개인정보보호위원회(이하 개인정보위)가 개인정보 보호 분야에 전문성과 경험을 갖춘 전문 인력이 의료기관의 개인정보에 관한 보호 업무를 총괄하여 책임지도록 관련 제도 개선을 추진한다.

대상은 고유 식별 정보 및 건강 등 환자의 민감 정보를 대규모로 보유한 대형 의료기관(상급종합병원)으로 현재 보건복지부가 지정한 45개 의료기관이 여기에 해당한다.

개인정보위는 20여 개 상급종합병원 개인정보 보호 책임자(CPO: Chief Privacy Officer)가 참여한 가운데 10월 12일 오후 3시 대한상공회의소에서 ‘의료기관 개인정보 보호책임자 간담회’를 개최하고 의료 분야 개인정보 보호 강화를 위한 다양한 방안을 논의했다.

지난 3월 14일, ‘개인정보 보호법’ 개정을 통해 개인정보 보호 책임자의 독립성 보장 의무와 자격 요건에 관한 사항이 신설되었으며, 개인정보위는 그 세부 내용을 규정하기 위해 동법 시행령 개정을 추진하고 있다.

개정된 개인정보 보호법 제31조는 개인정보 처리자에게 개인정보 보호 책임자가 업무를 독립적으로 수행할 수 있도록 보장할 의무를 부여하고 개인정보 보호 책임자가 전문성을 가질 수 있도록 자격 요건에 관한 사항을 하위 법령으로 규정하도록 했다.

종전에도 의료기관을 포함한 개인정보 처리자에게 개인정보 보호 책임자 지정 의무를 부여하고 있었으나, 조직의 대표자 또는 임원 등이 수행하도록 직위 요건만 규정하고 있었다. 이에 따라 다수의 의료기관에서 개인정보 보호 분야에 대한 경험과 이해가 부족한 의료진과 행정 인력이 개인정보 보호 책임자를 겸임하는 등 전문성 확보에 한계가 있어 왔다.

이날 간담회에서 개인정보위는 법 개정에 따라 향후 개인정보 보호 책임자가 갖춰야 될 전문성 및 독립성 확보를 위한 방향성에 대해 설명하였다. 구체적으로 개인정보 보호 책임자가 갖춰야 할 학력 및 개인정보 보호 경력(유관 경력 포함) 등 자격 요건을 도입하고 독립성 보장 방안 마련을 추진할 계획이다.

특히, 개인정보 보호 전문성을 갖춘 의료인 개인정보 보호 책임자가 양성될 수 있도록 의료 분야의 특수성을 고려한 경력 인정 체계 도입을 검토하고 맞춤형 교육 및 컨설팅을 제공하는 등 다양한 방법으로 지원하겠다고 밝혔다.

이와 함께 대한병원협회 등 의료 분야 자율규제단체를 통해 연말까지 자율 점검을 집중 추진하고, 우수 기관에 대한 과태료·과징금 감경 등 인센티브 부여로 의료 기관의 개인정보 보호 자율 규제 활동도 적극적으로 지원해 나갈 예정이다.

또한 개정된 개인정보 보호법 시행(9.15.) 이후 개인정보 침해사고 발생 등 개인정보 보호법을 위반한 개인정보 처리자에 대한 처벌 조항이 강화된 점도 함께 안내해 의료 분야의 개인정보 보호에 대한 경각심을 제고했다.

간담회에 참석한 상급종합병원 개인정보 보호 책임자들은 의료기관에 전문성을 가진 개인정보 보호책임자를 도입하는 제도 취지와 필요성에 대해서 공감하는 한편, 의료 현장을 고려한 적용 범위 설정 등 합리적 제도 설계에 대해 다양한 의견을 개진했다.

최장혁 개인정보위 부위원장은 “의료기관에 대한 국민의 신뢰를 더욱 높이기 위해서는 의료 현장 전반에 걸친 개인정보 보호 문화 정착이 필수다. 앞으로도 의료기관 개인정보 보호 책임자로서 자부심과 책임감을 갖고 일할 수 있도록 제도 기반을 잘 마련해 나가겠다”고 밝혔다.

석주원 기자 다른기사 보기