개인정보 자율점검 기한을 코앞에 두고 대한치과의사협회(이하 치협)는 지난 12일 정보 보안업체 (주)SK브로드밴드와 (주)소프트일레븐 두 곳과 업무협약을 맺고, 회원 치과 병‧의원을 대상으로 개인정보 파일 암호와 솔루션 공급에 나섰다.
문제는 의료기관 및 약국에 대한 개인정보 자율점검이 강화된 이유가, 지난해 발생한 ‘약학정보원 사태’때문이라는 점이다. 이는 청구프로그램을 제공한 SK텔레콤과 지누스, 그리고 약학정보원이 환자의 처방‧조제정보 약 47억 건을 미국 제약회사인 IMS헬스에 팔아넘긴 사건이다.
이 때문에 대한의사협회, 대한약사협회, 대한병원협회 등은 회원을 대상으로 개인정보보호 교육, 관련 가이드 및 서식자료 제공은 하지만 협회가 나서 보안업체를 선정하고 이를 회원에게 홍보하는 사례는 없었다.
건강보험심사평가원(이하 심평원) 정보통신실 관계자는 사설 업체에 개인정보 자율점검을 맡길 경우 환자 개인정보 유출이라는 뜻밖의 피해가 발생할 수도 있다고 지적했다. 관계자는 “만약 사설업체가 의도가 없었다 하더라고 개인 정보가 무단으로 열람될 가능성이 있다”고 우려를 나타냈다.
서울시치과의사회 이민정 부회장은 “업체를 통할 만큼 복잡한 사항이 아니다”라며 “여러가지 새로운 제도가 생겨 번거로운 건 사실이나 불필요한 경상비를 줄이는 차원에서라도 조금만 시간을 투자하면 된다”고 밝혔다.
부득이하게 컴퓨터가 익숙치 않은 고령 개원의나 관리직원이 따로 없는 소규모 개원가의 경우 등 보안업체가 필요한 경우를 제외한, 대부분 개원가에서는 치협의 가이드라인만으로도 충분하다는 지적이다.
한편, 개인정보 자율점검기간은 오는 31일까지며 심평원은 오는 4월부터 최종적으로 관리체계 수준을 확인할 방침이다.
가이드라인 따라 손쉽게 자율점검 가능
자율점검 마감시한을 앞두고, 자율점검을 신청했으나 완료하지 못한 치과의 경우 치협에서 제작한 ‘개인정보보호 자율점검 신청 및 작성 가이드’가 도움이 될 것으로 보여 진다.
가이드라인 자료는 치협이 지난 2월 보건복지부와 행정자치부가 배포한 ‘의료기관 개인정보보호 가이드라인’을 참고해 만든 것으로, ▲신청방법 ▲자율점검표 입력 방법 ▲세부 작성 가이드 ▲표준서식 등으로 구성돼 있으며, 치협 홈페이지에 치과의사 전용 아이디로 접속해 ‘공지사항’에서 다운받을 수 있다.
가이드라인 자료를 살펴보면, 자율점검 각 항목에 대해 ‘의료기관이 작성해야 할 부분’, 이행여부를 ‘양호’로 작성하기 위해 필요한 사항 등을 알기 상세하게 담고 있다.
예를 들어 ‘개인정보 암호화 계획을 수립하고 있는가’란 점검 항목에 대해선 ‘개인정보 처리 시스템에 암호화가 적용돼 있는 경우’라고 기입하고, 설명란에 제시된 내용을 참고해 필요한 서류 등을 구비하는 등 이행하면 된다.
가이드라인에 마련된 표준서식은 12종으로 ▲개인정보 수집‧이용 동의서(예시) ▲개인정보 제3자 제공 동의서(예시) ▲개인정보 처리 위탁 계약서(예시) ▲영상정보처리기기 설치 안내판(예시) ▲개인정보 내부관리 계획 가이드 ▲민감정보 처리 동의서(예시) ▲위임장(예시) ▲진료기록부 등 진료기록 연장 방법 ▲영상정보처리기기 운영‧관리 방침(예시) ▲개인영상정보 관리 대장 ▲출입관리 대장 ▲개인정보처리방침(예시) 등이다.
아직 자율점검을 실시하지 않은 치과 병‧의원은 이를 참고해 자가점검을 완료하면 되며, 그 결과는 오는 4월까지 심평원의 최종 관리체계 수준 확인을 받은 후 발급되는 확인서를 통해 확인할 수 있다.
