의료기관은 환자의 건강상태, 신체적 특징, 병력 등 민감정보, 주민등록번호 등 고유식별정보, 그 밖에 신용카드번호, 통장계좌번호, 근로정보, 개인영상정보 등 다양한 개인정보를 처리하고 있다. 이런 상황에 의료기관 개인정보 유출 사고가 발생한다면 그 파장은 다른 분야의 정보유출 사고와는 차원이 다른 파장이 일어날 수 있다.
 
김준태 보건복지부 사무관은 데일리시큐 주최 ‘2014 의료기관 개인정보보호·정보보안 컨퍼런스 MPIS 2014’에서 ‘의료기관 개인정보보호 가이드라인’에 대해 상세히 설명하는 시간을 가졌다. 이 자리에는 국공립, 대학, 민간의료기관 개인정보보호 및 정보보안 실무자 300여 명이 참석했다.

 
김 사무관은 “의료기관 가이드라인은 개인정보보호법 취지 및 주요 원칙, 의료기관의 업무특성을 고려해 개인정보 처리 업무 담당자들이 실무에 참고할 수 있는 가이드라인의 마련이 필요했다”며 “환자, 의료인, 의료기관 직원 등의 개인정보 처리 기준 및 유의사항을 이해하기 쉽게 설명하고 있다”고 가이드라인에 대한 이해와 실행을 당부했다.
 
실제 지난해 12월 안전행정부와 보건복지부에 의해 마련된 ‘의료기관 개인정보보호 가이드라인’은 개인정보 처리에 따른 의료기관과 환자 사이에 발생할 수 있는 분쟁을 예방하고 개인정보유출 등 개인정보 침해사고를 방지할 수 있는 실질적인 자료다.
 
한편 김 사무관은 의료기관 개인정보 처리기준에 대해 단계별로 주의할 사항과 사례를 들어 상세히 설명했다.
 
우선 진료신청 단계에서 동의 없이 수집할 수 있는 개인정보로는 인터넷, 전화 등에 의한 진료 예약시 성명, 생년월일, 주소, 연락처 등이 해당되며 방문에 의한 진료 신청시에는 성명, 주민등록번호, 주소, 전화번호, 진료과목 등이 해당된다.
 
또 정보주체의 동의 없이 수집 가능한 진료목적의 범위는 △진료와 직접 관련된 진료신청, 진단, 검사, 치료, 수납 등 업무, 진료신청 문자발송, 검사결과 통보 등의 업무 △진료와 연결된 예방접종 △병원 이전 또는 휴업에 관한 정보 등이다.
 
한편 동의를 받아야 수집과 이용이 가능한 경우는 고객관리를 위한 개인정보는 별도의 동의가 필요하다. DM, SMS 등을 통한 홍보 및 마케팅을 목적으로 환자 인적사항 등을 수집하려면 고객정보 수집 · 이용에 동의한 환자의 정보만 수집해야 한다. 특히 홈페이지 회원 개인정보 수집시에는 반드시 정보주체의 동의가 필요하며 홈페이지 회원정보로 주민등록번호는 수집하지 않도록 해야 한다.

 
김 사무관은 특히 위탁관리에 대해 강조했다. “개인정보 처리 위탁시 사실을 인터넷 홈페이지와 사업장 등 보기 쉬운 장소에 게시해야 하고 개인정보가 분실, 도난, 유출, 변조, 훼손되지 않도록 수탁자 감독에 신경을 써야 한다”며 “수탁자가 개인정보보호법을 위반해 손해배상 책임이 있는 경우 개인정보처리자인 위탁자의 소속직원으로 간주하기 때문에 관리감독에 각별한 주의를 기울여야 한다”고 당부했다.
 
더불어 영상정보처리기기 설치에 대해서도 “안내판 설치를 통해 설치 목적, 촬영범위, 시간, 관리자 성명 및 연락처, 위탁받는 자의 명칭 등을 공개해야 하며 녹음은 정보주체의 동의를 받은 경우에만 가능하고 촬영자료는 개인정보처리방침, 안정성확보조치 등 개인정보보호법상의 모든 규정을 적용받게 된다”고 설명했다.
 
특히 5명 이상의 상시근로자가 근무하는 의료기관에서는 내부관리 계획 수립 및 시행을 반드시 이행해야 하며 업무별 사용자 그룹별 접근권한 설정 및 접근권한 부여, 변경, 말소 내역을 기록해야 한다.
 
또 김 사무관은 “정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 침입차단시스템(Firewall) 또는 침입방지시스템(IPS) 등을 설치 및 운영해야 하며 외부에서 개인정보처리시스템에 접속하려는 경우, 가상사설망(VPN) 또는 전용선 등 안전한 접속수단을 적용하고 개인정보 암호화 계획도 수립 및 적용해야 한다”고 강조했다.
 
이외에도 접속기록의 보관 및 위·변조 방지도 강조했다. 접속기록은 최소 6개월 보관·관리해야 하며 위·변조 및 도난, 분실되지 않도록 안전하게 보관해야 한다. 그리고 보안프로그램에 대한 업데이트를 주기적으로 실시해야 하며 원무실, 전산실, 의무기록실 등 출입통제 계획 마련 및 보안 사고 예방 및 사고 발생 시 증적을 확보할 수 있도록 개인정보 보관시설에는 CCTV 설치를 권고하고 있다.
 
한편 정보유출 사고가 발생시, 정보주체에게 유출사실을 알리고 1만건 이상 유출시 안전행정부 또는 전문기관인 KISA나 NIA에 신고해야 한다.
 
또 민간 의료기관 개설자가 폐업 또는 휴업 신고를 할 때에는 기록·보존하고 있는 진료기록부, 조산기록부, 간호기록부, 그 밖의 진료에 관한 기록을 관할 보건소장에게 이관해야 하며 공공 의료기관이 폐업한 경우, 그 사무를 승계하는 기관이 없을 때에는 폐업하는 의료기관장은 지체 없이 그 기관의 기록물을 소관 영구기록물관리기관으로 이관해야 한다고 규정하고 있다.
 
김준태 사무관은 “개인정보보호법은 일반법이므로 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법이 적용된다”며 “의료법에 따른 진료기록부,조산기록부, 간호기록부, 환자명부, 수술기록부, 처방전 등을 위한 개인정보 수집·열람·제공은 의료법 규정이 우선 적용된다. 의료법에 규정되어 있지 않은 사항은 개인정보보호법에 따라 처리하면 된다”고 설명했다.
 
데일리시큐 자료실에서는 MPIS 2014 발표자료와 의료기관 개인정보보호 가이드라인을 다운로드할 수 있다.
 
<★정보보안 정책 및 법률정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com