개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 1월 10일(수),금년 들어 첫 번째 전체회의를 열고, 의료기관의 개인정보 보호조치 강화를 위한개선사항을 의결하였다.

 

먼저, 개인정보위는 의료기관의 환자 개인정보 유출사건 후속으로 보건복지부의 협조를 받아 ’23. 6월 ~ 9월간 전자의무기록(Electronic Medical Record, 이하 ‘EMR’)시스템을 제공하는 상위 5개*사업자(7개 소프트웨어)를 조사한 결과, 일부 EMR 시스템이 환자 개인정보 보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인하고,조사 대상 사업자에게 개선을 권고하였다.

 

* ㈜유비케어, ㈜비트컴퓨터, 이지케어텍㈜, 포인트임플란트㈜, ㈜이지스헬스케어

 

< 조사 대상 EMR의 개선 필요 사항 >

▲개인정보취급자 계정에 대한 접근권한 관련 기록, ▲비밀번호 제한 해제 시 확인, ▲외부에서 접속 시 안전한 접속·인증수단, ▲안전한 암호화 알고리즘, ▲취급자 접속기록 중 처리한 정보주체 정보 기록, ▲개인정보 다운로드 사유 입력·확인, ▲삭제 기능 제공 등

 

나아가, 개인정보위는 조사와 병행해 보건복지부와 긴밀한 협의를 거쳐 의료기관이 사용하는 EMR 시스템의 전반적인 개인정보보호 수준 향상을 위해 「EMR 인증기준」 및 「청구소프트웨어 적정성 검사기준」을 강화하기로 하였다.

 

이에 따라 보건복지부, 한국보건의료정보원, 건강보험심사평가원은「EMR 인증기준」 및「청구소프트웨어 적정성 검사기준」을 구체화하는 작업을 진행할 예정이다. 특히 권한 없는 자의 시스템 접근을 막고, 사고 발생 시 책임추적성을 강화하는 것이 핵심 내용이다.

 

< 「EMR 인증기준」 및 「청구소프트웨어 적정성 검사기준」 반영 사항 >

▲접근권한 변경내역 기록항목보완, ▲최대 접속시간 상한 기준 마련, ▲안전한 암호화 알고리즘, ▲접속기록에 처리한 정보주체정보 포함, ▲개인정보 다운로드 사유 입력·확인 기능 등

 

개인정보위는 의료기관의 환자 개인정보 관리책임을 강화하기 위한 구체적인 방안을 마련하여 안내할 예정이다.

 

<의료기관의 관리책임 강화조치>

▲의료기관과 EMR제공사의 위·수탁 계약 명확화, ▲의료기관의 개인정보 책임 명확화를 위한 교육, ▲의료기관에서 인증받은 버전의 EMR 제품 사용하도록 유도 등

 

이번 개선방안 마련을 통해 EMR 시스템 및 청구소프트웨어를 사용 중인대다수 의료기관(상급종합병원, 종합병원, 병원, 의원 약 37,000여 개소)의환자 개인정보 보호 수준이 향상되고, 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것으로 기대된다.