환자 개인정보 불법처리 의료정보시스템 인증 취소

보건복지부가 건강보험 청구·사전검토 소프트웨어를 사용해 환자 개인정보를 불법 처리할 경우 해당 전산업체 소프트웨어의 인증 취소 및 일정기간 동안 재인증을 금지할 계획이다.

복지부는 23일 검찰에서 발표한 ‘외주 전산업체의 의료기관·약국 환자 개인정보 불법 처리사건’과 관련해 이 같은 내용을 포함한 재발방지대책을 발표했다.

복지부는 “검찰 수사에서 드러났듯 의료기관·약국의 전산시스템 구축·유지보수 등의 업무를 하는 외주 전산업체가 환자 개인정보를 불법적으로 취득한 데에 주된 문제점이 있다고 보고 이에 대한 대책을 집중적으로 추진할 계획”이라고 밝혔다.

대책에 따라 건강보험 청구 관련 소프트웨어 배포·유지보수 등을 하면서 의료기관·약국의 환자 개인정보를 청구 이전에 불법 처리한 외주 전산업체의 청구 소프트웨어를 사용하지 못하게 할 계획이다.

이는 환자의 개인정보를 불법처리해 기소된 업체에 강력한 행정제재조치를 내려, 추가적인 환자 개인정보 불법 처리가능성을 사전에 차단하기 위함이다.

복지부는 또 의료기관·약국의 전산시스템을 실질적으로 관리하는 외주 전산업체의 환자 개인정보 악용을 방지할 수 있도록 하기 위해 ‘외주 전산업체 등록제’를 도입한다. 

아울러 의료기관·약국용 정보시스템에 대해 적격성 기준을 심사해 인증을 부여하고 인증을 받은 제품만 사용하도록 할 방침이다.

외주 전산업체가 의료기관·약국 정보시스템에 접속한 기록과 의료기관·약국에서 외부로 정보를 제공한 기록을 각각 작성·보관하도록 의무화해 불법적인 정보 유출·제공을 쉽게 확인할 수 있게 하기로 했다.

등록업체와 인증제품에 대한 무작위 수시 점검체계(spot check)를 도입하고 환자 개인정보를 불법 수집한 외주 전산업체 등에 대해서는 징벌적 과징금 등 엄격한 제재방안도 마련한다. 

또 일선 의료기관에서 사용하는 ‘건강보험 청구 사전검토 소프트웨어’의 기능과 운영방식의 범위와 한계를 명확하게 설정하기로 했다.

건강보험심사평가원에서는 사전검토 소프트웨어별로 검사 인증과 사후 관리를 실시하는 제도를 마련할 계획이다.

아울러 심평원에서 실시하는 청구 소프트웨어 사전인증(검사) 및 사후검사항목에 개인정보 보안항목(암호화, 불법처리 방지 등)을 추가해 환자 개인정보가 불법적으로 처리되지 않도록 관리·감독을 강화할 계획이다.

청구 소프트웨어의 보안성 강화와 사전검토 소프트웨어에 대한 관리강화대책은 건강보험법령 및 하위 고시를 조속한 시일 내에 개정해 추진할 계획이다.

또 복지부는 현행 개인정보보호법에 따라 의료기관·약국에서 환자 개인정보를 보다 안전하게 관리할 수 있도록 자율점검 실시, 가이드라인 보완 및 정보보호 교육 강화 등을 추진하기로 했다.

각 의료인단체 등과 협의해 다음달 중 일선 의료기관·약국이 환자개인정보 관리 실태를 자율적으로 점검·보완하고 자율점검에 참여하지 않는 의료기관·약국은 관계기관과 합동으로 현장 점검을 실시할 계획이다.

환자 개인정보를 적정하게 처리하지 않은 의료기관·약국은 관련법에 따른 조치를 강구한다.

이와 함께 ‘개인정보 보호 가이드라인’을 보완, 의료기관 등에서 손쉽게 개인정보보호법 등을 준수할 수 있도록 하고 의료인·약사 보수교육과정에 정보보호 교육을 강화할 방침이다.

복지부는 관계자는 “전문가 TF를 운영해 단계별로 외주 전산업체 관리 및 정보보호 강화를 위한 세부 실행방안을 구체화하고 환자 의료정보 보호 및 (외주)전산업체 관리에 필요한 사항은‘(가칭) 건강정보보호법’을 제정해 추진할 계획”이라고 밝혔다.