검찰이 23일 발표한 '외주 전산업체의 요양기관 환자 개인정보 불법처리사건'이 의약계에 파장을 불러올 것으로 보인다.

복지부는 당장 이번 사건과 연루된 업체를 대상으로 특별점검을 실시하고, 병의원과 약국의 개인정보 관리실태도 일제 점검하기로 했다.

복지부는 이날 검찰에서 발표한 '외주 전산업체의 의료기관·약국 환자 개인정보 불법 처리사건' 재발방지대책을 긴급 발표했다.

복지부는 이번 사건은 의료기관·약국의 전산시스템 구축·유지보수 등의 업무를 수행하는 외주 전산업체가 환자 개인정보를 불법적으로 취득한 데에 주된 문제점이 있다고 보고, 이에 대한 대책을 집중 추진할 계획이라고 밝혔다.

◆외주 전산업체 긴급 특별점검 실시=우선 개인정보보호법을 주관하는 행정자치부(장관 정종섭) 등 관계기관(한국인터넷진흥원·건강보험심사평가원)과 함께 이번 사건으로 기소된 외주 전산업체(4개사)에 대해 긴급 특별점검을 실시하기로 했다.

대상은 A업체, D재단, 다국적 의료통계업체 E사, 통신사 F사 등이다.

복지부는 해당 업체가 불법으로 취득한 환자 개인정보 파기여부를 확인하는 등 환자 의료정보 관리실태를 집중적으로 점검하기로 했다.

이와 관련 지난해말부터 행정자치부는 보건복지부 등과 함께 의료분야 외주 전산업체 27개사에 대한 계도·점검을 실시해 이들 전산업체가 수탁하는 의료기관·약국(약 7만 개소)의 환자 의료정보 관리 실태를 개선 중이라고 복지부는 설명했다.

대상업체는 2014년 3개사, 2015년 2월 9개사, 2015년 5월 15개사 등이다.

◆건강보험 청구 관련 S/W 관리감독 강화=복지부는 건강보험 청구 관련 S/W 배포ㆍ유지보수 등을 수행하면서 의료기관ㆍ약국의 환자 개인정보를 청구 이전에 불법 처리한 외주 전산업체(A사, D재단)의 청구 S/W를 사용하지 못하도록 금지할 계획이다.

우선 의료기관ㆍ약국의 환자 개인정보를 불법 처리해 기소된 업체에 대해서는 강력한 행정제재 조치를 내려 추가적인 환자 개인정보 불법 처리가능성을 사전에 차단하기로 했다.

이어 제재처분 사전예고 및 소명 등의 절차를 거쳐 일정한 기간 이후에는 해당 전산업체에서 배포한 청구 S/W는 사용하지 못하도록 금지할 계획이다.

복지부는 또 일선 의료기관에서 사용하는 '건강보험 청구 사전검토 S/W'의 기능, 운영방식의 범위와 한계를 명확하게 설정하고, 심평원에서 사전검토 S/W별로 검사 인증과 사후 관리를 실시하는 제도를 마련하기로 했다.

이와 함께 심평원에서 실시하는 청구 S/W 사전인증(검사) 및 사후검사항목에 개인정보 보안항목(암호화, 불법처리 방지 등)을 추가해 환자 개인정보가 불법적으로 처리되지 않도록 관리ㆍ감독을 강화할 계획이라고 했다.

또 건강보험 청구 S/W와 사전검토 S/W를 사용해 환자 개인정보를 불법 처리할 경우, 해당 S/W 인증 취소 및 일정기간 동안 재인증을 금지하는 방안도 시행키로 했다.

복지부는 청구 S/W 보안성 강화와 사전검토 S/W에 대한 관리강화대책은 건강보험법령 및 하위 고시를 조속한 시일 내에 개정해 추진할 계획이라고 했다.

◆의료기관·약국의 개인정보 관리 강화=복지부는 현행 개인정보보호법에 따라 의료기관ㆍ약국이 환자 개인정보를 보다 안전하게 관리할 수 있도록 자율점검 실시방안을 추진하기로 했다.

또 가이드라인 보완과 정보보호 교육 강화 등도 병행한다는 방침이다.

이를 위해 우선 각 의료인단체 등과 협의해 일선 의료기관ㆍ약국이 다음달 중 환자 개인정보 관리 실태를 자율적으로 점검ㆍ보완토록 하고, 자율점검에 참여하지 않는 의료기관ㆍ약국은 관계기관과 합동으로 현장 점검을 실시해 보완을 요청하기로 했다.

앞서 행정자치부는 올해 2∼3월 병원급 의료기관(약 500여개)을 대상으로 합동점검을 실시했었다.

복지부는 환자 개인정보를 적정하게 처리하지 않은 의료기관·약국은 관련 법에 따른 조치를 강구하고, 의료기관 등의 자율점검 결과를 제출받아 현장 실태를 분석해 필요한 개선방안을 마련하기로 했다.

한편, 의료인ㆍ약사 보수교육과정에 정보보호 교육을 강화해 일선 의료인 등이 개인정보 보호의 중요성과 보호방법을 보다 잘 숙지해 실천할 수 있도록 조치하기로 했다.

◆외주 전산업체 관리감독 강화방안 마련=복지부는 의료기관ㆍ약국의 전산시스템을 실질적으로 관리하는 외주 전산업체의 환자 개인정보 악용을 방지할 수 있는 제도도 새로 마련할 계획이라고 했다.

구체적인 추진 계획을 보면, 우선 의료기관ㆍ약국의 전산시스템을 취급하는 외주 전산업체 등록제를 도입해 관리 기반을 구축한다.

이어 의료기관ㆍ약국용 정보시스템에 대해 적격성 기준을 심사해 인증을 부여하고, 인증을 받은 제품만 사용하도록 한다.

또 외주 전산업체가 의료기관ㆍ약국 정보시스템에 접속한기록과 의료기관ㆍ약국에서 외부로 정보를 제공한 기록을 각각 작성ㆍ보관토록 의무화한다.

아울러 등록업체와 인증제품에 대한 무작위 수시 점검체계(spot check)를 도입하고, 환자 개인정보를 불법 수집한 외주 전산업체 등에 대해서는 징벌적 과징금 등 엄격한 제재방안을 마련한다.

복지부는 향후 전문가 TF를 구성해 단계별로 외주 전산업체 관리 및 정보보호 강화를 위한 세부 실행방안을 구체화하고, 환자 의료정보 보호 및 (외주)전산업체 관리에 필요한 사항은 '(가칭) 건강정보보호법'을 제정해 추진할 계획이라고 설명했다.

한편, 복지부는 환자 개인정보 보호를 기반으로 꼭 필요한 정보화 서비스는 제도화해 국민의 편의를 높이면서 의료-IT서비스의 발전이 이뤄지도록 지원할 계획이라고 밝혔다.