병원 자발적 의지에 맡겨져, 보안 지도· 점검할 법적 권한 부재


▲ 보건복지부 정보화담당관실 김준태 사무관





"환자의 개인정보보호를 위해서는 예산 확보도 물론 중요하지만 무엇보다 경영진의 의지와 보안 의식이 중요합니다. 병원의 경영진이 인터넷뱅킹 시 본인의 정보는 철저히 보호받기를 원하면서도 환자의 민감한 개인정보보호에는 손 놓고 있는 것을 보면 안타깝습니다."

보건복지부 정보화담당관실 김준태 사무관은 병원들의 개인정보보호 수준을 높이기 위한 가장 좋은 방법은 개인정보보호법 시행이라고 단언했다. 복지부는 지난해 500병상 이상의 병원들 100여 곳을 대상으로 개인정보보호 가이드라인을 배포했지만, 지도 점검할 법적 권한이 없기 때문에 그 이후로는 본의 아니게 손을 놓고 있는 상태다.

김 사무관은 "의료 기관들이 보안을 강화하려면 아직 갈 길이 멀었다고 본다. 지난해 가이드라인을 내놓았지만 권고 수준이라 대부분의 병원들이 손 놓고 있는 것으로 안다. 개인정보보호법이 시행되어 민간병원들의 보안까지 규제가 가능해져야 의료정보보안 수준이 올라갈 수 있을 것"이라고 말했다.

개인정보보호법이 시행되어야만 현 의료법으로 불가능한 병원들 대상의 관리를 수반한 지시와 제대로 된 보안 점검이 가능해질 것으로 보고 있다. 한마디로 병원의 자발적인 보안 강화를 기대하기 힘들다는 것이다.

큰 병원도 보안 의식 낮아… 교육, 점검 등의 노력 필요
3년에 한 번씩 시행해오던 보건복지부 의료기관 평가가 지난해 인증제로 변경됐는데, 복지부는 의료기관 평가 항목에 개인정보보호 부분을 포함시키려 적극 나서고 있다. 이는 개인정보보호 가이드라인만을 가지고 권고만 해온 복지부가 개인정보보호의 실효성을 확보하는 차원에서 추진하고 있는 것이다. 본 사항은 1월 24일 의료기관 평가인증위원회 구성이 완료 되면 2월 초쯤 최종적으로 확정된다.

또한 복지부에서 하고 있는 개인정보보호 관련 업무로는 ▲개인정보 상시 모니터링 시스템 운영 ▲복지부 산하 공공기관 및 소속기관들을 대상으로 한 개인정보보호 실태점검 등이 있다.

개인정보 상시 모니터링 시스템은 전 국민의 의료정보를 취급하는 건강보험공단, 국민연금관리공단, 건강보험심사평가원 등에서 처리되는 업무관련 로그를 남겨 업무목적 외에 개인정보가 활용되지는 않는지를 분석하는 시스템이다. 각 기관별로 자체적으로도 모니터링을 하고 있지만, 복지부에서 지난해부터 전 기관을 통합 모니터링하고 있다.

뿐만 아니라, 복지부 산하 기관들을 대상으로 2009년부터 정기적인 개인정보보호 실태점검을 하고 있다. 12개 기관, 5개 주요 시스템에 대해 기관 규모에 따라 매년 혹은 3년에 한 번씩 점검을 실시하고 있다. 국민연금관리공단, 일산병원 등 큰 기관들의 경우 보안이 잘 되어 있어서 점수를 매기자면 90점이 넘지만, 전체 기관들의 평균 보안 점수는 50점 정도에 불과하다.

정신병원이나 결핵병원의 경우 보안 수준이 높지 않기 때문이다. 병상 수는 많으나 전산직원이 1명으로 보안에 신경 쓸 여력이 절대적으로 부족한 곳도 있다.

김준태 사무관은 "큰 병원들조차 보안 의식 자체가 별로 없는 곳이 많다. 보안 예산 투자에도 인색하다. 반드시 필요하다는 생각 보다 오히려 손해난다고 생각한다"며 "기술적으로 큰 문제가 없어도 사람이 하는 일이라 보안 의식이 낮아 정보유출 사고가 발생할 수 있다. 교육이나 철저한 관리 점검을 통해 보안 의식을 높여나가는 노력이 가장 필요하다"고 강조했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지