세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
의료기관, 기술적 관리적 개인 의료정보 보호 체계 필수
  |  입력 : 2009-09-29 18:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

국내 14개 대학병원 법무·전산 담당자 대상 개인정보보호 의무관련 정보 제공

최근 전 산업분야에 걸쳐 개인정보보호에 대한 관심이 증대되고 있는 가운데 의료기관을 대상으로 개인정보보호 세미나가 개최되어 국내 의료기관 관계자들의 관심을 끌었다. 이화여자대학교 생명의료법연구소와 법무법인 지평지성(www.js-horizon.com), 그리고 안철수연구소(www.ahnlab.com)는 9월 29일 이화여자대학교 법과대학 신관 232호 모의법정실에서 국내 14개 대학병원 법무담당자 및 전산담당자 등 50여명을 초청한 가운데 ‘의료개인정보보호세미나’를 개최했다.

    

이번 ‘의료개인정보보호세미나에서는 올해 7월 1일부터 정보통신망이용촉진 및 정보보호에 관한 법률(이하 ‘정보통신망법’) 시행규칙의 개정으로 모든 의료기관에 정통망법의 개인정보보호의무가 적용되는 가운데 의료기관의 개인정보보호의무에 대한 법률적인 이해와 대응 방안을 비롯해 시스템구축 및 운영방안에 대한 실제적인 검토가 이루어져 참여한 병원 관계자들의 많은 관심을 모았다.

 

이번 세미나는 정보통신망법 및 의료관계법에 의거한 개인정보보호의무의 이행 방안을 제시하는 1주제와 이를 실제로 시행하기 위한 시스템구축 방안을 제시하는 2주제로 진행됐다. 각각의 주제 발표에서는 관련 법제현황과 개인정보의 수집, 제3자 제공, 보관, 열람, 수정 및 폐기 의무와 개인정보보호정책의 사례 등 법률적 측면과, 의료기관의 개인정보보호체계의 수립과 추진 전략 등 기술적 측면에서 논의가 진행됐다.


의료정보의 특수성에 따른 법 제정 필요

먼저 첫 번째 주제 발표자로 나선 법무법인 지평지성의 이소영 변호사는 ‘의료기관의 개인정보 보호’라는 주제 발표에서 “의료기관은 정통망법 개정안 및 의료 관계법에 의거한 개인정보보호의무 이행 규정을 숙지하고 민·형사항의 처벌 규정에 따라 처벌 받는 일이 없도록 주의해야 한다”면서 “현재 개인건강정보보호법안이 3개 정도 발의됐는데 이는 정통망법 준용사업자의 개인정보보호 의무에 관한 법률과 기본 틀은 비슷할 것으로 예상되기 때문에 잘 알고 대비해야 한다”고 말했다.

 

또한 그는 이러한 규정을 지키지 않고 민·형사상 소송이 발생되거나 처벌을 받게 되면 해당 의료기관의 대외적 신임도를 떨어뜨릴 수 있으며 이에 따라 의료기관은 환자들에게 포괄적인 개인정보보호에 관련한 동의서 또는 동의를 받아야 하는 등의 방침을 정해야 한다고 밝혔다.

 

아울러 연구목적의 환자 개인정보를 이용하는 경우에도 임의대로 전산담당자에게 환자 개인정보를 요구해서 이를 무단으로 사용하는 것도 관련법에 어긋나기 때문에 각 병원은 이를 위한 별도의 동의서를 받아 사용할 수 있도록 해야 한다고 말했다.

 

한편, 의료 개인정보는 일반적인 개인정보뿐만 아니라 전문가의 소견 등 생성된 개인정보이기 때문에 특수성이 존재한다. 외국의 경우 특수법이나 지침을 통해 의료 개인정보가 보호되고 있지만 우리나라의 경우 일반 정보통신사업자들과 동일한 보호가 이뤄지기 때문에 여러 가지 다양한 문제가 나타날 수 도 있다는 점도 지적했다.

 

특히 의료 개인정보는 의료정보취급기관, 보험자, 고용주, 법집행기관 등의 다양한 이용자에 의해 접근되는 민감하면서 특수한 정보이다. 개인의 사생활면에서도 개인의 가족사항, 유전적 특징, 병력, 약물 중독 내용, 성병 등이나 개인의 신분관계, 재산 관계, 가족관계, 사회생활, 성생활, 성품, 습관 등 정보유출로 인한 피해가 매우 큰 정보이다.

 

외국의 경우에는 특수법이나 특별한 가이드라인을 통해 의료 개인정보를 보호하고 있지만 우리나라의 경우, 전국 대학병원 등 대형 의료기관은 공공기관의 개인정보보호에 관한 법률에 의해 관리되고 있고 나머지 소규모 병원은 정보통신망법에 의해 관리되고 있다. 하지만 의료 개인정보만의 특수성이 고려되지 않아 환자개인정보관리에 대한 여러 가지 관련 업계의 논란이 되고 있다.


기술적·관리적인 개인정보보호체계 수립

이소영 변호사에 이어서 ‘의료 기관의 개인정보 보호’에 대한 주제 발표를 진행한 김지연 변호사는 “준용사업자의 경우 개인정보 취급방침을 정해 이용자에게 공개해야 한다”며 “개인정보의 기술적 관리적 보호 조치를 필수적으로 이행해야 한다”고 말했다. 이에 의료기관도 개인정보의 기술적·관리적 보호조치를 통해서 전자의무기록을 안전하게 관리·보존하는데 필요한 시설이나 장비를 갖추어야 한다고 덧붙였다.

 

김 변호사는 또 “이제 의료기관이 정통망법상 준용사업자로 편입됨에 따라 의료기관은 지금까지와는 차원이 다른 개인정보보호대책을 세워야 한다”며 “의료기관이 보유, 관리하는 개인의료정보는 매우 민감한 정보들로 유출될 경우 의료기관의 신뢰는 회복할 수 없는 수준으로 떨어질 수 있으며 사회적 파장도 감수해야 한다”고 말했다. 이에 따라 의료기관은 보다 적극적인 자세로 개인정보보호에 나설 필요가 있다고 덧붙였다.

 

하지만 그동안 의료 개인정보에 대한 법적 지침이 없던 상황에서 이제 정보통신망법에 적용받게 됨에 따라 관련법에는 의료 특수성에 대한 고려가 없어 이로 인한 여러 문제가 나타날 수 있다는 문제도 지적했다.

 

이어서 김형준 안철수연구소 컨설팅팀장의 ‘의료기관의 개인정보보호체계 수립과 전략’이라는 주제 발표가 이어졌다. 김형준 팀장은 “최근 폭발적으로 증가하고 있는 각종 악성코드와 데이터유출 사고로 인해 각종 시행령이 개정되는 등 개인정보관리에 대한 관심은 그 어느 때보다 높아지고 있다”면서 “이번 세미나를 통해 많은 의료기관에 개인정보보호에 대한 법률적, 기술적 측면에서의 포괄적이고도 실질적인 정보보호체계 수립 방안을 제시하겠다”고 말했다.

 

그는 이어서 의료 기관은 우선 개인정보 관리 책임자의 실질적인 활동과 지원이 이루어지는가운데 현황을 분석하고 개인정보 체계를 수립하고 개인정보 수준을 평가, 법적 요구사항 분석, 이행 계획 수립 및 구현을 통해 개인정보보호 체계를 구축해야 한다고 밝혔다.

[김태형 기자(boan2@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)