보건복지부(장관 문형표)는 검찰에서 발표한 '외주 전산업체의 의료기관ㆍ약국 환자 개인정보 불법 처리사건'의 재발방지대책을 발표했다.

이번 대책은 23일 검찰서 발표한 개인정보 불법 사건은 의료기관ㆍ약국의 전산시스템 구축ㆍ유지보수 등의 업무를 하는 외주 전산업체가 환자 개인정보를 불법적으로 취득한 데에 주된 문제점이 있다고 보고, 이에 대한 대책을 집중적으로 추진하겠다는 내용이 담겨있다.

우선 개인정보보호법을 주관하는 행정자치부(장관 정종섭) 등 관계기관(한국인터넷진흥원ㆍ건강보험심사평가원)과 함께 이번 사건으로 기소된 외주 전산업체(4개사)를 긴급 특별점검키로 했다. 해당 업체가 불법으로 취득한 환자 개인정보 파기여부를 확인하는 등 환자 의료정보 관리실태를 집중적으로 살펴보게 된다.

또 2014년말부터 행정자치부는 보건복지부 등과 함께 의료분야 외주 전산업체 27개사에 대한 계도ㆍ점검을 실시하게 된다. 이들 전산업체가 수탁하는 의료기관ㆍ약국은 약 7만 개소다.

건강보험 청구 관련 소프트웨어(S/W) 관리ㆍ감독도 강화키로 했다. 건강보험 청구 관련 S/W 배포ㆍ유지보수 등을 하면서 의료기관ㆍ약국의 환자 개인정보를 청구 이전에 불법 처리한 외주 전산업체(A社, D재단)의 청구 S/W를 사용하지 못 하도록 할 계획이다. '행정절차법'에서 정한 제재처분 사전예고 및 소명 등의 절차를 거쳐 일정한 기간 이후에는 해당 전산업체에서 배포한 청구 S/W는 사용하지 못하도록 강력한 조치를 취하겠다는 것이다.

또 일선 의료기관에서 사용하는 '건강보험 청구 사전검토 S/W'의 기능과 운영방식의 범위와 한계를 명확하게 설정하고 건강보험심사평가원(원장 손명세)에서 사전검토 S/W별로 검사 인증과 사후 관리를 실시하는 제도를 마련한다는 방침이다.

심평원에서 실시하는 청구 S/W 사전인증(검사), 사후검사항목에 개인정보 보안항목(암호화, 불법처리 방지 등)을 추가해 환자 개인정보가 불법적으로 처리되지 않도록 관리ㆍ감독을 강화하게 된다. 개인정보를 불법 처리할 경우 해당 S/W 인증 취소 및 일정기간 동안 재인증이 금지된다.

의료기관ㆍ약국에 대해선 현행 개인정보보호법에 따라 환자 개인정보를 보다 안전하게 관리할 수 있도록 자율점검 실시, 가이드라인 보완 및 정보보호 교육 강화 등을 추진키로 했다.

각 의료인단체 등과 협의해 8월중 일선 의료기관ㆍ약국이 환자개인정보 관리 실태를 자율적으로 점검ㆍ보완토록 하고, 자율점검에 참여하지 않는 곳은 관계기관과 합동으로 현장 점검을 실시해 보완을 요청할 계획이다.

특히 의료기관 등에서 손쉽게 개인정보보호법 등을 준수할 수 있도록 '개인정보 보호 가이드라인'을 보완키로 했다.

이와함께 의료기관ㆍ약국의 전산시스템을 실질적으로 관리하는 외주 전산업체의 환자 개인정보 악용을 방지할 수 있는 제도를 새로 마련하기로 했으며, 외주 전산업체 등록제를 도입해 관리 기반을 구축하고, 의료기관ㆍ약국용 정보시스템에 대해 적격성 기준을 심사해 인증을 부여하고 인증받은 제품만 사용토록 했다.

외주 전산업체가 의료기관·약국 정보시스템에 접속한 기록과 외부로 정보를 제공한 기록을 각각 작성ㆍ보관토록 의무화, 불법적인 정보 유출ㆍ제공을 쉽게 확인할 수 있도록 했다.

복지부는 등록업체와 인증제품에 대한 무작위 수시 점검체계(spot check)를 도입, 환자 개인정보를 불법 수집한 외주 전산업체 등에 대해서는징벌적 과징금 등 엄격한 제재방안을 마련한다는 계획이다.

향후 '전문가 TF'를 구성, 단계별로 외주 전산업체 관리 및 정보보호 강화를 위한 세부 실행방안을 구체화하고, 환자 의료정보 보호 및 (외주)전산업체 관리에 필요한 사항은 '(가칭) 건강정보보호법'을 제정해 추진할 계획이다.