개인정보위, 의료정보 관리 기업에 보안기능 개선 권고

국내 병원 대부분 사용 중인 EMR 시스템 인증기준 등 강화

[아이뉴스24 박진영 기자] 개인정보보호위원회는 지난 10일 올해 첫 번째 전체회의를 열고, 의료기관의 개인정보 보호조치 강화를 위한 개선사항을 의결했다.

고학수 개인정보보호위원회 위원장이 10일 오후 서울 종로구 정부서울청사에서 2024년 제1회 개인정보보호위원회 전체회의 개회를 알리며 의사봉을 두드리고 있다. [사진=개인정보보호위원회 ]

개인정보위는 의료기관 환자 개인정보 유출사건 후속으로 보건복지부 협조를 받아, 지난해 6월부터 9월까지 전자의무기록(EMR)시스템을 제공하는 상위 5개 사업자(유비케어·비트컴퓨터·이지케어텍·포인트임플란트·이지스헬스케어)를 조사했다.

그 결과 일부 EMR 시스템이 환자 개인정보 보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인했고, 조사 대상 사업자에게 개선을 권고했다.

또 의료기관이 사용하는 EMR 시스템의 전반적인 개인정보보호 수준 향상을 위해 'EMR 인증기준'과 '청구소프트웨어 적정성 검사기준'을 강화하기로 했다.

이에 따라 보건복지부, 한국보건의료정보원, 건강보험심사평가원 등은 'EMR 인증기준'과 '청구소프트웨어 적정성 검사기준'을 구체화하는 작업을 진행한다. 특히 권한 없는 자의 시스템 접근을 막고, 사고 발생 시 책임추적성을 강화하는 것이 핵심이다.

개인정보위는 의료기관의 환자 개인정보 관리책임을 강화하기 위한 구체적인 방안을 마련해 안내할 예정이다. 의료기관 관리책임 강화 방안으로 △의료기관과 EMR제공사의 위·수탁 계약 명확화 △의료기관의 개인정보 책임 명확화를 위한 교육 △의료기관에서 인증받은 버전의 EMR 제품 사용하도록 유도 등이다.

개인정보위 측은 "이번 개선방안 마련을 통해 EMR 시스템 및 청구소프트웨어를 사용 중인 대다수 의료기관의 환자 개인정보 보호 수준이 향상되고, 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것으로 기대된다"고 전했다.

/박진영 기자(sunlight@inews24.com)