MEDI:GATE NEWS 우리 병원 환자정보 보호 몇 점일까?

기사입력시간 15.08.25 06:17최종 업데이트 15.08.31 07:45

[의사의 개인정보 보호 기획 2편] 오는 9월 최초 시행되는 '개인정보보호 자율점검'은 요양기관의 환자정보 관리가 중요해졌다는 것을 보여주는 증거다. 약정원의 환자정보 유출사건이 자율점검의 도화선이 되긴 했지만, 개인정보 보호가 금융정보, 신용정보 만큼 중요하다는 인식 변화가 없었다면 불가능했다. 의료기관은 환자의 건강상태‧병력 등 민감정보, 주민등록번호 등 고유식별정보, 그 밖에 신용카드 번호‧계좌번호‧근로정보‧개인영상 정보 등 다양한 개인정보를 처리하고 있다. 그리고 한 번 유출된 환자 정보는 2차 피해를 야기한다는 점에서 의료기관의 개인정보 보호조치는 당면과제가 됐다. 자율점검 신청 화면 건강보험심사평가원이 9~10월 진행하는 '개인정보보호 자율점검 서비스'는 '요양기관 업무포털'에 접속해 수십 개 항목에 답변하면서, 해당 기관의 보호 수준을 점검하는 서비스다. 단순히 우리 병원의 '성적'을 확인하는 것뿐 아니라 항목이 제시한 내용을 통해, 개인정보 보호를 위한 최선의 조치가 무엇인지 알 수 있다. 항목은 병원 59개, 의원 56개, 치과·한방 55개, 약국 44개다. 각 항목에 대해 해당 기관의 상태(△양호 △개선필요 △취약 △해당사항 없음)를 솔직하게 택일하고, 이를 입증할만한 증빙 사진 등을 첨부하면 된다. 예를 들어, '개인정보 내부관리계획을 수립했는가?'라는 질문에 대해 4개 중 하나를 택일하고, 문서 파일을 첨부한다. 이 중 가장 핵심적인 항목은 24개. '개인정보 처리의 수집·이용·제공' 분야에서는 환자에게 정보 수집에 필요한 절차와 안내를 했는지 집중적으로 살핀다. 예컨대, 진료 목적 외에 예방 접종 안내 문자 발송 등의 홍보, 연구, 교육의 목적으로 개인정보를 사용할 때에는 반드시 미리 환자의 동의를 받아야 한다. '개인정보의 처리 제한' 분야에서는 개인정보 처리 업체에 위탁할 때의 계약서 작성, 개인정보 담당 직원에게 보안서약서를 받는 등 실제적인 부분을 점검한다. 또 CCTV 등 영상정보처리기기의 운영방침을 세우고, 설치한 장소에 환자를 위한 안내판을 설치했는지 체크한다. '개인정보의 안전한 관리' 부분에서는 환자정보가 유출‧분실되지 않도록 기술적인 보안조치를 했는지 평가한다. 내부관리계획 수립 및 책임자 지정 여부, 정보처리시스템의 보안 수준을 확인하는 단계다. 솔직히 답해야, 정확한 피드백 받는다 자율점검 과정에서 명심해야 할 것은 의료기관 스스로 적극적으로 점검 시스템을 활용해야만 전문가의 정확한 피드백을(feed back)을 받을 수 있다는 것이다. 이번 자율점검은 심평원의 방문점검이 극히 제한적이라 의료기관의 답변에만 의존‧평가해야 한다는 한계가 있다. 심평원 정보화지원부 송규섭 과장은 "원래 방문점검을 병행해야 정확한 실태를 알 수 있지만 올해는 처음이라 인력이 매우 부족한 상황"이라며 "요양기관 스스로 각 항목에 솔직하게 답하고, 사진도 첨부해야 심평원이 부족한 부분을 자세하게 가이드할 수 있다"고 말했다. 심평원 내 전문가의 분석은 의료기관이 답변을 완료하면 이뤄진다. 각 기관의 개인정보보호 수준을 1~5단계로 평가하고 미비점, 보완점을 자세하게 가이드한다는 설명이다. 송 과장은 "최대한 자세하게 권고안을 줄 것"이라며 "예를 들어 CCTV를 설치했음에도 관리대장과 안내판이 없다면 이를 지적하고, 관리대장에 담당자 이름만 있고 날짜, 목적 등이 기재되지 않았다면 시정을 요구할 것"이라고 말했다. 다만, 개선 사항이 너무 많은 경우 재점검을 요구하거나 방문점검에 나설 수 있다. 자율점검 결과 차트 "최소한 10개 원칙은 지켜야 한다" 자율점검 성적표를 손에 든 후 보완 조치는 의료기관의 몫이다. 대한의사협회 손문호 정보통신이사는 "최소한의 안전조치와 내부계획을 세워 놓으면 추후 발생할 수 있는 문제를 예방할 수 있다"면서 "진료기록에 환자의 개인정보가 들어있기 때문에 진료목적이 달성된 후에는 개인정보보호법을 지켜야한다는 점을 숙지해야 한다"고 강조했다. 특히 정보 보호 시스템이 미비한 1차 의료기관의 경우 접수증 파기, 비밀번호 지정, 처방전 파절 등의 관리 원칙을 명시해야 한다고 주지했다.

제보 공유

우리 병원 '환자정보 보호' 몇 점일까?

심평원, 50여개 항목 자율점검 서비스

"부족한 점 자세하게 가이드 하겠다"

[의사의 개인정보 보호 기획 2편]

오는 9월 최초 시행되는 '개인정보보호 자율점검'은 요양기관의 환자정보 관리가 중요해졌다는 것을 보여주는 증거다.

약정원의 환자정보 유출사건이 자율점검의 도화선이 되긴 했지만, 개인정보 보호가 금융정보, 신용정보 만큼 중요하다는 인식 변화가 없었다면 불가능했다.

의료기관은 환자의 건강상태‧병력 등 민감정보, 주민등록번호 등 고유식별정보, 그 밖에 신용카드 번호‧계좌번호‧근로정보‧개인영상 정보 등 다양한 개인정보를 처리하고 있다.

그리고 한 번 유출된 환자 정보는 2차 피해를 야기한다는 점에서 의료기관의 개인정보 보호조치는 당면과제가 됐다.

건강보험심사평가원이 9~10월 진행하는 '개인정보보호 자율점검 서비스'는 '요양기관 업무포털'에 접속해 수십 개 항목에 답변하면서, 해당 기관의 보호 수준을 점검하는 서비스다.

단순히 우리 병원의 '성적'을 확인하는 것뿐 아니라 항목이 제시한 내용을 통해, 개인정보 보호를 위한 최선의 조치가 무엇인지 알 수 있다.

항목은 병원 59개, 의원 56개, 치과·한방 55개, 약국 44개다.

각 항목에 대해 해당 기관의 상태(△양호 △개선필요 △취약 △해당사항 없음)를 솔직하게 택일하고, 이를 입증할만한 증빙 사진 등을 첨부하면 된다.

예를 들어, '개인정보 내부관리계획을 수립했는가?'라는 질문에 대해 4개 중 하나를 택일하고, 문서 파일을 첨부한다.

이 중 가장 핵심적인 항목은 24개.

'개인정보 처리의 수집·이용·제공' 분야에서는 환자에게 정보 수집에 필요한 절차와 안내를 했는지 집중적으로 살핀다.

예컨대, 진료 목적 외에 예방 접종 안내 문자 발송 등의 홍보, 연구, 교육의 목적으로 개인정보를 사용할 때에는 반드시 미리 환자의 동의를 받아야 한다.

'개인정보의 처리 제한' 분야에서는 개인정보 처리 업체에 위탁할 때의 계약서 작성, 개인정보 담당 직원에게 보안서약서를 받는 등 실제적인 부분을 점검한다.

또 CCTV 등 영상정보처리기기의 운영방침을 세우고, 설치한 장소에 환자를 위한 안내판을 설치했는지 체크한다.

'개인정보의 안전한 관리' 부분에서는 환자정보가 유출‧분실되지 않도록 기술적인 보안조치를 했는지 평가한다.

내부관리계획 수립 및 책임자 지정 여부, 정보처리시스템의 보안 수준을 확인하는 단계다.

솔직히 답해야, 정확한 피드백 받는다

자율점검 과정에서 명심해야 할 것은 의료기관 스스로 적극적으로 점검 시스템을 활용해야만 전문가의 정확한 피드백을(feed back)을 받을 수 있다는 것이다.

이번 자율점검은 심평원의 방문점검이 극히 제한적이라 의료기관의 답변에만 의존‧평가해야 한다는 한계가 있다.

심평원 정보화지원부 송규섭 과장은 "원래 방문점검을 병행해야 정확한 실태를 알 수 있지만 올해는 처음이라 인력이 매우 부족한 상황"이라며 "요양기관 스스로 각 항목에 솔직하게 답하고, 사진도 첨부해야 심평원이 부족한 부분을 자세하게 가이드할 수 있다"고 말했다.

심평원 내 전문가의 분석은 의료기관이 답변을 완료하면 이뤄진다.

각 기관의 개인정보보호 수준을 1~5단계로 평가하고 미비점, 보완점을 자세하게 가이드한다는 설명이다.

송 과장은 "최대한 자세하게 권고안을 줄 것"이라며 "예를 들어 CCTV를 설치했음에도 관리대장과 안내판이 없다면 이를 지적하고, 관리대장에 담당자 이름만 있고 날짜, 목적 등이 기재되지 않았다면 시정을 요구할 것"이라고 말했다.

다만, 개선 사항이 너무 많은 경우 재점검을 요구하거나 방문점검에 나설 수 있다.

"최소한 10개 원칙은 지켜야 한다"

자율점검 성적표를 손에 든 후 보완 조치는 의료기관의 몫이다.

대한의사협회 손문호 정보통신이사는 "최소한의 안전조치와 내부계획을 세워 놓으면 추후 발생할 수 있는 문제를 예방할 수 있다"면서 "진료기록에 환자의 개인정보가 들어있기 때문에 진료목적이 달성된 후에는 개인정보보호법을 지켜야한다는 점을 숙지해야 한다"고 강조했다.

특히 정보 보호 시스템이 미비한 1차 의료기관의 경우 접수증 파기, 비밀번호 지정, 처방전 파절 등의 관리 원칙을 명시해야 한다고 주지했다.

오탈자 신고 스크랩 인쇄 제보 공유

송연주 기자 (yjsong@medigatenews.com)열심히 하겠습니다.

이 기자의 다른 기사 보기

댓글보기(0)