의료기관ㆍ약국의 환자 개인정보 보호대책 신속 추진

- 환자 진료·처방정보 수집·판매 기소 관련 외주 전산업체 긴급 특별점검 실시 -

- 건강보험 청구 소프트웨어(S/W) 업체 등 외주 전산업체 관리감독 강화 -

- 의료기관ㆍ약국의 개인정보관리실태 일제점검 -

□ 보건복지부(장관 문형표)는 검찰에서 발표한 “외주 전산업체의 의료기관ㆍ약국 환자 개인정보 불법 처리사건”의 재발방지대책을 발표하였다.

□ 금번 사건은 검찰 수사에서 드러났듯이 의료기관ㆍ약국의 전산 시스템 구축ㆍ유지보수 등의 업무를 하는 외주 전산업체가 환자 개인정보를 불법적으로 취득한 데에 주된 문제점이 있다고 보고, 이에 대한 대책을 집중적으로 추진할 계획이다.

① 외주 전산업체 긴급 특별점검 실시

□ 개인정보보호법을 주관하는 행정자치부(장관 정종섭) 등 관계기관(한국인터넷진흥원ㆍ건강보험심사평가원)과 함께 금번 사건으로 기소된 외주 전산업체(4개사)에 대해 긴급 특별점검을 실시한다.

* A업체, D재단, 다국적 의료통계업체 E社, 통신사 F(검찰 발표 기준)

ㅇ 해당 업체가 불법으로 취득한 환자 개인정보 파기여부를 확인하는 등 환자 의료정보 관리실태를 집중적으로 점검할 계획이다.

□ 한편, ‘14년말부터 행정자치부는 보건복지부 등과 함께 의료분야 외주 전산업체 27개사에 대한 계도ㆍ점검을 실시하여,

ㅇ 이들 전산업체가 수탁하는 의료기관ㆍ약국(약 7만 개소)의 환자 의료정보 관리 실태를 개선 중에 있다.

* ’14년 3개사, ’15.2월 9개사, ’15.5월 15개사

② 건강보험 청구 관련 소프트웨어(S/W) 관리ㆍ감독 강화

□ 첫째, 건강보험 청구 관련 S/W 배포ㆍ유지보수 등을 하면서 의료기관ㆍ약국의 환자 개인정보를 청구 이전에 불법 처리한 외주 전산업체(A社, D재단)의 청구 S/W를 사용하지 못 하도록 할 계획이다.

ㅇ 의료기관ㆍ약국의 환자 개인정보를 불법처리하여 기소된 업체에 대한 강력한 행정제재조치를 내려, 추가적인 환자 개인정보 불법 처리가능성을 사전에 차단하고자 한다.

ㅇ ‘행정절차법’에서 정한 제재처분 사전예고 및 소명 등의 절차를 거쳐 일정한 기간 이후에는 해당 전산업체에서 배포한 청구 S/W는 사용하지 못 하도록 할 계획이다.

□ 둘째, 일선 의료기관에서 사용하는 ‘건강보험 청구 사전검토 S/W*’의 기능과 운영방식의 범위와 한계를 명확하게 설정하고,

* 의료기관의 건강보험 급여비용 청구자료를 사전에 점검하고, 심평원의 청구심사결과를 사후 분석하는 컨설팅을 제공

- 금번 사건의 경우 A社에서 사전검토 프로그램을 의료기관에 유료로 설치하여 의료기관의 환자 개인정보를 불법 처리

ㅇ 건강보험심사평가원(원장 손명세, ‘심평원’)에서 사전검토 S/W별로 검사 인증과 사후 관리를 실시하는 제도를 마련할 계획이다.

□ 셋째, 심평원에서 실시하는 청구 S/W 사전인증(검사) 및 사후 검사항목에 개인정보 보안항목(암호화, 불법처리 방지 등)을 추가하여

ㅇ 환자 개인정보가 불법적으로 처리되지 않도록 관리ㆍ감독을 강화할 계획이다.

□ 마지막으로 건강보험 청구 S/W와 사전검토 S/W를 사용하여 환자 개인정보를 불법 처리할 경우, 해당 S/W 인증 취소 및 일정기간 동안 재인증을 금지할 계획이다.

□ 청구 S/W 보안성 강화와 사전검토 S/W에 대한 관리강화대책은 건강보험법령 및 하위 고시*를 조속한 시일 내에 개정하여 추진한다.

* ‘요양급여비용 심사청구 소프트웨어 검사기준’

③ 의료기관ㆍ약국의 개인정보 관리 강화

□ 현행 개인정보보호법에 따라 의료기관ㆍ약국에서 환자 개인정보를 보다 안전하게 관리할 수 있도록 자율점검 실시, 가이드라인 보완 및 정보보호 교육 강화 등을 추진한다.

□ 각 의료인단체 등과 협의하여 일선 의료기관ㆍ약국이 환자 개인정보 관리 실태를 자율적으로 점검ㆍ보완토록 하고(8월 중),

ㅇ 자율점검에 참여하지 않는 의료기관ㆍ약국은 관계기관과 합동 으로 현장 점검을 실시하여 보완을 요청할 계획이다.

* ‘15.2∼3월, 병원급 의료기관(약 500여개)은 행정자치부 주관으로 합동점검 실시

- 환자 개인정보를 적정하게 처리하지 않은 의료기관·약국은 관련법에 따른 조치를 강구할 계획이다.

ㅇ 그리고, 의료기관 등의 자율점검 결과를 제출받아 현장의 실태를 분석하여 필요한 개선방안을 마련하고자 한다.

- ‘개인정보 보호 가이드라인’을 보완하여 의료기관 등에서 손쉽게 개인정보보호법 등을 준수할 수 있도록 한다.

ㅇ 한편, 의료인ㆍ약사 보수교육과정에 정보보호 교육을 강화하여 일선 의료인 등이 개인정보 보호의 중요성과 보호방법을 보다 잘 숙지하여 실천할 수 있도록 할 계획이다.

④ 외주 전산업체에 대한 관리감독 강화방안 마련

□ 의료기관ㆍ약국의 전산시스템을 실질적으로 관리하는 외주 전산업체의 환자 개인정보 악용을 방지할 수 있는 제도를 새로이 마련하고자 한다.

ㅇ 먼저, 의료기관ㆍ약국의 전산시스템을 취급하는 외주 전산업체 등록제를 도입하여 관리 기반을 구축한다,

ㅇ 둘째, 의료기관ㆍ약국용 정보시스템에 대하여 적격성 기준을 심사하여 인증을 부여하고, 인증을 받은 제품만 사용하도록 한다.

* 적격성 기준 : 기능성(제품이 갖춰야 할 기능과 정상 작동여부), 상호 운영성(시스템간 상호 호환성), 보안성(기술적ㆍ관리적 보안성)

ㅇ 셋째, 외주 전산업체가 의료기관ㆍ약국 정보시스템에 접속한 기록과 의료기관ㆍ약국에서 외부로 정보를 제공한 기록을 각각 작성ㆍ보관토록 의무화하여,

- 불법적인 정보 유출ㆍ제공을 쉽게 확인할 수 있도록 한다.

ㅇ 넷째, 등록업체와 인증제품에 대한 무작위 수시 점검체계(spot check)를 도입하고,

- 환자 개인정보를 불법 수집한 외주 전산업체 등에 대해서는 징벌적 과징금 등 엄격한 제재방안을 마련하고자 한다.

□ 향후, ‘전문가 TF’를 구성ㆍ운영하여 단계별로 외주 전산업체 관리 및 정보보호 강화를 위한 세부 실행방안을 구체화하고,

ㅇ 환자 의료정보 보호 및 (외주)전산업체 관리에 필요한 사항은 ‘(가칭) 건강정보보호법’을 제정하여 추진할 계획이다.

□ 한편, 환자 개인정보의 굳건한 보호기반 위에서 꼭 필요한 정보화 서비스는 제도화하여 국민의 편의를 높이면서, 의료-IT서비스의 발전이 이루어지도록 지원할 계획이다.

2015.07.23 보건복지부