검색

메뉴보기

의료 개인정보보호 '휴지조각'

의료 개인정보보호 '휴지조각'

환자의 병력이나 신체정보 등을 보유한 병원들이 정부의 개인정보보호 가이드라인을 거의 지키지 않는 것으로 나타났다.

전자의무기록(EMR), 처방전달시스템(OCS), 의료영상저장전송시스템(PACS) 등 병원 정보화시스템 보급률이 높아지면서 전자화된 의료 개인정보의 다량 유출사고 위험이 커지는 추세여서 행정당국의 강력한 관리가 시급한 실정이다.

16일 관련업계에 따르면 보건복지부가 지난해 마련해 배포한 '의료기관 개인정보보호 가이드라인'이 지난 1년 동안 일선 병원에서 거의 지켜지지 않는 것으로 조사됐다.

의료기관 개인정보보호 가이드라인은 500병상 이상의 병원을 대상으로 정부가 권고한 사항이다.

가이드라인 상으로는 이들 병원에는 비의료인을 포함한 5인 이상의 개인정보보호위원회를 구성하고 1인 이상의 보안 전담 정규직원을 둬야 한다. 또 2~3년마다 정보보호 감사를 받아야 하고 정보보호 교육, 정보자산 목록화, 보안등급 부여 등을 시행할 것을 명시하고 있다.

하지만 정보보안 전담 실무자를 둔 대형 병원은 거의 없다. 한 국립대학병원 관계자는 "거의 모든 대학병원에선 기존 정보화 담당부서 직원들이 보안에 대한 업무도 함께 맡고 있다"며 "평균 30억원 정도의 대학 병원 정보화 예산 중 보안 관련 비용이 따로 책정되지 않는 경우가 허다하다"고 말했다. 가이드라인에서 말하는 위원회나 감사는 더욱 찾아보기 힘들다. 서울아산병원·순천향병원 등 극히 일부에서만 최근 위원회를 구성해 활동하기 시작했다.

현재 500병상 이상 대형병원의 완전 EMR 도입률이 50%를 넘어서고 PACS 도입률은 95%를 넘어선 상태다. 환자의 개인정보가 이들 전자시스템으로 관리되면서 해킹 등을 통한 대량 유출 가능성이 적지 않다.

최근에는 한 소프트웨어 업체가 의료용 SW를 이용해 의료 데이터를 빼돌려 팔았다는 의혹까지 불거진 상태다. 대한의사협회도 진료비 청구 SW기업 유비케어가 지난해 11월 병·의원을 상대로 자료를 수집하는 과정에서 의사나 환자의 동의를 받지 않고 무단으로 환자 개인정보를 추출했다며 검찰에 고발해 법적 공방을 앞두고 있다.

전문가들은 현재 가이드라인이 적용되지 않은 500병상 이하의 중소형 병원 및 의원급 의료기관 역시 EMR 도입률이 80%를 넘어서 관리가 소홀한 소규모 병원의 경우 개인정보 유출 사각지대로 방치될 수 있을 것으로 우려하고 있다.

하지만 정부는 담당 인력이 부족한데다 개인정보보호의 강제력을 강화한 개인정보보호법 제정이 국회에서 표류하면서 사실상 관리 감독업무에서 손을 놓고 있는 실정이다.

복지부 관계자는 "10명의 정보화 담당부서 인력으로 200여개의 대형 병원의 보안을 감독하기는 사실상 어렵다"며 "개인정보보호법이 발효가 되면 관리감독에 대한 법적 근거도 뒤따라 마련될 수 있지 않겠냐"고 말했다.

일선 병원에서는 가이드라인이 병원 개인정보의 특수성을 고려하지 않아 지키기 힘들다는 불만도 토로하고 있다. 의무기록, 영상기록, 처방전 등 종류와 성격에 따라 정보보안 및 공개 방침도 달라져야 하는데 복지부의 가이드라인은 이를 전혀 반영하지 못하고 있다는 것이다.

한 병원 관계자는 "일선 병원에서 가이드라인은 그저 개인정보보호 잘해야 한다는 내용으로만 받아들여지고 있다"고 전했다.

황태호 기자 thhwang@etnews.co.kr

위방향 화살표