주요 전자의무기록(EMR) 시스템 사업자 대상, 보안기능 개선 권고
전자의무기록(EMR) 시스템의 인증기준 등 자체 강화
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 1월 10일, 2024년 들어 첫 번째 전체회의를 열고, 의료기관의 개인정보 보호조치 강화를 위한 개선사항을 의결했다.
▲(왼쪽부터)개인정보위·보건복지부 로고[로고=개인정보위, 보건복지부]
개인정보위는 의료기관의 환자 개인정보 유출사건 후속으로 보건복지부의 협조를 받아 2023. 6월~9월간 전자의무기록(EMR: Electronic Medical Record) 시스템을 제공하는 상위 5개 사업자(유비케어, 비트컴퓨터, 이지케어텍, 포인트임플란트, 이지스헬스케어)의 7개 소프트웨어를 조사했다. 그 결과 일부 EMR 시스템이 환자 개인정보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인하고, 조사대상 사업자에게 개선을 권고했다.
이때 조사 대상 EMR의 개선 필요 사항은 △개인정보취급자 계정에 대한 접근권한 관련 기록 △비밀번호 제한 해제 시 확인 △외부에서 접속 시 안전한 접속·인증수단 △안전한 암호화 알고리즘 △취급자 접속기록 중 처리한 정보주체 정보 기록 △개인정보 다운로드 사유 입력·확인 △삭제 기능 제공 등이다.
나아가, 개인정보위는 조사와 함께 보건복지부와 긴밀한 협의를 거쳐 의료기관이 사용하는 EMR 시스템의 전반적인 개인정보보호 수준 향상을 위해 ‘EMR 인증기준’ 및 ‘청구소프트웨어 적정성 검사기준’을 강화하기로 했다.
이에 따라 보건복지부, 한국보건의료정보원, 건강보험심사평가원은 ‘EMR 인증기준’ 및 ‘청구소프트웨어 적정성 검사기준’을 구체화하는 작업을 진행할 예정이다. 특히 권한 없는 자의 시스템 접근을 막고, 사고 발생 시 책임 추적성을 강화하는 것이 핵심 내용이다.
EMR 인증기준 및 청구소프트웨어 적정성 검사기준에는 △접근권한 변경내역 기록항목 보완 △최대 접속시간 상한 기준 마련 △안전한 암호화 알고리즘 △접속기록에 처리한 정보주체정보 포함 △개인정보 다운로드 사유 입력·확인 기능 등이 반영된다.
개인정보위는 의료기관의 환자 개인정보 관리책임을 강화하기 위한 구체적인 방안을 마련하여 안내할 예정이다. △의료기관과 EMR제공사의 위·수탁 계약 명확화 △의료기관의 개인정보 책임 명확화를 위한 교육 △의료기관에서 인증받은 버전의 EMR 제품 사용하도록 유도 등이 있다.
이번 개선방안 마련을 통해 EMR 시스템 및 청구소프트웨어를 사용 중인 대다수 의료기관(상급종합병원, 종합병원, 병원, 의원 약 3만 7,000개소)의 환자 개인정보보호 수준이 향상된다. 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것으로 기대된다.
아울러 의료기관의 개인정보보호에 대한 국민의 신뢰가 향상되어 개인정보 유출에 대한 걱정 없이 의료 서비스를 이용할 수 있을 것으로 기대된다.
[박은주 기자(boan5@boannews.com)]
전자의무기록(EMR) 시스템의 인증기준 등 자체 강화
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 1월 10일, 2024년 들어 첫 번째 전체회의를 열고, 의료기관의 개인정보 보호조치 강화를 위한 개선사항을 의결했다.
▲(왼쪽부터)개인정보위·보건복지부 로고[로고=개인정보위, 보건복지부]
개인정보위는 의료기관의 환자 개인정보 유출사건 후속으로 보건복지부의 협조를 받아 2023. 6월~9월간 전자의무기록(EMR: Electronic Medical Record) 시스템을 제공하는 상위 5개 사업자(유비케어, 비트컴퓨터, 이지케어텍, 포인트임플란트, 이지스헬스케어)의 7개 소프트웨어를 조사했다. 그 결과 일부 EMR 시스템이 환자 개인정보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인하고, 조사대상 사업자에게 개선을 권고했다.
이때 조사 대상 EMR의 개선 필요 사항은 △개인정보취급자 계정에 대한 접근권한 관련 기록 △비밀번호 제한 해제 시 확인 △외부에서 접속 시 안전한 접속·인증수단 △안전한 암호화 알고리즘 △취급자 접속기록 중 처리한 정보주체 정보 기록 △개인정보 다운로드 사유 입력·확인 △삭제 기능 제공 등이다.
나아가, 개인정보위는 조사와 함께 보건복지부와 긴밀한 협의를 거쳐 의료기관이 사용하는 EMR 시스템의 전반적인 개인정보보호 수준 향상을 위해 ‘EMR 인증기준’ 및 ‘청구소프트웨어 적정성 검사기준’을 강화하기로 했다.
이에 따라 보건복지부, 한국보건의료정보원, 건강보험심사평가원은 ‘EMR 인증기준’ 및 ‘청구소프트웨어 적정성 검사기준’을 구체화하는 작업을 진행할 예정이다. 특히 권한 없는 자의 시스템 접근을 막고, 사고 발생 시 책임 추적성을 강화하는 것이 핵심 내용이다.
EMR 인증기준 및 청구소프트웨어 적정성 검사기준에는 △접근권한 변경내역 기록항목 보완 △최대 접속시간 상한 기준 마련 △안전한 암호화 알고리즘 △접속기록에 처리한 정보주체정보 포함 △개인정보 다운로드 사유 입력·확인 기능 등이 반영된다.
개인정보위는 의료기관의 환자 개인정보 관리책임을 강화하기 위한 구체적인 방안을 마련하여 안내할 예정이다. △의료기관과 EMR제공사의 위·수탁 계약 명확화 △의료기관의 개인정보 책임 명확화를 위한 교육 △의료기관에서 인증받은 버전의 EMR 제품 사용하도록 유도 등이 있다.
이번 개선방안 마련을 통해 EMR 시스템 및 청구소프트웨어를 사용 중인 대다수 의료기관(상급종합병원, 종합병원, 병원, 의원 약 3만 7,000개소)의 환자 개인정보보호 수준이 향상된다. 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것으로 기대된다.
아울러 의료기관의 개인정보보호에 대한 국민의 신뢰가 향상되어 개인정보 유출에 대한 걱정 없이 의료 서비스를 이용할 수 있을 것으로 기대된다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
