율적으로 개인정보보호 점검을 실시한 기관에 대하여 현장조사 대상에서 제외한다는 계획을 가지고 있는 것 같다.



한의사회원들에게 전하고 싶은 말이 있다면?



의료현장에서 의료인들은 의료분야 외에도 행정, IT 등 타 분야에 어려움을 갖고 있는 것으로 알고 있다. 심평원에서는 의료인들이 특히 어려워하시는 IT분야에서 조금이나마 도움이 되어 드리고자 요양기관정보화지원 사업을 운영하고 있다. 요양기관정보화지원 사업은 우리원의 독단적인 사업이 아니라, 대한한의사협회와 함께 협업체계를 구축하여 현재 개인정보보호를 최우선적으로 추진하고 있다. 진료비 청구용 SAM파일 암호화, 진료내역DB 암호화 모듈제공, 홈페이지 개인정보 노출 진단 서비스, 개인정보보호 자율점검 서비스 등이 개인정보보호를 위한 주요사업 내용이다.



심평원이 추진하는 사업이면 일단 의구심을 갖는 분들도 계신 것으로 알고 있는데, 물론 대부분 주요사업이 심사와 평가이기 때문에 당연한 것인지 모르겠지만 요양기관정보화지원 사업은 글자 써진 그대로다. 요양기관업무포털서비스에서 신청 및 자료제출>요양기관정보화지원>개인정보보호 자율점검 서비스를 신청하시면 많은 도움이 될 수 있을 것이다.