“의무성은 없다고 하지만 현실적으로 해당 의료기관은 지켜야”

최근 의료계에서는 보건복지가족부가 500병상 이상 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인’에 대해 이의를 제기하고 나섬에 따라 이에 대한 의견조율 등 발표시기가 좀더 늦춰질 것이라는 전망과는 달리 복지부에서는 이를 강하게 추진해 16일 배포할 것을 발표했다.

문서, 컴퓨터, 정보의 처리 또는 송수신 기능을 가진 이동식 기기 장치에 의해 의료기관에서 처리되는 진료와 관련된 개인정보의 보호 및 보안에 관한 사항을 정함으로써, 의료기관의 개인정보 처리 업무의 적정한 수행을 도와주고 국민의 권리를 보호함을 목적으로 하고 있는 가이드라인인 만큼 의무성을 띄지는 않는다. 하지만 향후 이 가이드라인이 현 ‘정통망법’이나 ‘공공기관 개인정보보호에 관한 법률’ 등의 일반법을 상회하는 특별법의 골격이 될 수 있다고 의료계 등은 관망하고 있는 만큼 이 가이드라인이 담고 있는 내용들은 500병상 이상의 의료기관에게 의무성은 없지만 반드시 지켜야 하는 가이드라인이라는 것이 의료업계 및 보안전문가들의 의견이다.

이렇듯 최근 연이은 개인정보유출사건 등이 이슈가 된 시점에서 복지부의 발표라 의료계에서는 이를 수용할 수밖에 없을 것처럼 전망되는 가운데 이번 배포와 관련 의료계의 움직임에 귀추가 주목된다. 이에 이번에 복지부에서 배포한 ‘의료기관 개인정보보호 가이드라인’의 주요내용을 다음과 같이 살펴보도록 한다.

의료기관이 환자를 진료하는 과정에서 얻은 개인정보는 적절한 절차를 통해 보호 및 보안되어야 하며, 환자의 진료 과정에서 얻어진 개인정보는 환자 본인의 진료 목적과 이에 수반되는 진료 지원 업무에 사용돼야 한다. 또한 환자 본인의 진료와 이에 필수적으로 수반되는 진료지원업무 외에 개인정보를 사용하기 위해서는 환자의 동의를 얻거나, 법률에 이를 허용하는 근거가 있어야 한다는 것이 이 가이드라인이 지닌 기본 원칙이다.

또한 그 적용 범위를 살펴보면, 의료기관이 개인정보를 처리하는데 있어서 ‘의료법’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 또는 ‘공공기관의 개인정보보호에 관한 법률’ 등의 법률 적용을 받는 경우에는 해당 법률, 시행령, 시행 규칙이 규정하는 바에 의한다.

아울러 이 가이드라인이 규정하고 있는 개인정보보호 및 보안에 관한 관리적 지침은 ▲개인정보보호위원회 구성 및 운영 ▲개인정보관리책임자, 보호 및 보안 실무책임자의 지정 ▲개인정보보호 감사 및 외부 안전진단 ▲인적자원 관리(채용시 관리, 직무수행 관리, 교육 및 훈련, 직무변경 및 퇴직 관리 등과 외부자 및 위탁업체에 대한 관리) ▲정보자산 관리(정보자산의 목록화, 관리자 지정, 보안등급 평가 등) 등이다.

개인정보보호 및 보안에 관한 물리적·기술적 지침은 ▲개인정보 보호구역 출입통제 ▲정보시스템 운영 및 보안관리(운영 및 보안관리 절차, 과부하 모니터링, 접근통제, 로그온절차, 악성코드 통제 등) ▲정보시스템 도입절차, 변경절차 및 관리 ▲네트워크 관리(접근통제, 유무선 네트워크 보안관리, 원격 네트워크 접속 제어) ▲정보시스템 사용로그 모니터링 및 보안감사 로그 ▲백업 및 저장매체 관리 ▲사용자 인증 및 접근권한 관리 ▲사용자 지침(패스워드 사용 관리, 자리비움시의 정보시스템 보안, 클린데스크 및 클리어스크린) ▲침해사고 예방 및 대응(보안취약점 관리, 침해사고 대응계획 및 체계수립, 보안취약점 및 침해사고 대응 ▲프로그램 개발 지침(보안 요구사항 분석 및 명세화, 테스트 데이터의 보호, 소스코드에 대한 접근통제, 외주 소프트웨어 개발, 입력데이터 검증 등 ▲암호화 통제 ▲보안 관제 등이다.

특히 이와 관련 복지부는 병원협회 등과 이견이 있었던 개인정보관리책임자 지정 및 외부 안전진단 부분은 이번 가이드라인에 포함시키는 한편 정보주체의 동의, 진료정보의 수집 및 제공 등에 관한 사항은 사회적인 논의가 필요함에 따라 이번 가이드라인에서는 제외시켰다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>