"개인정보보호가 중요하다는 것은 환자도 병원도 공감하는 사실이다. 문제는 비용이다. 관련 시스템을 구축하고 관리하는데 들어가는 비용에 대한 책임을 모두 병의원에만 전가할 것인가."

병의원은 개인정보보호 시스템 구축 및 유지에 들어가는 비용 감당에 대한 부담을 털어놨다. 정부는 지원책을 검토하겠다는 전향적인 답변을 내놨다.

경기도병원회(회장 정영진) 주최, 메디칼타임즈와 드림이앤씨 주관으로 26일 오후 아주대의료원에서 열린 '의료기관 개인정보 보호 정책토론회'에서 나온 내용이다.

의료기관이 개인정보보호에 대한 인식을 제고하고 관련 시스템을 강화해야 한다는 데는 이견이 없었다. 문제는 '돈'이었다.

아주대병원 의무기록팀 백설경 팀장은 "병원에서 보유, 관리하고 있는 개인정보는 다양하고 방대하며 중요하다. 진료정보가 누출되면 그 피해는 일반 정보보다 더 치명적, 악용의 우려가 있다"고 운을 뗐다.

그러면서 "개인정보보호 수집, 이용 및 제공, 파기, 교육 및 감독 과정에서 인력과 비용 증대는 불가피하다"며 "사용하는 화면이 수천 개며, 각각마다 접근 가능권자를 설정하고 관리해야 한다. 하루 진료서식 로그기록만도 6만건 이상이다"고 현장 분위기를 전했다.

개인정보 누출 우려가 있는 부분의 점검을 계속해 나가고 있지만 전수 모니터링에 어려움을 겪고 있다는 게 병원들의 목소리다. 여기에 더해 직원, 협력업체, 학생, 조사자 등 병원을 찾는 모든 사람들을 대상으로 개인정보보호 관련 교육까지 해야 하는 상황.

백 팀장은 "진료 기록 외부 보관이 허용된다면 백업 저장장비를 구축해야 하는데 소요비용이 상당히 부담되는 상황"이라며 "정부 지원이 필요하다"고 호소했다.

컨설팅업체 드림이앤씨 강요한 본부장은 "청구 프로그램 운영 유지 비용을 정부가 분담해야 할 책임이 있다"며 "청구 편의성은 의료기관만 이익이 있는 게 아니라 전산심사를 하는 건강보험심사평가원에도 이익이 있는 것이다. 개인정보보호법을 지킬 수 있는 환경을 정부가 만들어 줘야 한다"고 강조했다.

지원이 뒤따라야 한다는 의료기관 관계자들의 토로에 정부도 화답했다.

복지부 보건의료정책과 홍화영 사무관은 "정보 관리에 대한 수가를 검토하겠다고 발표한 적이 있는데 수가를 책정하기 위한 명분이나 어느 정도가 적정한 지에 대한 근거가 없는 상황"이라며 의협, 병협과 구체적인 지원 방안에 대해 계속 논의하고 있다"고 긍정의 입장을 보였다.

이와 함께 "복지부의 역할은 의료기관이 강화되고 있는 개인정보보호법을 잘 지킬 수 있도록 가이드라인을 보급하고 자율점검 등을 중점 지원하는 것"이라며 "사이버침해를 모니터링하고 실시간 대응할 수 있는 센터 운영도 고민하고 있다"고 밝혔다.

"심평원, OCS 업체들 보안도 인증 작업해야"

개인정보보호 강화를 위한 다양한 제안들도 나왔다.

강요한 본부장은 심평원이 처방전달시스템(OCS) 업체들의 보안에 대한 인증 작업을 거쳐야 한다고 주장했다.

그는 "심평원은 전자적 방법 청구의 효율성을 극대화하기 위해 상용 프로그램이 적합한지 확인하는 절차를 운영하고 있다"며 "이는 청구 절차의 효율성을 위한 부분에만 초점을 둔 것"이라고 지적했다.

그러면서 "전자적인 방법으로 보관하고 있는 의료 정보를 관리하는 프로그램에 대해 개인정보를 보호할 수 있다고 믿을 수 있는 방법이 없다"며 "OCS에 대한 개인정보보호에 관련된 점검 및 책임을 규율해야 한다"고 제안했다.

퓨쳐시스템/아이리노테크 유혜령 부장은 유무선 환경에서 개인정보가 기관과 기관 사이로 전달될 때 통신환경 보안을 강화해야 한다고 했다.

유 부장은 "외부기관과 통신을 할 때는 VPN을 이용한 암호 통신이 필요하다"며 "암호통신을 할 때는 양쪽 기관이 모두 구축하고 있어야 한다. 의원에서 외부기관과 암호 통신을 하고 싶어도 반대편에서 VPN을 도입하지 않았다면 소용없다"고 설명했다.

이어 "인터넷을 통한 외부 침투 가능성을 차단하기 위해 망 분리 기능을 도입해 의료시스템 인터넷 연결을 차단해야 한다"고 덧붙였다.

의료기관이 취약한 개인정보보호 항목은?

개인정보보호 자율점검을 해보면 의료기관이 취약한 개인정보보호 조치는 뭘까.

건강보험심사평가원 정보통신실 이영곤 부장은 지난해 요양기관 자율점검 서비스 결과를 바탕으로 7가지의 취약 항목을 제시하며 자율점검 서비스에 적극 참여해야 한다고 강조했다.

구체적으로 보면 우선 ▲수탁업체에 대한 교육 및 처리 현황 점검 등 관리 감독을 실시하는가 ▲개인정보처리시스템의 접근 권한 부여, 변경, 말소 내역 기록 관리를 최소 3년간 보관하는 절차를 마련하고 실행하는가 등 관리적 측면 항목 두 가지다.

또 ▲컴퓨터에 저장된 개인정보는 별도로 암호화하고 있는가 ▲개인정보 외부 송수신시 암호화하고 있는가 ▲접속기록이 위변조 및 도난, 분실되지 않도록 접속기록을 안정하게 보관하고 있는가 ▲개인정보 보호책임자는 교육 및 관리 감독 등 역할을 수행하고 있는가 ▲안전한 비밀번호 작성규칙을 적용하고 있는가 등 기술적 측면 부분이다.

이 부장은 "지난해 자율점검 결과 안전성 확보 조치가 특히 미흡하다"며 "심평원의 개인정보보호 자율점검의 기본 취지는 행정자치부에서 점검을 나왔을 때 적발되지 않도록 개선을 유도하기 위함"이라고 말했다.

그러면서 "(자율점검) 서비스 참여가 강제사항은 아니지만 개인정보보호가 선택이 아니라 필수가 되고 있는 상황에서 의료기관은 인실을 제고해야 한다"며 "의료단체들은 회원들의 자율점검 참여를 지속적으로 독려해야 한다"고 강조했다.

회계법인 EY한영 홍성권 이사는 의료기관의 주요 위반 사항에 대한 대처법을 공개했다.

홍 이사에 따르면 컴퓨터에 저장된 개인정보를 암호화하는 방법은 2가지가 있다. 하나는 DRM(Digital Right Management)으로 개인정보를 포함한 모든 문서를 암호화하는 것이다. 예산 문제로 당장 적용이 어렵다면 MS Office에서 자체 제공하는 암호 설정 기능을 활용해 비인가자가 무단으로 열람할 수 없도록 통제해야 한다.

전산운영의 외부 의존도도 낮춰야 한다는 게 홍 이사의 주장.

그는 "최소한 정보시스템에 대한 계정 및 권한 관리, 주요 정책의 승인, 사전 작업 내역의 검토 및 승인, 주기적 점검 등을 실시해 외부 운영업체의 안전성 및 적정성을 확인해야 한다"고 강조했다.

행정자치부는 자율규제단체 지정을 받아 개인정보보호 자율규제 체계 구축을 자체적으로 할 것을 권했다.

행자부 산하 자율규제협의회로부터 자율규제 단체 지정을 받으면 소속 회원을 대상으로 ▲개인정보 보호 교육 및 홍보 활동 ▲개인정보 보호 자율규제 규약 제정 ▲개인정보 자율점검 및 컨설팅 ▲개인정보보호 관리 시스템 설치 및 운영 ▲그 밖의 개인정보보호에 관한 업무 등을 수행할 수 있다.

8월부터 시행된 자율규제 단체 지정은 학원연합회, 공인중개사협회, 여행업협회, 렌터카연합회, 건설기계협회,기술사업화협회 등 6곳이 받았다.

행자부 개인정보보호정책과 김용학 팀장은 "2014년 기준 개인정보보호법 적용 대상 사업체가 360만개 정도 되는데 이를 정부가 일일이 통제하고 할 수 없다"며 "현재까지 자율규제 단체로 지정받은 협회는 6곳인데 대한병원협회도 현재 진행 중"이라고 말했다.

이어 "자율규제단체 지정을 무조건 받는 것보다도 지정받기 전 협회나 단체에서 개인정보보호 관련 활동들을 해야 한다고 덧붙였다.