[의사의 개인정보 보호 기획 1편]
"병의원의 환자 개인정보보호 관리수준은 5점 만점에 2.52점으로, 개선이 시급하다."
지난 21일 '개인정보보호 자율점검 설명회'(건강보험심사평가원 수원지원)에서 심평원 정보화지원부 송규섭 과장이 강조한 말이다.
의원급 의료기관의 관리 실태는 더욱 열악하다는 게 송 과장의 지적이다.
그동안 요양기관의 개인정보보호 관리가 제재 대상이라는 인식은 거의 없었지만, 이젠 다르다.
최근 약학정보원의 환자정보 유출 사건 이후 개인정보 보호는 언제라도 행정자치부의 조사와 시정명령을 받을 수 있는 중대한 사안이 됐다.
기존에는 의사가 진료 목적으로 정보를 수집하고 보관의 의무만 지키면 됐지만, 이젠 진료기록에 환자 정보가 들어있기 때문에 진료목적 달성 후 개인정보보호법을 지켜야 하는 것이다.
계획 수립-책임자 지정 '시급'
의료기관이 개인정보보호법을 지키기 위해 가장 시급하게 해결해야 할 것은 개인정보보호 관리 계획을 세우는 것이다.
병원급 의료기관은 대부분 계획을 수립하고 있지만, 의원급의 경우 드물다.
송규섭 과장은 "요양기관이 지켜야 할 항목은 수 십가지이지만, 이 중 꼭 해야 할 게 내부관리계획 수립"이라며 "개인정보 보호에 대한 집약적인 문서이기 때문에 먼저 세운 후 개인정보 담당자를 정해야 한다"고 강조했다.
송 과장은 "5인 이상 요양기관은 필수적으로 수립해야 하고, 5인 이하 기관에서도 내부관리계획을 세우는 게 추후 발생할지 모를 문제를 예방하는 데 도움이 된다"고 말했다.
복지부 및 행자부가 발간한 '개인정보 가이드라인'에 따르면, 내부관리 계획에는 △개인정보 보호책임자의 지정 △개인정보 보호책임자 및 개인정보취급자의 역할 및 책임 △개인정보의 안전성 확보 △개인정보취급자 교육 △그 밖에 개인정보 보호를 위해 필요한 사항이 꼭 포함돼야 한다.
안전 조치 안했다가 유출되면 2년 이하 징역
개인정보처리 계획 수립은 정보 유출을 예방하고, 의료기관의 책임을 감면하기 위해 필요하다.
안전성 확보에 필요한 보호조치를 취하지 않다가 개인정보를 도난·유출·변조·훼손·분실하면 2년 이하의 징역 또는 1천만원 이하의 벌금을 받는다.
대한의사협회 손문호 정보통신이사는 "전자차트의 경우 컴퓨터의 분실로 인한 관리적 책임을 질 수 있다"면서 "누적 환자 차트가 5만 건이 넘으면 데이터베이스로서의 가치가 있기 때문에 계획을 세우고 정보보안 교육 및 보존에 대한 체계적인 준비가 필요하다"고 설명했다.
개인정보의 안전성 확보에 필수적인 조치는 △내부관리계획 수립 △접근권한 관리 및 접근 통제 △개인정보 암호화 △접속기록 보관 △보안프로그램 설치‧운영 △물리적 접근 방지 △개인정보처리방침의 수립 및 공개 △개인정보보호 책임자의 지정 등이다.
안내 문자도 환자 동의 필요
의료기관이 우선적으로 지켜야 하는 또 하나는 개인정보 수집에 대해 환자의 동의를 받는 일이다.
진료 목적 외에 홍보, 연구, 교육의 목적으로 개인정보를 사용할 때에는 반드시 사전에 환자의 동의를 받아야 한다.
예컨대, 예방 접종 안내 문자는 홍보의 목적에 포함돼 동의가 필요하다.
또 환자의 신상이 기록된 접수증 용지는 외부로 누출될 우려가 있기 때문에 그 자리에서 바로 파기해야 한다.
병원 컴퓨터의 비밀번호는 사용자별로 8자리 이상 지정해야 한다. 직원이나 제 3자에 의한 환자정보 유출 시 책임소재 문제가 따른다.
환자가 가져가지 않는 처방전은 파쇄기로 파절처리 해야 하고, 직원의 정보도 관리 원칙을 지켜야 한다.
CCTV 설치, 안내문 게시해야
영상기기 설치 관련 의무사항도 의료기관이 간과하는 것 중 하나다.
CCTV 등 영상기기를 설치할 때에는 '영상정보기기 처리기준'을 마련하고, 설치 내용을 환자에게 게시해야 한다.
환자 대기실, 접수대, 휴게실 등 공개된 장소에는 설치 목적을 안내하면 CCTV를 설치할 수 있다.
그러나 진료실, 처치실, 수술실, 입원실, 행정사무실, 의무기록실, 전산소 등 출입 제한이 있는 곳에 설치할 때에는 환자의 동의를 받아야 한다.
의원급, 직원 채용 시 정보보안각서 필요
의원급 의료기관은 대부분 직원들에 의해 개인정보가 수집·관리되고 있다는 면에서 책임 소재를 분명히 하기 위한 대책이 필요하다.
손 이사는 "1차 의료기관은 정보누출이 생길 경우 원장이 책임질 수 밖에 없는 구조"라며 "직원을 채용할 때 고용계약서와 함께 정보보안각서를 받는 것이 추후 발생할 문제를 줄일 수 있다"고 조언했다.
댓글보기(0)