메디칼타임즈=김승직 기자개인정보 자율점검에 대한 개원가 불만이 커지고 있다. 실무와 상관없는 행정부담이 가중되는 상황에서 점검 절차가 더욱 복잡해진 탓이다.27일 의료계에 따르면 최근 이뤄진 개원가 개인정보 자율점검에서 사라졌던 증빙자료 첨부 절차가 다시 추가되면서 현장 불만이 제기되고 있다.개인정보 자율점검에 대한 개원가 불만이 커지고 있다.앞서 건강보험심사평가원은 국민 개인정보 보호 및 의료기관 피해 방지를 목적으로 의료기관을 대상으로 개인정보 자율점검 서비스를 운영해왔다.하지만 작성 절차가 복잡하고 관련 인력이 부족한 개원가엔 오히려 규제로 작용한다는 불만이 계속되자, 심평원은 2016년 관련 항목을 줄이고 자료 제출 체계를 간소화했다. 특히 가장 불만이 컸던 증빙자료 첨부파일 등록 과정이 삭제됐다.그러나 올해 점검이 관련 자료를 제출하지 않으면 다음 절차로 넘어가지 못하도록 바뀌면서 불편이 커졌다는 불만이다.이와 관련 한 지역의사회 회장은 "최근 회원들로부터 자율점검 절차가 복잡해졌다는 불만이 나오고 있다"며 "왜 이 같은 조치가 이뤄진 것인지 들은 바가 없는데, 현장 불편을 키웠다면 적어도 그 이유를 알려줘야 하는 것이 아닌가 싶다"고 꼬집었다.개원가에선 이 같은 조치가 최근 공직사회와 산업계에 잇따른 개인정보 유출 사고의 여파라는 추측이 나온다. 일련의 사고들로 개인정보 보호책을 강화해야 한다는 목소리가 커지면서 의료계도 덩달아 관련 조치가 강화된 것이라는 분석이다.개원가는 문제가 생길 때마다 현장에 규제가 더해지는 상황을 지적하고 있다. 이와 관련 한 개원의는 "의료계의 잘못이 아닌데 관련 규제로 현장에 피해가 생기는 경우가 수도 없이 많다"며 "예전에 병·의원을 운영할 땐 이런 것들이 하나도 없었는데 지금은 따로 시간을 내서 이런 부수적인 업무를 처리해야 할 정도다"라고 말했다.다른 개원의는 "이런저런 규제들이 늘어나고 있는데 일관성도 없고 이를 통해 뭔가 개선되고 있다는 실감도 들지 않는다"며 "자율점검만 봐도 지난해에 없었던 증빙자료 제출 절차가 올해부터 생겼는데, 그렇다면 작년 내용은 문제가 된다는 것이냐"고 지적했다.대한개원의협의회는 이 같은 형식적 규제가 오히려 의료서비스 질 관리에 악영향을 끼치고 있다고 지적했다. 실질적인 개선 없이 행정업무만 늘어난다는 이유에서다.이와 관련 대개협 김동석 회장은 "이번 자율점검은 약간의 불편이 늘어났을 뿐 큰 피해가 아니라고 생각될 수는 있다. 하지만 개원가에 이런 형식적인 규제들이 계속해서 늘어나는 상황이 진짜 문제다"라며 "이 밖에도 의무교육이나 서류 보관 등 지켜야 할 것이 너무 많다는 게 회원들의 불만이다. 이런 형식적인 것들을 다 없애야 한다고 본다"고 말했다.

메디칼타임즈=문성호 기자 자료사진. 기사와 직접적인 연관은 없습니다. 건강보험심사평가원 대전지원은 24일 요양기관의 휴면 진료비(약제비)를 청구 소멸시효 전에 알려주는 '잠자는 진료비 찾아주기' 서비스로 59기관에 약 11억원을 찾아줬다고 밝혔다. 이 서비스는 2017년 1월부터 2019년 12월 진료 분을 대상으로 진행됐고, 대전·충청권의 325개 요양기관(약국 포함)에 약 50억 원의 청구 안내가 이뤄졌다. 그 결과 병·의원 50기관(약 9억 8000만원), 약국 9기관(약 9000만원)이 휴면 진료비를 돌려받았다. 대전지원은 이 밖에도 대전·충청권 의약단체와의 소통과 협력을 통해 ▲ 청구반송·조정 후 미청구 진료비 찾아주기 ▲ 청구오류 사전점검 서비스 ▲ 개인정보 자율점검 현장컨설팅 등 활발한 활동을 전개해 왔다. 오영식 대전지원장은 "이번 서비스를 통해 코로나19로 경영난을 겪는 의료기관에 재정 부담이 조금이라도 해소되기를 바라며, 앞으로도 국가적 어려움을 극복하기 위해 대전․충청권 의료기관과 지속적으로 협력해 나갈 것이다"라고 밝혔다.

메디칼타임즈=박양명 기자 #. 원장과 간호조무사 2명이 있는 소규모 A의원. 인력부족으로 개인정보보호 활동을 수행하기 어렵다. 소규모 의료기관도 개인정보보호법을 따라야 할까? "의료기관은 환자의 개인정보를 처리하는 기관으로써 규모에 관계없이 자율적 개인정보보호 활동을 통해 개인정보를 안전하게 관리해야 한다. 업무 부담에 따른 어려움도 있겠지만 개인정보보호법을 준수해야 한다"라고 건강보험심사평가원은 답했다. 올해부터는 대한의사협회가 개인정보보호 자율점검을 직접 주도하며 이 같은 의문에 답한다. 자체 자율점검 프로그램을 개발해 일선 현장에 적용토록 하고 컨설팅 지원도 의협 또는 지역의사회 직원들이 나간다. 의협이 운영하는 개인정보보호 자율점검 홈페이지 15일 개원가에 따르면 "올해부터 개인정보보호 요양기관 현장 방문 컨설팅을 수행할 예정"이라며 일선 의료기관에 안내 공문을 발송하며 개인정보보호 자율 규제 업무 추진을 위한 건강보험심사평가원 교육 자료 등을 배포했다. 심평원 자료에 따르면 지난해 8~10월 온라인 자율점검 서비스 결과 개인정보 자율점검 대상 의원은 3만1813곳이며 이 중 2만4996곳이 자율점검을 신청했고 96%(2만3998곳)가 자율점검을 완료했다. 같은 기간 현장 컨설팅은 39곳에 나갔다. 의협 은상용 정보통신이사는 "자체적으로 개인정보보호 자율점검 프로그램을 개발해 현장에서 어려움 없이 적검을 할 수 있도록 안내할 예정"이라며 "심평원에서 진행하던 요양기관 현장 방문 컨설팅도 의협 직원이 직접 나갈 것"이라고 설명했다. 그러면서도 "컨설팅을 요청하는 절대적인 수는 많지 않지만 개인정보 자율점검을 해야 하는 기간에 몰리는 경향이 있기 때문에 인력 부족 등의 현실적 문제에 부딪힐 수 있어 심평원에 인력 협조 요청을 했다"고 말했다. 의협은 자체적으로 개인정보 자율점검에 나서는 만큼 이에 따른 행정비용에 대한 수수료를 받을 예정이다. 은 이사는 "개인정보보호 자율점검은 행정조사로 이어질 수 있다는 부담이 있지만 강제사항은 아니다"라고 선을 그었다. 그러면서도 "의협이 자체적으로 개발했기 때문에 가능하면 회원이 무상으로 쓸 수 있도록 하는 게 목적이지만 회비를 내지 않은 사람에게만 수수료를 받기로 했다. 금액은 아직 정해지지 않았다"고 밝혔다.

메디칼타임즈=문성호 기자 건강보험심사평가원 대전지원은 대전·충청권 의약단체와의 소통을 계기로 '미청구 진료비 찾아주기' 서비스를 활성화하고 있다. 2017년부터 대전지원이 대전·충청권 의약단체와 본격적으로 전개한 협업과제로는 ▲미청구 진료비 찾아주기 ▲청구오류 사전점검 서비스 ▲개인정보 자율점검 현장컨설팅 ▲의약단체 요청 교육 및 강사 지원 등이다. 특히 '미청구 진료비 찾아주기'는 대전·충청권 의약단체 회원들이 가장 필요로 하는 협업과제로, 올해 상반기에는 충청북도 약사회 회원 475기관에서 약 3억 5000만원의 미청구 약제비를 돌려받았고, 하반기에는 대전·충청권의사회 회원 2621기관에서 '미청구 진료비 찾아주기'를 통해 30억 2000만원 가량을 돌려받을 것으로 예상된다. 심평원 오영식 대전지원장은 "앞으로도 대전·충청권, 한의사회(10월) 및 치과의사회(11월) 등과도 협업을 지속적으로 전개해 의약단체 회원들의 행정부담 경감은 물론 권익보호를 위해 지속적으로 협력하겠다"고 밝혔다.

메디칼타임즈=이지현 기자 대한병원협회가 개인정보보호법 자율점검을 진행 중인 가운데 인력 및 시스템이 열악한 중소병원계가 분주하다. 대학병원은 별도 전담인력을 두고 있는 반면 중소병원의 경우 그렇지 못한 경우가 많기 때문. 실제로 17일 대한병원협회에 따르면 상급종합병원 등 대학병원 이미 자율점검을 마쳤지만, 병원급 의료기관 등 중소병원은 여전히 저조한 분위기다. 행정안전부도 이를 감안해 당초 10월까지 자율점검 결과를 보고받기로 한 일정을 12월까지로 연장했다. 개인정보 자율점검이란 개인정보보호법에서 정한 최소한의 시스템을 갖췄는지 자율규제단체가 자체적으로 규약을 마련, 실태를 점검하고 관리하도록 한 제도. 개인정보보호를 강제적으로 추진하기 보다는 자율규제 단체를 지정, 스스로 개인정보보호 활동을 권장하겠다는 취지인 셈이다. 자율점검을 통해 개선방안을 모색하면 상관없지만, 이를 실시하지 않으면 행정안전부의 불시점검 대상이 되는 만큼 각 의료기관의 적극적인 참여가 중요하다. 이를 위해 행정안전부는 대한병원협회를 자율규제단체로 지정한 바 있다. 대한중소병원협회도 중소병원의 자율점검 참여 활성화에 발벗고 나섰다. 중병협은 내달 15일, 병협 대회의실에서 개인정보보호 책임자 교육 세미나를 실시하기로 했다. 각 병원 개인정보 관리 책임자를 대상으로 최근 개정된 개인정보보호법에 대해 소개하고 건강보험심사평가원 기준에 맞춘 자율진단 가이드 작성을 돕기 위한 것. 중병협 측은 "대학병원과 달리 전담 인력이 충분히 못한 중소병원을 위해 별도의 교육과정을 마련했다"면서 "자율검검을 실시하지 않을 경우 불시에 점검대상이 되는 만큼 적극 참여해줄 것을 독려하고 있다"고 전했다.

메디칼타임즈=문성호 기자"행정자치부(현 행정안전부)가 인정한 벤치마킹 대상이 됐다." 건강보험심사평가원이 최근 몇 년 간의 개인정보 관련 서비스로 요양기관의 인식과 관리 수준이 크게 향상됐다고 자평했다. 특히 심평원은 정부기관이 요양기관의 개인정보 보호활동을 다른 분야에 벤치마킹하는 성과로 이어지고 있다고 강조했다. 심평원은 2015년 하반기부터 전국 요양기관을 대상으로 개인정보 자율점검 교육을 실시한 바 있다. 사진은 지난해 심평원 수원지원에서 실시한 교육 모습이다. 심평원은 2일 이 같은 내용이 포함된 '정보통신실 종합감사 결과'를 공개했다. 공개된 감사결과에 따르면, 심평원은 2015년부터 요양기관 스스로 개인정보보호법을 준수하고 일정 수준 이상으로 개인정보보호 관리 능력을 갖출 수 있도록 '개인정보보호 자율점검 서비스'를 제공하고 있다. 여기에 요양기관을 배려해 이해하기 어려운 개인정보보호 관련 법·지침 등을 의료현장에 맞게 알기 쉬운 용어로 항목화해 개정사항을 반영했다. 또한 심평원은 요양기관의 개인정보보호 인식 제고 및 관리수준 향상을 위한 전국 순회교육 실시 및 요양기관별 환경에 최적화된 맞춤형 현장지원 컨설팅 서비스를 제공한 것으로 나타났다. 실제로 심평원은 2016년 한 해 동안 32회의 전국 순회교육을 통해 4617명으로 대상으로 개인정보 관련 정보를 안내했으며, 의약단체에도 총 5회의 출장강의를 진행한 것으로 조사됐다. 심평원은 이를 바탕으로 지난 한 해 전체 요양기관 중 87%가 관련 서비스를 이용하는 성과를 이끌어 냈다고 자평했다. 감사결과를 통해 심평원 측은 "그동안 PC용 백신, 홈페이지 개인정보 노출 진단, 진료내용 DB 암호화 및 청구용 원시파일 암호화 모듈 등을 무료로 기술지원해 요양기관 부담을 경감했다"며 "그 결과, 개인정보보호와 관련해 전체 기관 대상 서비스를 제공하고 높은 참여율(약 87%, 전체 요양기관 8만 6000여 기관 중 7만 5000여 기관 참여)을 이끌어 냈다"고 설명했다. 그러면서 감사실은 이를 바탕으로 행정자치부(현 행정안전부)에서 인정한 벤치마킹 대상으로 심평원이 지정됐다고 강조했다. 심평원 측은 "행정자치부에서 인정한 벤치마킹 대상이 되었고, 이러한 높은 참여율은 요양기관의 개인정보보호 인식과 관리 수준의 향상으로 이어지고 있다"며 "2016년 요양기관 점검항목별 점수로 환산한 결과 90점 이상으로 나와 매우 양호한 단계로 판단됐다"고 덧붙였다.

메디칼타임즈=문성호 기자"올해부터 개인정보 자율점검은 의약단체가 주도해 진행될 것이다." 건강보험심사평가원이 지난 2년 동안 진행했던 개인정보 자율점검을 의약단체에 이관하겠다는 의사를 내비쳤다. 심평원 정보통신실 이영곤 정보화지원부장은 지난 28일 출입기자협의회와 가진 간담회를 통해 2017년도 요양기관 개인정보 자율점검 진행계획을 설명했다. 심평원에 따르면, 그동안 주요사업으로 진행했던 개인정보 자율점검 시행이 올해부터는 여의치 않은 상황이다. 행정자치부가 민간분야의 개인정보보호 자율규제 체계를 구축하기 위해 시행한 '개인정보보호 자율규제 단체 지정'에 대한 고시 때문이다. 행자부로부터 지정받은 자율규제단체는 관련 업종 개인정보 교육 및 홍보, 지침 제정 등 기본업무와 수행과 함께 자율점검 등에 대한 지원 업무를 할 수 있다. 올해부터는 이러한 자율규제단체로 대한병원협회가 승인받음에 따라 자체적인 자율점검 업무를 수행하게 돼, 원칙적으로 병협에 가입한 병원들은 심평원의 자율점검을 받지 않아도 된다. 다만, 대한의사협회나 대한약사회 등은 행자부에 자율규제단체로 신청하지 않았기 때문에 의원과 약국은 심평원 자율점검 신청 대상이다. 심평원은 의협이나 약사회 등도 자율규제단체로의 참여를 촉구해 올해부터 개인정보 자율점검을 관련 의약단체에 이관하겠다는 계획이다. 이를 통해 심평원은 올해부터는 의약단체가 주도하게 될 개인정보 자율점검 시행을 지원하겠다는 방침이다. 이영곤 정보화지원부장은 "의약단체들이 행자부로부터 자율규제 단체로 지정받게 되면 개인정보 자율점검에 있어 병협처럼 주도적인 역할을 할 수 있다"며 "하지만 현재 의약단체들은 전담인력 및 예산 확보의 어려움을 느끼고 있지만, 이를 추진하고 있는 것으로 안다"고 말했다. 2016년 심평원 정보서비스 제공에 따른 요양기관 편익효과 따라서 심평원은 이를 바탕으로 그동안 전담해서 진행했던 자율점검 업무를 올해부터 의약단체들이 수행하도록 이관․지원하겠다는 방침이다. 이 부장은 "의약5단체가 앞으로 개인정보 자율점검을 주도적으로 하고 심평원은 이를 지원하는 체계로 변경할 예정"이라고 설명했다. 한편, 심평원은 요양기관을 대상으로 제공하는 요양기관 정보화지원서비스 편익효과를 자체 분석한 결과, 2016년 한 해 동안 9001억원의 경제적 편익효과를 보인 것으로 평가했다. 특히 요양기관의 개인정보보호를 위한 정보화지원 효과로 요양기관 개인정보보호 자율점검 서비스를 제공해 '법령위반 사전 예방효과(4930억원)'가 가장 크다고 자부했다. 이 부장은 "그동안 개인정보 자율점검을 진행하면서 의약계로부터 규제라는 오해를 받아온 것이 사실"이라며 "2015년때는 이 같은 비판을 많이 받았는데, 현재는 이러한 우려가 많이 해소됐다고 생각한다. 앞으로 의약계에 이를 위임하지만 필요한 교육을 진행하면서 진료에 도움을 줄 수 있는 방안을 새롭게 모색하겠다"고 설명했다.

메디칼타임즈=문성호 기자건강보험심사평가원이 개인정보 자율점검 시행을 두고 고민에 빠졌다. 법 혹은 고시 상 개인정보 자율점검 시행이 명문화 되지 않은 이상 매년 실시하기에는 어려운 상황에 놓였기 때문이다. 22일 심평원에 따르면, 지난해에 이어 올해 6월부터 10월까지 진행된 개인정보 자율점검 서비스에 전체 8만 6860개 요양기관 중 5만 8551곳(신청률 67.4%)이 자율점검을 신청했고, 그 중 점검을 완료한 기관은 5만 2112 곳(완료율 89.0%)이다. 이를 바탕으로 심평원은 점검 완료 기관에 점수와 등급과 함께 전체 요양기관 및 동일 종별 대비 개인정보보호 관리 수준을 수치로 제공했다. 하지만 당장 내년부터는 그동안 진행해오던 개인정보 자율점검 시행이 여의치 않은 상황. 행정자치부가 민간분야의 개인정보보호 자율규제 체계를 구축하기 위해 시행한 '개인정보보호 자율규제 단체 지정'에 대한 고시 때문이다. 행자부로부터 지정받은 자율규제단체는 관련 업종 개인정보 교육 및 홍보, 지침 제정 등 기본업무와 수행과 함께 자율점검 등에 대한 지원 업무를 할 수 있다. 이러한 자율규제단체로 대한병원협회가 승인받음에 따라 병협이 자체적인 자율점검 업무를 수행하게 돼, 원칙적으로 병협에 가입한 병원들은 심평원의 자율점검을 받지 않아도 된다. 다만 대한의사협회나 대한약사회 등은 행자부에 자율규제단체로 신청하지 않았기 때문에 의원과 약국은 심평원 자율점검 신청 대상이다. 심평원 정보통신실 관계자는 "병협이 행자부 자율규제단체로 승인을 받았기에 병협에 가입돼 있는 병원들은 내년 개인정보 자율점검 대상에서 제외되는 데다 행자부 현장점검 대상에서 제외될 것"이라며 "자체적으로 개인정보 관리 지침 등을 제정 관리해도 되기 때문"이라고 말했다. 이어 그는 "하지만 의원급과 약국 등은 자율규제단체로 관련 단체들이 신청하지 않았기에 여전히 개인정보 자율점검 대상이 된다"며 "동시에 행자부 현장점검 대상이 되는 것"이라고 설명했다. 행자부 의료기관 개인정보보호 위반 주요 사례 내용. 또한 심평원 입장에서도 법 혹은 고시 상 매년 자율점검을 하도록 명시되지 않은데다 이에 따른 예산도 책정되지 않은 탓에 자율점검을 의원이나 약국 등을 상대로 계속 진행하기 힘든 입장이다. 여기에 그동안은 병원이나 의원, 약국 등이 행자부의 현장점검 대상에서 제외될 수 있도록 심평원이 의료기관 지원 측면에서 자율점검을 시행했지만 자율규제단체 지정제 등이 마련됐기에 계속 할 수는 없는 노릇이기 때문이다. 정보통신실 관계자는 "자율점검은 그야말로 임시적으로 의료기관의 취약한 개인정보보호 지원을 위해 시행했던 것인데, 의료기관 사이에서는 하나의 추가적인 규제로 인식되고 있다"며 "행자부의 현장점검을 의료기관이 대비할 수 있도록 지원하는 것인데 법에 명시되지 않은 이상 자율점검을 계속 유지하기는 힘든 상황"이라고 전했다. 그는 "하지만 개인정보 관련 의약5단체 중 병협을 제외한 나머지 4개 단체는 자율규제단체로 지정을 신청하지 않았기에 지원이 필요한 상황"이라며 "자율점검의 경우 임시적으로 지원하는 것이라 매년 하기는 힘들다"고 덧붙였다. 한편, 행자부가 현재까지 지정한 자율규제단체는 총 7곳(한국공인중개사협회, 한국여행업협회, 한국학원총연합회, 한국기수사업화진흥협회, 대한건설기계협회, 한국렌터카사업조합연합회, 대한병원협회)으로 의료계에선 병협이 유일하다.

메디칼타임즈=문성호 기자 행정자치부가 개인정보보호법을 위반한 기관의 실명을 공개한 가운데, 종합병원급을 대상으로 최근까지 현장조사를 실시한 것으로 나타났다. 특히, 행자부는 건강보험심사평가원이 실시하는 개인정보 자율점검에 참여했다고 해서 개인정보보호법 현장조사에 제외되는 것은 아니라고 강조했다. 심평원은 지난해부터 전국 요양기관을 대상으로 개인정보 자율점검을 실시하고 있다. 27일 행자부 개인정보안전과 관계자는 "개인정보보호법 기획조사는 올해 환자정보 처리 건수 등을 기준으로 종합병원 이상 의료기관을 포함시켜 진행됐다"며 "내년 기획조사에 의원급 의료기관이 포함될 지에 대해서는 논의해야 한다"고 밝혔다. 앞서 행자부는 7개 기관을 대상으로 현장 조사를 실시하고, 안전성 확보 조치 불이행 등 개인정보보호법 위반 사실을 적발하고 총 1억 1150만 원의 과태료를 부과했다. 특히 행자부는 과태료를 부과한 7개 기관의 실명을 공개했는데, 이 중 5개 기관의 종합병원이었다. 실명이 공개된 5개 종합병원은 의료법인 혜원의료재단 세종병원, 구로성심병원, 의료법인성화의료재단 대한병원, 의료법인양진의료재단 평택성모병원, 가천의대부속 동인천 길병원 등이다. 행자부 개인정보안전과 관계자는 "과태료가 1000만원 이상인 기관의 실명을 공개한 것으로, 개인정보보호법 위반으로 과태료는 받았지만 실명이 공개되지 않은 종합병원은 추가로 더 있다"고 설명했다. 이어 "개인정보보호법 위반 현장조사 대상 기관은 복지부와 협의 하에 종합병원 대상으로 진행했다"며 "인력 등 여건 상 현장조사 시 20~30개 기관을 대상으로 실시하는데, 내년 조사 대상의 경우 앞으로 협의해서 결정할 방침"이라고 전했다. 그러면서 행자부는 심평원이 진행하는 개인정보 자율점검을 실시했다고 해서 현장조사 대상에서 제외되는 것은 아니라고 강조했다. 심평원은 지난해 전체 병·의원을 대상으로 개인정보 자율점검을 실시하면서, 자율점검 이행기관은 행자부의 개인정보보호법 현장조사에서 제외된다고 밝힌 바 있다. 하지만 심평원은 올해는 개인정보 자율점검 신청과 실시 시기 동안에만 행자부의 현장조사 유예를 요청한 상황. 사실상 올해는 자율점검을 실시했다고 해서 행자부 현장조사 대상에서 제외되는 것은 아니라는 뜻으로, 언제든지 현장조사 대상이 될 수 있다는 것이다. 또 다른 행자부 개인정보안전과 관계자는 "심평원의 자율점검을 모든 병·의원이 실시하고, 모든 자료를 사실로 입력했다고 생각할 수 있지만, 만약 사실이 아닌 것을 입력한다면 누가 책임을 진다는 것인가"라며 "자율점검을 실시했다고 해서 현장조사 대상에서 빠진다는 것은 말이 되지 않지 않는다"고 강조했다.

메디칼타임즈=박양명 기자 "개인정보보호가 중요하다는 것은 환자도 병원도 공감하는 사실이다. 문제는 비용이다. 관련 시스템을 구축하고 관리하는데 들어가는 비용에 대한 책임을 모두 병의원에만 전가할 것인가." 병의원은 개인정보보호 시스템 구축 및 유지에 들어가는 비용 감당에 대한 부담을 털어놨다. 정부는 지원책을 검토하겠다는 전향적인 답변을 내놨다. 경기도병원회(회장 정영진) 주최, 메디칼타임즈와 드림이앤씨 주관으로 26일 오후 아주대의료원에서 열린 '의료기관 개인정보 보호 정책토론회'에서 나온 내용이다. 의료기관이 개인정보보호에 대한 인식을 제고하고 관련 시스템을 강화해야 한다는 데는 이견이 없었다. 문제는 '돈'이었다. 아주대병원 의무기록팀 백설경 팀장은 "병원에서 보유, 관리하고 있는 개인정보는 다양하고 방대하며 중요하다. 진료정보가 누출되면 그 피해는 일반 정보보다 더 치명적, 악용의 우려가 있다"고 운을 뗐다. 그러면서 "개인정보보호 수집, 이용 및 제공, 파기, 교육 및 감독 과정에서 인력과 비용 증대는 불가피하다"며 "사용하는 화면이 수천 개며, 각각마다 접근 가능권자를 설정하고 관리해야 한다. 하루 진료서식 로그기록만도 6만건 이상이다"고 현장 분위기를 전했다. 개인정보 누출 우려가 있는 부분의 점검을 계속해 나가고 있지만 전수 모니터링에 어려움을 겪고 있다는 게 병원들의 목소리다. 여기에 더해 직원, 협력업체, 학생, 조사자 등 병원을 찾는 모든 사람들을 대상으로 개인정보보호 관련 교육까지 해야 하는 상황. 백 팀장은 "진료 기록 외부 보관이 허용된다면 백업 저장장비를 구축해야 하는데 소요비용이 상당히 부담되는 상황"이라며 "정부 지원이 필요하다"고 호소했다. 컨설팅업체 드림이앤씨 강요한 본부장은 "청구 프로그램 운영 유지 비용을 정부가 분담해야 할 책임이 있다"며 "청구 편의성은 의료기관만 이익이 있는 게 아니라 전산심사를 하는 건강보험심사평가원에도 이익이 있는 것이다. 개인정보보호법을 지킬 수 있는 환경을 정부가 만들어 줘야 한다"고 강조했다. 지원이 뒤따라야 한다는 의료기관 관계자들의 토로에 정부도 화답했다. 홍화영 사무관 복지부 보건의료정책과 홍화영 사무관은 "정보 관리에 대한 수가를 검토하겠다고 발표한 적이 있는데 수가를 책정하기 위한 명분이나 어느 정도가 적정한 지에 대한 근거가 없는 상황"이라며 의협, 병협과 구체적인 지원 방안에 대해 계속 논의하고 있다"고 긍정의 입장을 보였다. 이와 함께 "복지부의 역할은 의료기관이 강화되고 있는 개인정보보호법을 잘 지킬 수 있도록 가이드라인을 보급하고 자율점검 등을 중점 지원하는 것"이라며 "사이버침해를 모니터링하고 실시간 대응할 수 있는 센터 운영도 고민하고 있다"고 밝혔다. "심평원, OCS 업체들 보안도 인증 작업해야" 개인정보보호 강화를 위한 다양한 제안들도 나왔다. 강요한 본부장은 심평원이 처방전달시스템(OCS) 업체들의 보안에 대한 인증 작업을 거쳐야 한다고 주장했다. 그는 "심평원은 전자적 방법 청구의 효율성을 극대화하기 위해 상용 프로그램이 적합한지 확인하는 절차를 운영하고 있다"며 "이는 청구 절차의 효율성을 위한 부분에만 초점을 둔 것"이라고 지적했다. 그러면서 "전자적인 방법으로 보관하고 있는 의료 정보를 관리하는 프로그램에 대해 개인정보를 보호할 수 있다고 믿을 수 있는 방법이 없다"며 "OCS에 대한 개인정보보호에 관련된 점검 및 책임을 규율해야 한다"고 제안했다. 퓨쳐시스템/아이리노테크 유혜령 부장은 유무선 환경에서 개인정보가 기관과 기관 사이로 전달될 때 통신환경 보안을 강화해야 한다고 했다. 유 부장은 "외부기관과 통신을 할 때는 VPN을 이용한 암호 통신이 필요하다"며 "암호통신을 할 때는 양쪽 기관이 모두 구축하고 있어야 한다. 의원에서 외부기관과 암호 통신을 하고 싶어도 반대편에서 VPN을 도입하지 않았다면 소용없다"고 설명했다. 이어 "인터넷을 통한 외부 침투 가능성을 차단하기 위해 망 분리 기능을 도입해 의료시스템 인터넷 연결을 차단해야 한다"고 덧붙였다. 의료기관이 취약한 개인정보보호 항목은? 개인정보보호 자율점검을 해보면 의료기관이 취약한 개인정보보호 조치는 뭘까. 이영곤 부장 건강보험심사평가원 정보통신실 이영곤 부장은 지난해 요양기관 자율점검 서비스 결과를 바탕으로 7가지의 취약 항목을 제시하며 자율점검 서비스에 적극 참여해야 한다고 강조했다. 구체적으로 보면 우선 ▲수탁업체에 대한 교육 및 처리 현황 점검 등 관리 감독을 실시하는가 ▲개인정보처리시스템의 접근 권한 부여, 변경, 말소 내역 기록 관리를 최소 3년간 보관하는 절차를 마련하고 실행하는가 등 관리적 측면 항목 두 가지다. 또 ▲컴퓨터에 저장된 개인정보는 별도로 암호화하고 있는가 ▲개인정보 외부 송수신시 암호화하고 있는가 ▲접속기록이 위변조 및 도난, 분실되지 않도록 접속기록을 안정하게 보관하고 있는가 ▲개인정보 보호책임자는 교육 및 관리 감독 등 역할을 수행하고 있는가 ▲안전한 비밀번호 작성규칙을 적용하고 있는가 등 기술적 측면 부분이다. 이 부장은 "지난해 자율점검 결과 안전성 확보 조치가 특히 미흡하다"며 "심평원의 개인정보보호 자율점검의 기본 취지는 행정자치부에서 점검을 나왔을 때 적발되지 않도록 개선을 유도하기 위함"이라고 말했다. 그러면서 "(자율점검) 서비스 참여가 강제사항은 아니지만 개인정보보호가 선택이 아니라 필수가 되고 있는 상황에서 의료기관은 인실을 제고해야 한다"며 "의료단체들은 회원들의 자율점검 참여를 지속적으로 독려해야 한다"고 강조했다. 회계법인 EY한영 홍성권 이사는 의료기관의 주요 위반 사항에 대한 대처법을 공개했다. 홍 이사에 따르면 컴퓨터에 저장된 개인정보를 암호화하는 방법은 2가지가 있다. 하나는 DRM(Digital Right Management)으로 개인정보를 포함한 모든 문서를 암호화하는 것이다. 예산 문제로 당장 적용이 어렵다면 MS Office에서 자체 제공하는 암호 설정 기능을 활용해 비인가자가 무단으로 열람할 수 없도록 통제해야 한다. 전산운영의 외부 의존도도 낮춰야 한다는 게 홍 이사의 주장. 그는 "최소한 정보시스템에 대한 계정 및 권한 관리, 주요 정책의 승인, 사전 작업 내역의 검토 및 승인, 주기적 점검 등을 실시해 외부 운영업체의 안전성 및 적정성을 확인해야 한다"고 강조했다. 김용학 팀장 행정자치부는 자율규제단체 지정을 받아 개인정보보호 자율규제 체계 구축을 자체적으로 할 것을 권했다. 행자부 산하 자율규제협의회로부터 자율규제 단체 지정을 받으면 소속 회원을 대상으로 ▲개인정보 보호 교육 및 홍보 활동 ▲개인정보 보호 자율규제 규약 제정 ▲개인정보 자율점검 및 컨설팅 ▲개인정보보호 관리 시스템 설치 및 운영 ▲그 밖의 개인정보보호에 관한 업무 등을 수행할 수 있다. 8월부터 시행된 자율규제 단체 지정은 학원연합회, 공인중개사협회, 여행업협회, 렌터카연합회, 건설기계협회,기술사업화협회 등 6곳이 받았다. 행자부 개인정보보호정책과 김용학 팀장은 "2014년 기준 개인정보보호법 적용 대상 사업체가 360만개 정도 되는데 이를 정부가 일일이 통제하고 할 수 없다"며 "현재까지 자율규제 단체로 지정받은 협회는 6곳인데 대한병원협회도 현재 진행 중"이라고 말했다. 이어 "자율규제단체 지정을 무조건 받는 것보다도 지정받기 전 협회나 단체에서 개인정보보호 관련 활동들을 해야 한다고 덧붙였다.

메디칼타임즈=문성호 기자건강보험심사평가원이 요양기관 개인정보 자율점검 신청 기간을 8월 말까지 유예했지만, 요양기관의 참여율이 50%도 못 미치고 있는 것으로 나타났다. 요양기관의 참여율이 저조할 경우 자칫 행정자치부의 현장점검 대상이 될 수 있어 요양기관의 주의가 필요하다. 26일 심평원에 따르면, 종전 7월까지였던 개인정보 자율점검 신청기간을 8월 말까지 한 달간 연장했지만 요양기관의 참여율은 47.4%에 그치고 있다. 지난해 자율점검 참여율이 90%에 육박했던 것을 고려하면, 상당히 저조한 참여율이다. 서비스 신청 및 자율점검 현황(종별) 구체적으로 신청대상 8만 6811개소 요양기관 중 4만 1178개소(47.4%)만이 기한 내 자율점검 신청을 완료했다. 종별로 살펴보면, 신청대상이 가장 많은 의원급 의료기관은 전체 3만 253개소 중 1만 7291개소(57.2%)가 자율점검을 신청했으며, 약국은 2만 2010 개소 중 1만 2060개소(54.8%)가 신청을 완료한 것으로 나타났다. 이에 따라 심평원도 지난해와 비교해 요양기관의 자율점검 신청률이 저조한 점을 인정하며, 요양기관의 참여를 독려하기 위해 노력하는 모습이다. 심평원 관계자는 "현재 의약5단체와 긴밀하게 대화하며 요양기관의 자율점검 참여를 독려하고 있다"며 "현재 요양기관의 자율점검 참여율을 70%대를 목표로 요양기관 참여 방안을 모색하고 있다"고 설명했다. 이어 "그렇다고 자율점검을 참여하지 않는다고 해서 요양기관에게 불이익이 가는 것은 아니다"라며 "다만, 지난해 요양기관의 자율점검 신청률이 90% 이상으로 높게 나타나자 요양기관들의 개인정보 보호 노력을 인정해 행자부가 현장점검을 진행하지 않았다. 만약 자율점검 신청률이 저조하다면 행자부의 현장점검을 실시할 수 있다"고 말했다. 서비스 신청 및 자율점검 현황(지역별) 동시에 심평원은 오는 11월까지 신청하는 요양기관을 대상으로 개인정보 현장지원 서비스도 병행할 예정이다. 심평원은 의약5단체의 협조를 받아 총 89개 요양기관의 개인정보 현장지원 서비스를 펼치고 있다. 심평원 관계자는 "개인정보 현장지원 서비스는 의약5단체의 추천을 받아 89개 요양기관에 대해 진행하고 있는데 10월까지 진행하고 11월까지 이행여부를 확인할 계획"으로 "내년에는 이 같은 요양기관 현장지원을 확대할 계획"이라고 밝혔다. 그는 "개인정보 자율점검을 신청하지 않고 민간업체를 활용하는 방안도 있다"며 "하지만 민간업체를 활용하지 않고 자율점검으로도 충분히 개인정보 보호 조치를 할 수 있다"고 덧붙였다.

메디칼타임즈=박양명 기자 자율점검 신청이 지지부진하자, 대한의사협회 차원에서 개인정보 자율점검 신청을 독려하고 나섰다. 건강보험심사평가원은 자율점검 신청을 한 달 더 연장하기로 한 상황. 의협은 최근 요양기관 개인정보보호 자가점검 관련 대회원 안내문을 배포하고, 시도의사회 및 진료과목 의사회에도 관련 공문을 전달했다. 현재 심평원 업무포털에서 요양기관 개인정보보호 자가점검이 진행중이다. 지난해 자가점검을 한 요양기관도 올해 다시 점검해야 한다. 전체 요양기관 10곳 중 2~3곳 정도만 자가점검을 신청한 것으로 나타났다. 구체적으로 전체 요양기관 수는 8만6664곳. 종별로 보면 종합병원급 이상은 101곳, 병원급 1223곳, 의원급 1만6301곳, 약국6438곳만이 자율점검을 기한 내 신청했다. 개인정보보호 자율점검 신청이 8월에 마무리 되면 4개월의 점검 기간을 거쳐 11월 말에는 분석 및 결과를 확인할 수 있다. 의협은 신청을 독려하면서도 참여하지 않았을 때 불이익은 없다고 못박았다. 의협은 "개인정보보호 자율점검은 강제사항은 아니지만 혹시 발생할 수 있는 의료기관 개인정보 유출 사태에 대비하기 위해 실시하는 것"이라며 "자율점검을 하지 않는다고 해서 의료기관에 대한 불이익은 없다"고 운을 뗐다. 그러면서도 "의료기관의 개인정보보호 수준을 단계적으로 향상시켜 혹시 발생할 수 있는 개인정보보호법 관련 위반사항에 대처해야 한다"고 강조했다. 또 "올해 개인정보보호 자율점검은 대대적인 개편으로 절차가 간소화 됐고, 의료기관에서 필요한 서식 또한 쉽게 다운받아 사용할 수 있다"고 설명했다.

메디칼타임즈=문성호 기자건강보험심사평가원이 이 달 말까지인 개인정보 자율점검 신청을 한 달간 연장하기로 했다. 이는 요양기관 참여 신청이 지지부진하기 때문이다. 심평원은 개인정보보호법 강화로 지난해 8월부터 전국 요양기관을 대상으로 자율점검 현장 교육을 실시하고, 매년 전국 요양기관을 대상으로 자율점검을 진행한 바 있다. 건강보험심사평가원은 25일 7월까지였던 2016년도 요양기관 개인정보보호 자율점검 서비스 신청기간을 8월 말까지 한 달간 연장한다고 밝혔다. 이는 최근 요양기관 정보화지원 협의회(의약5단체 정보통신이사 및 심평원 정보통신실장)에서 자율점검에 대해 요양기관들이 인지하지 못하고 있다는 의견이 제기됨에 따라서다. 실제로 현재 자율점검 신청 현황을 살펴보면 대상 요양기관 중 27.8%만이 신청을 마무리한 상황. 구체적으로 전체 8만6664개 요양기관 중 ▲신청 2만4063개(신청률 27.8%) ▲점검진행 1만7656개 ▲점검완료 6407개로 진행되고 있는 것으로 나타났다. 요양기관 종별로 살펴보면 ▲종합병원급 이상 101개 ▲병원급 1223개 ▲의원급 1만6301개 ▲약국 6438개 등 만이 자율점검을 기한 내 신청했다. 이에 따라 심평원은 자율점검 신청 기한을 8월 말까지 한 달 간 유예키로 하고, 대대적인 홍보를 진행한다는 계획이다. 심평원 방근호 정보통신실장은 "요양기관이 개인정보 관리체계 수준을 향상시킬 수 있도록 정보화지원 협의체를 기반으로 변경·개정된 법, 지침 현행화 등 지속적인 관리 강화를 통해 개인정보 안전관리체계를 확립해야 한다"고 강조했다. 그는 "2015년 자율점검을 했던 요양기관도 신청이 가능하므로 많은 참여를 기대한다"고 밝혔다. 한편, 이번 2016년 자가점검은 ▲신청방법 간소화 ▲점검항목 축소 및 개정 ▲증빙자료 서식(예시) 제공 및 보유방식 전환 등 서비스 전반에 대해 사용자의 편의성·접근성을 높였고 9월 30일까지 온라인 자율점검을 완료하면 된다. 더불어 심평원은 2016년도 자율점검 기간인 6월부터 9월까지 행정자치부에 현장점검을 유예해 줄 것을 요청한 바 있다.

메디칼타임즈=문성호 기자6월부터 2016년도 개인정보 자율점검 신청이 시작된 가운데 대상 요양기관 중 6%만이 신청을 한 것으로 나타났다. 즉 자율점검 신청이 지지부진하다는 뜻이다. 4일 건강보험심사평가원에 따르면, 6월 말까지 자율점검을 신청한 요양기관은 대상 요양기관 8만6548개소 중 5117개소(5.9%)가 신청을 한 것으로 조사됐다. 나머지 8만개 이상의 요양기관은 자율점검 신청을 하지 않은 상태로, 자율점검 신청할 요양기관은 7월말까지 신청을 완료해야 한다. 2016년 요양기관 종별 개인정보 자율점검 참여 현황(자료제공 : 건강보험심사평가원) 구체적으로 대상기관이 가장 많은 의원급 의료기관은 3만142개소 중 1965개소(6.5%)가 자율점검을 신청했으며, 약국은 2만1986개소 중 1245개소(5.7%)만이 자율점검 신청을 완료한 것으로 집계됐다. 병원급의 경우 1510개소 중 241개소(16.0%)만이 자율점검 신청을 완료했으며, 나머지 요양병원은 1406개소 중 262개소(18.6%), 종합병원은 296개소 중 39개소(13.2%)만이 자율점검을 신청을 완료한 것으로 나타났다. 나머지 상급종합병원의 경우 43개소 중 2개소(4.7%)가 자율점검을 신청했다. 심평원 정보화지원부 관계자는 "아직 7월 말까지 자율점검 신청기간이기 때문에 기간은 아직 많이 남아있다"며 "한 달간 요양기관을 독려할 예정이다. 지난해와 비슷하게 요양기관들이 적극적으로 참여할 것으로 기대하고 있다"고 밝혔다. 그러면서 심평원은 지난 달 전국적으로 실시한 자율점검 현장 교육을 통해 정부 및 공공기관 사칭 민간기관에 대한 주의를 당부했다. 민간기관을 통한 자율점검을 실시할 수 있지만 특별하게 민간기관의 점검을 받을 이유가 없다는 이유에서다. 정보화지원부 관계자는 "현장 교육을 통해 심평원을 사칭하는 민간기관에 대한 자율점검 교육에 대한 주의를 당부했다"며 "하지만 무작정 요양기관들이 민간기관을 통해 개인정보 점검을 받는다고 심평원이 막을 순 없다"고 설명했다. 그는 "다만, 관련 민간기관에서 실시하는 개인정보와 관련된 점검과 비교했을 때 충분히 심평원의 자율점검으로서 가능한 내용들"이라며 "요양기관들이 불필요한 비용을 사용할 수 있기 때문에 주의를 당부한 것"이라고 덧붙였다. 한편, 심평원이 진행하는 2016년도 자율점검 서비스는 7월 말까지 신청이 가능하며, 9월 말까지 자율점검 실시를 마무리해야 된다. 점검 결과는 11월 말 조회가 가능하다. 더불어 심평원은 2016년도 자율점검 기간인 6월부터 9월까지 행정자치부에 현장점검을 유예해 줄 것을 요청한 바 있다.

메디칼타임즈=박양명 기자 개인정보보호법 강화에 따라 환자 개인정보 보안의 중요성이 커지고 있다. 이에 발맞춰 정부는 개인정보 자율점검을 의무화 하고 있고, 이행하지 않으면 현장점검으로 이어질 수도 있는 상황에서 의료기관의 부담도 늘고 있다. 이런 가운데 일선 개원가와 중소병원의 개인정보보호 부담을 덜 수 있는 팁을 공유하는 장이 열린다. 메디칼타임즈는 컨설팅업체 드림이앤씨, 메디컬커리어연구소 등과 '환자 개인정보 보호'를 주제로 25일 저녁 6시부터 서울 성균관대 법학관에서 토크콘서트를 개최한다. 의료현장에서 환자 개인정보 보호와 상대적 가치에 대한 고민을 함께하고 개인정보보호법의 의료현장에서 적용 문제, 개인정보보호법과 의료법의 비교 등에 대해 논의할 예정이다. 드림이앤씨 강요한 본부장은 "의료기관은 개인정보보호법과 의료법에 따라 환자의 비밀을 보호할 의무가 있다"며 "메르스 사태 경험을 봤을 때, 환자 개인정보를 어떻게 활용하는것이 국민건강에 도움이 되는지 이야기해 볼 필요가 있다"고 설명했다. 토크콘서트는 대한의료법학회 김천수 회장(성균관대 법학전문대학원)이 좌장을 맡아 진행한다. 패널로는 구태언 변호사(테크앤로 법률사무소), 홍성권 이사(EY 한영 보안수석 컨설턴트), 기준호 부장(우리로 SI 사업부 보안 솔루션 부장), 의료법학회 문상혁 이사(백석예술대 교수) 등이 참석한다. 메디컬커리어연구소 이혜진 대표는 "개인정보보호법은 갈수록 강화되는데 실제 현장에서는 괴리감이 크다"며 "행정자치부 현장점검에 대비해 건강보험심사평가원이 9월까지 실시하는 개인정보 자율점검 서비스에서 증빙자료 구비 등에 어려움을 많이 겪고 있다"고 말했다. 그러면서 "이번 토크콘서트에서는 개인정보보호법 강화에 따라 개원가가 겪는 어려움을 해결할 수 있는 팁도 공유할 수 있을 것"이라고 귀띔했다. 참가비는 3만원. 선착순 40명이다. 자세한 문의는 드림이앤씨 031)493-3838, talkconcert2016@gmail.com로 하면된다.