보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

2016년 알아야 할 의료기관 개인정보보호 10가지

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2016-02-01
2011년 3월 29일 제정돼 곧 다섯 돌을 앞두고 있는 개인정보보호법이지만 의료기관의 개인정보보호에 대한 인식은 다른 산업군에 비해 미흡한 상황이다. 지난 2015년 12월 31일, 의료법 시행규칙이 입법 예고됨에 따라 의료기관의 개인정보보호 및 보호조치에 대한 이해가 반드시 필요한 시점이다. 이에 이 글에서는 지난 2015년 2월에 발행된 ‘의료분야 개인정보보호 가이드라인’을 중심으로 의료기관에서 간과하기 쉬운 개인정보보호 법령 기준에 대해 짚어본다. 

한국보건사회연구원(이하 보사연)이 발표한 2013년 보고서에 따르면 일정 규모 이상의 병원급은 어느 정도 법 기준에 따른 개인정보 보호조치가 이루어지고 있지만, 실제 국민들이 흔히 찾는 의원급 의료기관에서는 보호조치에 대한 이해가 부족한 것으로 나타났다. 

[표 1] 의료기관의 개인정보보호 현황 (*출처: 2013년 한국보건사회연구원 연구보고서)

게다가 지난해 말, 의료기관 개인정보보호 자율점검 결과에 따른 보완 조치를 수행해야 하기 때문에 이제 의료기관의 개인정보보호는 더 이상 피할 수 없는 문제가 되었다. 이와 관련해 올해 의료기관에서는 적어도 다음의 10가지 사항에 대해서는 알아두는 것이 바람직하다. 

1. 전자의무기록의 관리 보존에 대한 기준이 강화되는 대신 외부업체 위탁이 가능하게 된다. (예정)
현행 의료법 시행규칙 제16조에 따르면 전자의무기록의 보관은 의료 기관 내로 제한되며 기록의 생성 및 보관, 이력관리에 필요한 장비, 복제/저장에 필요한 백업 장비를 갖추도록 규정하고 있다. 그러나 정보보호와 IT 관리 수준이 떨어지는 의료기관이 자체적으로 관리할 경우에 오히려 정보보호가 제대로 되지 않을 위험이 높다는 지적에 따라 일정 기준을 충족하는 외부업체 또는 원격지에 관리•보관할 수 있도록 의료법 시행규칙을 개정하고 정보보호를 위한 필수 시설과 장비에 대한 조항이 신설되었다. 

[표 2] 의료법 시행규칙 개정안 일부

전자의무기록을 의료기관 자체에서 관리하지 않고 외부기관에 위탁하려하는 경우에는 해당 업체가 필수적인 정보보호 시설과 장비를 갖추고 있어야만 하며 의료기관은 지자체장(시장/군수, 구청장)에게 안전한 관리 보존을 위한 계획서를 제출하도록 함으로써 절차적 보완을 하고 있다. 


2. 개인정보 처리 업무를 위탁할 때는 반드시 다음 내용이 포함된 문서에 의하여야 한다. 
전자의무기록을 의료기관 자체에서 관리하고 있다 하더라도 소프트웨어나 컴퓨터 시스템의 개발 유지 보수를 위해서는 타 업체가 시스템에 저장된 환자의 자료에 접근하는 경우가 있을 수 있다. 또한 전화 예약, 주차 관리, 환자 식이 및 배식, 진료비 수납/환급, 환자 이송 등 의료기관의 여러 업무를 타 업체에 위탁하는 일도 있을 텐데, 이 경우 반드시 개인정보 처리 위탁에 따른 필수 조항을 수록하여 문서화하도록 개인정보보호법은 규정하고 있다. 위반 시 최대 1천만 원의 과태료가 부과된다. 
위탁업체에 대해 유의해야 할 사항은 개인정보 처리에 대해선 수탁업체가 법 위반으로 인한 사고를 일으키면 업무를 위탁한 의료기관에서 법적 책임을 함께 지도록 되어 있다는 사실이다. 법에서는 ‘수탁업체를 위탁자의 직원으로 본다’고 되어 있다. 이러한 관리 책임에 대한 최소한의 이행 사항이 계약 시 필수 문서 확보와 수탁자에 대한 주기적인 교육 점검이라고 보아야 할 것이다. 


3. 모든 의료기관은 “개인정보처리방침”을 수립하고 공개해야 한다. 
개인정보처리방침은 의료기관의 규모와 관계없이 개인정보를 취급하는 모든 조직이 수립하고 공개해야만 하는 법적 의무사항이다. 위반 시 최대 1천만 원의 과태료가 부과된다.
흔한 오해 중 하나가 우리 의원이나 병원은 홈페이지가 없기 때문에 개인정보처리방침이 없어도 된다고 생각하는 것이다. 이는 절대 그렇지 않다. 개인정보처리방침은 개인정보처리에 대한 기본 사항을 이용자(환자)에게 공개함으로써 정보주체의 개인정보 자기결정권을 보장하는 관리적 보호조치 사항이기 때문이다. 개인정보처리방침은 아래와 같은 사항을 필수로 포함하고 있어야 하며, 공개 방법은 ▲홈페이지가 있는 경우에는 홈페이지 메인 화면의 눈에 띄기 쉬운 위치(보통 하단 중앙)에 게시하거나 ▲인쇄물 형태로 병원 내 이용자가 쉽게 열람할 수 있는 위치에 비치, 또는 ▲우편물로 이용자에게 발송하는 방법 등을 선택할 수 있다. 


4. 의료기록이라 하더라도 일정 기간 후엔 파기하는 것이 원칙이다. 
‘의료기록이므로 삭제할 수 없습니다!’ 
의료기관 담당자들에게서 간혹 듣게 되는 단호한 주장이다. 그러나 의료법 시행규칙 제15조에서 “의료기관의 개설자 또는 관리자는 진료에 관한 기록을 다음 각 호에 정하는 기간 동안 보존하여야 한다. 다만, 계속적인 진료를 위하여 필요한 경우에는 1회에 한정하여 다음 각 호에 정하는 기간의 범위에서 그 기간을 연장하여 보존할 수 있다.<개정 2015.5.29.>”고 밝히고 있다. 즉, 법적 보관기간이 지나면 의료기록 또한 파기하는 것이 원칙이며, 진료상 필요 시에만 1회에 한정하여 연장이 가능하다. 따라서 의료기록이라 할지라도 ‘영구보관’이란 없다고 보는 것이 옳을 것이다. 이때 주의할 점은 자료의 파기는 전산시스템뿐만 아니라 직원의 PC에서도 동일한 기준이 적용되어야 한다는 것이다. 

[표 3] 의료기관의 개인정보 종류별 보존 기관

5. 경찰이 의료기록을 달라고 하면 주어야 하나? 이런 경우에만 허용된다!
경찰이 범죄 수사 등을 이유로 의료기록에 대한 열람을 요청하는 경우가 있다. 관행적으로 협조 차원에서 단순 방문이나 전화 연락만 있어도 이를 제공하는 의료기관이 적지 않았다. 그러나 개인정보보호법은 물론이고 의료법에서도 의료기록의 열람 제공은 ‘법에서 규정한 특별한 조건’에만 가능하다. 경찰이 요청할 경우, 의료법 제21조에 근거하여 형사소송법 제106조, 제215조, 제218조에 따른 압수·수색영장에 의하여 해당 환자의 개인정보를 압수하는 경우에만 제공이 가능하며, 다른 기관의 정보요구에 대해서도 법적 근거가 명확한 경우에만 환자의 동의 없이 제공할 수 있다.

6. 병원을 양도•양수한 경우, 이전 사실을 의료기록의 정보주체들에게 반드시 알려야 한다. 
평소 다니던 의원을 찾아가면 의원 이름은 그대로인데 의료진이 싹 바뀐 경우를 간혹 경험한다. 알고 보니 이전 원장이 의원을 새로운 원장에게 팔고 다른 곳으로 옮겼다고 한다. 사업자가 바뀐 양도•양수가 이루어진 것이다. 이 경우 개인정보보호법(제27조)은 개인정보의 이전 사실에 대하여 정보주체(의료기관에 기록 보존되어 있는 환자)에게 통보를 해야 할 의무가 있다. 일차적인 통보 책임은 사업을 넘기는 양도자에게 있으며, 양도자가 의무를 이행하지 않을 경우 양수자 또한 통보의 책임이 있다. 이 또한 위반 시 최대 1천만 원의 과태료가 부과된다. 


7. 전산시스템 ID를 간호사들이 함께 이용하는 일은 절대 금지
규모가 큰 병원에서는 간호사 별로 전산시스템의 사용자 계정을 등록하여 사용하는 게 일반적이지만, 작은 의원에서는 1대의 컴퓨터에서 특정 ID로 로그인한 상태로 여러 간호사가 환자 정보를 조회하거나 입력하는 등 업무를 처리하는 경우가 있다. 바쁜 의원의 현실을 생각하면 십분 이해가 되는 일이지만, 법적 기준으로 보자면 위반 사항이고 정보보호 관점에서도 볼 때도 심각한 문제가 된다. 정보 유출과 같은 보안 사고가 발생하면 빨리 해결하기 위해선 어떤 계정의 사용자가 어떤 행위를 했는지 추적하는 일이 필수적인데 하나의 계정을 여러 사람이 사용한다면 그런 추적이 매우 곤란하기 때문이다. 전문 용어로, ‘추적성 확보’가 안 되는 상황이다. 이러한 이유로 개인정보의 안전성 확보조치 기준도 개인정보취급자 계정의 공유 사용을 엄격하게 금지하고 있으며 위반 시에는 최대 3천만 원 이하의 과태료를 부과할 수 있도록 하고 있다. 


7. 상시 근로자가 5명 이상이라면 내부관리계획을 수립해야 한다. 
병원이든 의원이든 환자의 정보를 취급하는 근로자 수가 4명을 넘으면 개인정보 내부관리 계획을 수립해야만 한다. 개인정보 내부관리 계획이란 개인정보 보호에 대한 지침 또는 말 그대로 계획이라고 보면 되는데, 이 계획을 수립하는 것 자체가 개인정보의 안전성 확보조치 기준에 해당된다. ‘내부관리계획’란 타이틀로 문서 표지를 작성하고 내용으로는 다음 사항에 대해 검토하고 기록하여 책임자(개인정보책임자를 별도로 지정하지 않은 경우에는 의료기관의 최고경영자) 승인을 받은 후 보관하고 있으면 된다. 


8. 진료실에 CCTV가 있을 경우, 반드시 동의를 받아야 한다. 
CCTV에 촬영된 개인의 영상 정보는 법으로 보호받아야 할 개인정보이다. 개인정보보호법에 따르면 일반적으로 공개된 장소에 설치된 CCTV에 대해서는 안내판을 설치하여 CCTV 운영 사실을 공개하기만 하면 된다. 그러나 진료실은 의료인과 환자만이 출입할 수 있으므로 불특정 다수가 출입할 수 있는 공개된 장소라고 보지 않는다. 따라서 진료실에 CCTV 등 영상정보처리기기를 설치하여 촬영하기 위해서는 이곳에 출입하는 모든 사람의 동의를 받아야만 녹화할 수 있다. 동의를 받은 경우에도 개인의 사생활 침해가 최소화되도록 녹화만 할 수 있을 뿐, 녹음은 할 수 없다. 녹음 금지 위반 시, 3년 이하의 징역 또는 3천만 원 이하의 벌금이 부과된다. 

9. PC에 저장된 고유식별정보도 반드시 암호화해야 한다. 
의료기관의 개인정보처리시스템으로는 병원정보시스템, OCS(Order Communication System, 처방전달시스템), EMR(Electronic Medical Record, 전자의무기록), PACS(Picture Archiving Communication System), LIS(Lab Information System, 임상병리시스템), 건강검진시스템 등을 들 수 있다. 이런 시스템에 저장되는 개인정보 중 주민등록번호, 외국인등록번호, 운전면허번호, 여권번호 등 4가지 정보는 ‘고유식별정보’로 분류되어 반드시 암호화를 하도록 규정하고 있다. 실제로 이 부분은 규모가 있는 병원의 시스템에서는 암호화가 잘 되어 있는 편이다. 
반면, 담당자의 PC에 저장된 고유식별정보는 암호화가 미흡한 경우가 많다. 암호화를 해야 한다는 인식 자체가 없거나 암호화 솔루션이 있어도 업무 편의성을 이유로 해제시켜 놓고 쓰는 경우도 있다. 개인정보의 안전성확보 조치기준은 PC에 저장되는 고유식별정보에 대한 암호화를 요구하고 있으며 최근엔 APT 공격 등 사내 PC를 통한 보안 침해 및 정보 유출 위험이 높아지고 있어 각별한 주의가 필요하다. PC 내 고유식별정보를 암호화하기 위해 DRM(Digital Rights Management)이나 암호화 솔루션을 사용하지 않더라도 엑셀과 같은 문서 편집 솔루션에 내장된 패스워드 설정 기능을 이용해도 무방하다.
 

10. 개인정보가 유출되면 반드시 정보주체(의료기록에 수록된 환자 등)에게 알려야만 한다. 
법에서 규정한 개인정보가 유출된 상황은 다음과 같다. 


해킹 등 사이버 공격에 의한 보안 침해 사고가 아니더라도 내부자의 실수에 의하여 개인정보가 수록된 파일 또는 종이문서가 권한이 없는 사람에게 잘못 전달될 수 있다. 이 경우에도 유출된 정보의 당사자에게 서면, 전자우편, 전화, SMS 등을 이용해 유출 사실에 대한 통지를 반드시 해야 한다는 의미이다. 위반 시 3천만 원 이하의 과태료가 부과된다. 
개인정보 유출 발생 시, 정보주체에게 통지해야 할 사항은 아래와 같다. 또한 유출 건수가 10,000건을 넘는 경우에는 정보주체에게 통지하고 조치 결과를 5일 이내에 행정자치부장관 또는 전문기관(한국정보화진흥원, 한국인터넷진흥원) 중 하나에 신고해야 한다. 

  • AhnLab 로고
  • 관리컨설팅팀 이장우 이사
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.