[개인정보보호위원회]개인정보위-보건복지부 협력 통해 의료기관의 개인정보 보호 강화 나선다!

개인정보위-보건복지부 협력 통해 의료기관의 개인정보 보호 강화 나선다!

- 국내 대다수 병·의원이 사용 중인 주요 전자의무기록(EMR) 시스템 사업자 대상, 보안기능 개선 권고

- 전자의무기록(EMR) 시스템의 인증기준 등 자체 강화

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 1월 10일(수), 금년 들어 첫 번째 전체회의를 열고, 의료기관의 개인정보 보호조치 강화를 위한 개선사항을 의결하였다.

  먼저, 개인정보위는 의료기관의 환자 개인정보 유출사건 후속으로 보건복지부의 협조를 받아 ’23. 6월 ~ 9월간 전자의무기록(Electronic Medical Record, 이하 ‘EMR’)시스템을 제공하는 상위 5개* 사업자(7개 소프트웨어)를 조사한 결과, 일부 EMR 시스템이 환자 개인정보 보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인하고, 조사 대상 사업자에게 개선을 권고하였다.

   * ㈜유비케어, ㈜비트컴퓨터, 이지케어텍㈜, 포인트임플란트㈜, ㈜이지스헬스케어

  < 조사 대상 EMR의 개선 필요 사항 >

  ▲개인정보취급자 계정에 대한 접근권한 관련 기록, ▲비밀번호 제한 해제 시 확인, ▲외부에서 접속 시 안전한 접속·인증수단, ▲안전한 암호화 알고리즘, ▲취급자 접속기록 중 처리한 정보주체 정보 기록, ▲개인정보 다운로드 사유 입력·확인, ▲삭제 기능 제공 등

  나아가, 개인정보위는 조사와 병행해 보건복지부와 긴밀한 협의를 거쳐 의료기관이 사용하는 EMR 시스템의 전반적인 개인정보보호 수준 향상을 위해 「EMR 인증기준」 및 「청구소프트웨어 적정성 검사기준」을 강화하기로 하였다.

  이에 따라 보건복지부, 한국보건의료정보원, 건강보험심사평가원은 「EMR 인증기준」 및「청구소프트웨어 적정성 검사기준」을 구체화하는 작업을 진행할 예정이다. 특히 권한 없는 자의 시스템 접근을 막고, 사고 발생 시 책임추적성을 강화하는 것이 핵심 내용이다.

  < 「EMR 인증기준」 및 「청구소프트웨어 적정성 검사기준」 반영 사항 >

  ▲접근권한 변경내역 기록항목 보완, ▲최대 접속시간 상한 기준 마련, ▲안전한 암호화 알고리즘, ▲접속기록에 처리한 정보주체정보 포함, ▲개인정보 다운로드 사유 입력·확인 기능 등

  개인정보위는 의료기관의 환자 개인정보 관리책임을 강화하기 위한 구체적인 방안을 마련하여 안내할 예정이다.

  <의료기관의 관리책임 강화조치>

  ▲의료기관과 EMR제공사의 위·수탁 계약 명확화, ▲의료기관의 개인정보 책임 명확화를 위한 교육, ▲의료기관에서 인증받은 버전의 EMR 제품 사용하도록 유도 등 

  이번 개선방안 마련을 통해 EMR 시스템 및 청구소프트웨어를 사용 중인 대다수 의료기관(상급종합병원, 종합병원, 병원, 의원 약 37,000여 개소)의 환자 개인정보 보호 수준이 향상되고, 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것으로 기대된다.

  아울러, 의료기관의 개인정보 보호에 대한 국민의 신뢰가 향상되어 개인정보 유출에 대한 걱정 없이 의료 서비스를 이용할 수 있을 것으로 기대된다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사3팀 서인숙(02-2100-3154), 채리(02-2100-3153)