개인정보보호위원회(개인정보위)가 1월 10일, 올해 첫 번째 전체회의를 열고 의료 기관의 개인정보 보호 조치 강화를 위한 개선 사항을 의결했다.
먼저 개인정보위는 의료 기관의 환자 개인정보 유출 사건 후속으로 보건복지부의 협조를 받아 2023년 6월부터 9월까지 전자 의무 기록(EMR: Electronic Medical Record)시스템을 제공하는 상위 5개 사업자(7개 소프트웨어)를 조사했다. 조사 결과 일부 EMR 시스템이 환자 개인정보 보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인하고 조사 대상 사업자에게 개선을 권고하였다.
조사 대상 EMR의 개선 필요 사항은 ▲개인정보 취급자 계정에 대한 접근 권한 관련 기록 ▲비밀번호 제한 해제 시 확인 ▲외부에서 접속 시 안전한 접속·인증 수단 ▲안전한 암호화 알고리즘 ▲취급자 접속 기록 중 처리한 정보 주체 정보 기록 ▲개인정보 다운로드 사유 입력·확인 ▲삭제 기능 제공 등이다.
개인정보위는 조사와 병행해 보건복지부와 긴밀한 협의를 거쳐 의료 기관이 사용하는 EMR 시스템의 전반적인 개인정보 보호 수준 향상을 위해 'EMR 인증기준' 및 '청구소프트웨어 적정성 검사기준'을 강화하기로 했다.
이에 따라 보건복지부, 한국보건의료정보원, 건강보험심사평가원은 EMR 인증기준 및 청구소프트웨어 적정성 검사기준을 구체화하는 작업을 진행할 예정이다. 특히 권한 없는 자의 시스템 접근을 막고 사고 발생 시 책임 추적성을 강화하는 것이 핵심이다.
주요 내용은 ▲접근 권한 변경 내역 기록 항목 보완 ▲최대 접속 시간 상한 기준 마련 ▲안전한 암호화 알고리즘 ▲접속 기록에 처리한 정보 주체 정보 포함 ▲개인정보 다운로드 사유 입력·확인 기능 등이다.
또한 개인정보위는 의료 기관의 환자 개인정보 관리 책임을 강화하기 위해 ▲의료 기관과 EMR 제공사의 위·수탁 계약 명확화 ▲의료 기관의 개인정보 책임 명확화를 위한 교육 ▲의료 기관에서 인증받은 버전의 EMR 제품 사용하도록 유도 등 의료 기관의 관리 책임 강화 조치를 안내할 예정이다.
이번 개선 방안 마련을 통해 EMR 시스템 및 청구 소프트웨어를 사용 중인 대다수 의료 기관(상급종합병원, 종합병원, 병원, 의원 약 3만 7천여 개소)의 환자 개인정보 보호 수준이 향상되고 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것으로 기대된다.
