메디칼타임즈=이인복 기자비트컴퓨터와 의료정보학회가 17회 비트의료정보학술상 수상자로 이계화 교수를 선정했다.비트컴퓨터(대표이사 조현정 전진옥)와 대한의료정보학회(회장 한호성)는 가톨릭대 성의교정 옴니버스파크에서 제17회 비트의료정보학술상 시상식을 진행했다고 24일 밝혔다.수상자는 서울아산병원 이계화 교수로 300만원의 연구 기금과 조현정 회장이 직접 빚은 도예 작품으로 만든 상패가 수여됐다.이계화 교수는 가정의학과 전문의로서 현재 울산의대 서울아산병원 정보의학과 교수로 재직하며 의료빅데이터, 중개생물정보학, 임상정보학, 개인유전체분석 등 의료정보 관련 연구를 활발히 펼친 공로를 인정받았다.특히 최근 2년간 다수 논문 발표 및 인용으로 의료정보학회지 발전에 기여한 점을 인정받아 이번 비트의료정보학술상의 수상자로 선정됐다.비트컴퓨터는 대한의료정보학회 춘계, 추계 학회에서 일년에 두 차례 비트의료정보학술상을 시상한다. 수상자는 대한의료정보학회 발간 학술지인 Healthcare Informatics Research(이하 HIR) 발전에 기여하고 의료정보 분야에 연구 및 학술 활동이 활발한 연구자를 대한의료정보학회가 선정한다.한편, 올해 대한의료정보학회 춘계학술대회는 'Omnibus Omnia Beyond Healthcare AI'를 주제로 1300여명이 참석한 가운데 진행됐다.이 자리에는 개인정보보호위원회 고학수 위원장과 미국 매사추세츠 공과대학교(Massachusetts Institute of Technology) 레오 앤서니 셀리(Leo Anthony Celi) 교수의 기조연설을 포함해 의료인공지능, 보건의료데이터 활용방안 등 의료정보학에 대한 다양한 주제의 심포지엄이 진행됐다.

메디칼타임즈=임수민 기자건강보험심사평가원(원장 강중구)이 2023년도 개인정보 관리수준 진단에서 16년 연속 최고등급(S등급)을 받았다.개인정보 보호위원회(이하 개인정보위)가 주관하는 해당 평가는 중앙부처·지자체·공기업 등 796개 공공기관이 대상이다.건강보험심사평가원(원장 강중구)이 2023년도 개인정보 관리수준 진단에서 16년 연속 최고등급(S등급)을 받았다.국민 개인정보의 안전한 관리기반 조성을 위해 개인정보보호 관리체계 및 침해 예방 활동 등을 진단해 매년 실시한다.특히 이번 평가영역은 '개인정보 보호법' 개정(제11조의2 신설)에 따라 서면 검증 기준이 강화됐고, 정성지표 비중이 대폭 확대(2022년 20% → 2023년 40%)됐다.평가는 법적 의무사항 이행 여부 중심의 53개 정량지표와 기관 및 기관장의 개인정보 보호수준 제고를 위한 노력도, 관리·감독의 적정성 등 7개 정성지표로 구성되고, 5개 평가 등급(S, A, B, C, D)으로 나뉜다.심사평가원은 ▲기관장 주도 조직 및 개인 성과지표(BSC & MBO) 내 '개인정보보호 지수' 반영 ▲개인정보처리시스템 접속기록 관리체계 정비 ▲매월 '개인정보 보호의 날'에 전사적으로 개인정보보호 업무 전반에 대한 개인정보보호 자율점검표 운영 등을 통한 개인정보 역량 강화를 위해 전 직원이 함께 노력한 점 등을 높이 평가받았다.강중구 심사평가원장은 "진료비 심사 및 의료 질에 대한 적정성을 평가하기 위해 국민의 민감한 의료정보를 보유·처리하고 있는 만큼 전 임직원은 항시 개인정보 보호에 경각심을 가지고 모든 업무에 만전을 기하고 있다"고 강조했다.이어 "앞으로도 국민이 언제나 신뢰할 수 있는 기관으로 나아가기 위해 개인정보 보호에 최선을 다하겠다"고 전했다.

메디칼타임즈=최선 기자아편과 성분 구조가 유사한 진통제 트라마돌을 마약류로 지정해야 한다는 주장이 나오자 식품의약품안전처가 근거가 부족하다며 제동을 걸었다.다만 미국, 영국 등 일부 국가에서 마약류로 지정하고 있는 점 등을 고려해 향후 오남용 상황에 따라 마약류 지정도 검토할 수 있다며 가능성은 열어 뒀다.2일 국회 보건복지위원회에 따르면 식약처는 국정감사 서면질의 답변서를 통해 이같이 답변했다.아편 유래 성분과 유사한 구조를 가진 트라마돌은 중추신경계에서 통증 경로를 억제하고 노르에피네프린 및 세로토닌의 재흡수를 억제하는 기전을 갖고 있다.트라마돌 제품 사진. 주로 중등도 이상의 만성 통증에 사용되는데 의존성 및 부작용이 적어 국내에선 마약류로 분류돼 있지 않지만, 일부 국가는 이를 향정신성의약품으로 분류하거나 단기 처방을 권고하고 있다.2020년 프랑스가 비 암성 통증의 경우 트라마돌 경구제의 처방 기간을 12주로 제한하면서 정치권에서도 해외 사례를 들어 트라마돌의 분류 및 감시 체계 강화 주장을 해마다 되풀이하는 실정.강선우 의원의 트라마돌 마약류 지정 필요성 질의에 식약처 마약정책과는 "트라마돌의 오남용 실태조사 연구 결과 및 관련 전문가 단체, 업계 등과 의견 수렴을 진행한 결과 트라마돌을 마약류로 지정할 근거가 부족했다"며 "다만 일부 국가에서 마약류로 지정하고 있는 점 등을 고려해 오남용 및 국제연합 차원에서 통제물질 지정 여부를 지속 모니터링하고 필요한 경우 마약류 지정도 검토하겠다"고 답했다.이와 관련 강 의원은 "오남용 실태조사 연구용역은 환자와 약사단체에서 부작용을 이야기하면서 시작됐다"며 의사만을 대상으로 설문조사를 실시한 이유와 해당 연구용역이 신뢰성이 있는지 질의했다.특히 마약류로 지정할 필요성이 없는데도 트라마돌 사용상 주의사항에 "의존성이 낮다"는 문구를 삭제해 허가사항을 강화한 것은 일관성이 없다는 것이 강 의원의 판단.이에 식약처는 "트라마돌이 함유된 제품은 의사의 처방에 의해서만 사용되는 전문의약품으로, 설문조사는 실제 환자를 주기적으로 진료하고 처방하는 주체인 의사를 대상으로 실시했다"며 "장기투여에 의한 내약성으로 인해 정신적‧육체적 의존성이 발생할 수 있지만 '의존성이 낮으나' 문구가 의존성이 낮아 문제가 없는 것으로 오인될 소지가 있어 삭제했다"고 설명했다.의사는 물론 약사, 환자 등 다양한 집단을 포괄한 용역을 다시 실시할 필요성에 대해선 약물의존 등 이상 사례 보고나 해외 규제 동향 등을 모니터링해 필요 시 진행을 검토하겠다는 입장. 사실상 트라마돌의 오남용 사례 증가 등의 변화가 없는 한 현재 분류를 고수하겠다는 것이다.한편 의료용 마약류를 의사가 본인에게 처방하는 '셀프처방' 문제가 불거지면서 의약품안전사용서비스(DUR) 시스템과 연계 및 경찰과의 수사 공조 등의 개선안이 추진된다.의료인의 셀프 처방 방지시스템이 미흡해 마약류 투약내역 조회서비스와 DUR 연계를 통한 마약류 처방 내역 확인이 필요하다는 강기윤 의원의 질의에 식약처는 "의료용 마약류 오남용을 예방하기 위한 마약류통합관리시스템과 의약품안전사용서비스의 연계 필요성에 공감한다"며 "시스템 간 연계를 위해 의약품안전사용서비스를 통한 환자의 오남용 정보 제공 가능 여부에 대해 개인정보보호위원회에 7월 심의를 요청했다"고 밝혔다.심의 결과에 따라 시스템을 연계해 의료용 마약류 처방 시 활용되도록 하겠다는 것이 식약처의 입장. 이어 의료용 마약류 처방내역을 분석해 과다처방, 의사 본인의 오남용 및 차명 처방(의심) 사례 등에 대해 마약류 기획(합동) 점검을 실시하고 법령 위반행위가 확인되는 경우에는 행정처분과 함께 수사를 의뢰하는 등 철저하게 관리하도록 하겠다는 계획이다.또 의료용 마약류의 오남용 예방을 위해 과다, 중복 처방 등 일탈행위를 한 의사를 대상으로 조치를 강화할 필요성이 있어 보건복지부 등 관계부처와 협의를 통해 해당 문제점에 대한 개선방안을 포함한 '의료용 마약류 관리 종합 대책'을 조속히 수립한다는 계획이다.식약처는 의료용 마약류 수사 의뢰 결과를 자동으로 연계 받을 수 있는 시스템에 대해서도 착수한 것으로 파악됐다.식약처는 "경찰청과 수사 결과 회신 시스템 마련 등 공조 강화 필요성에 대해 협의하고 있어 내년 상반기까지 시스템이 개발될 수 있도록 노력하겠다"며 "식약처는 AI 기반 마약류 오남용 예측 및 사전 예방을 위해 '마약류 오남용 통합감시 시스템' 구축 정보화전략계획을 9월부터 진행하고 있다"고 덧붙였다.

메디칼타임즈=박양명 기자제약바이오 업계가 주목하고 있는 범정부 컨트롤타워인 '바이오헬스 혁신위원회'가 출범한다.보건복지부는 바이오헬스 산업을 육성하고 첨단기술과 바이오헬스와 융복합을 체계적으로 지원하기 위한 '바이오헬스혁신위원회'를 설치하는 대통령 훈령을 만들었다고 17일 밝혔다.그동안 의약품, 의료기기 및 보건의료기술 등 제품 및 서비스와 관련된 바이오헬스 업무가 부처별, 분야별, 단계별 칸막이로 가로 막혀 정부 정책이 분절적이라는 지적이 있었다.복지부는 지난 2월 범부처 바이오헬스 신시장 창출 전략회의에서 발표한 '바이오헬스 신시장 창출 전략'을 계기로 바이오헬스 전 분야를 아우르는 국무총리 주재의 범정부 컨트롤타워로 '바이오헬스혈신위원회' 설치를 추진해왔다.바이오헬스혁신위원회는 국무총리를 위원장으로 하고 복지부를 포함해 기획재정부, 교육부, 과학기술정보통신부, 외교부, 산업통상자원부, 중소벤처기업부, 국무조정실, 개인정보보호위원회, 식품의약품안전처, 특허청 및 질병관리청 등 12개 정부 부처 장관이 참여한다. 여기에 현장 및 학계 등 민간전문가 17명을 위촉해 총 30명 이내로 구성될 예정이다.혁신위는 위원 위촉 과정을 거쳐 다음달 중 1차 회의를 개최할 예정이다.또 범정부 합동으로 바이오헬스 기술개발, 제품화, 보험등재, 시장진출 등 전주기 지원을 위한 정책 등을 집중적으로 검토 심의할 예정이다.바이오헬스 혁신위원회는 ▲바이오헬스혁신정책의 수립 및 홍보에 관한 사항 ▲부처별 추진과제 수립 및 추진성과 점검에 관한 사항 ▲바이오헬스 관련 제품 및 서비스 기술개발 및 생산‧수급에 관한 사항 ▲바이오헬스혁신정책 관련 국내 기업‧기관‧단체 간 협력체계 구축에 관한 사항 ▲바이오헬스혁신정책 관련 법ㆍ제도 개선에 관한 사항 등에 대해 논의할 예정이다.황승현 복지부 글로벌백신허브화추진단장은 "바이오헬스혁신위원회를 통해 바이오헬스 산업이 미래먹거리 및 국가 핵심 전략산업으로 초석을 다질 수 있도록 민‧관의 역량을 하나로 모으겠다"고 말했다.

메디칼타임즈=김승직 기자개인정보보호위원회가 환자 개인정보를 유출한 17개 병원들에 대해 과태료 등을 부과했지만, 정작 담당부처인 보건복지부는 관련 통보를 받지 못했던 것으로 나타났다.10일 더불어민주당 최혜영 의원실이 보건복지부로부터 제출받은 자료에 따르면, 복지부는 해당 사건에 대해 관련 자료를 별도로 통보받지 못했다고 밝혔다.17개 병원이 환자 개인정보를 유출해 과태료 등이 부과됐지만,  보건복지부는 관련 통보를 받지 못했다. 사진은 병원별 유출 개요 및 행정처분앞서 개인정보위는 지난 7월 전체회의에서 개인정보보호 법규를 위반한 17개 병원 중 16개 병원에 대해 과태료를 부과하고, 개인정보 처리실태에 대한 개선을 권고하기로 의결했다.개인정보위의 조사 결과에 따르면, 2018년 4월부터 2020년 1월까지 각 병원에선 병원 직원이나 제약사 직원이 병원 시스템에서 해당 제약사 제품을 처방받은 환자정보를 촬영·다운로드한 후 전자우편, 보조저장매체(USB) 등을 통해 외부로 반출했다.또 제약사 직원이 불법적으로 시스템에 직접 접근해 환자정보를 입수하는 등의 방법으로 민감정보가 포함된 총 18만5271명의 환자정보가 유출된 것으로 드러났다.개인정보위는 이에 따라 각 병원들에 개선권고 등과 함께 과태료 총 6480만원을 부과했는데 이는 환자정보 한 개당 평균 350원씩이다. 하지만 이는 병원에 따라 100원 수준으로 낮아진다는 게 최혜영 의원실의 지적이다.실제 유출된 환자정보인원이 가장 많은 세브란스병원의 경우, 내부직원이 5만7912명의 환자정보를 제약사 직원에게 이메일로 송부한 것이 적발됐다. 이에 개선권고 및 결과공표와 함께 과태료 720만원이 부과됐는데 유출 환자정보 1명당 124원 정도의 과태료가 부과된 셈이다.이와 관련 복지부는 "개인정보위로부터 처분 대상 의료기관에 대한 자료를 별도로 통보 받지는 못한 상태"라며 "개인정보보호위원회에 과태료 부과 처분 상세 내용을 요청해 확보한 후, 의료법 위반에 따른 의료기관·의료인 처분 사항을 검토해 조치하겠다"는 입장이다.결국 복지부는 이번 사건과 관련해 아무런 통보도 못 받지 못해 이들 병원의 의료법 위반여부를 검토할 생각조차 못하고 있었다는 것.이와 관련 최혜영 의원은 "가벼운 문제도 아니고 18만 명이 넘는 환자 정보 유출과 개인정보위의 과태료 부과 사실을 복지부가 모르고 있었던 것은 정부의 불통이 얼마나 심각한지 보여주는 사례"라며 "환자 정보 1인당 100원 수준에 불과한 과태료로는 환자정보 유출을 예방할 수 없다"고 지적했다.이어 "앞으로는 환자 정보뿐만 아니라 수술실 CCTV 영상과 같은 더 심각한 정보 유출 문제가 발생할 수 있는 만큼 의료법 위반에 따른 엄중한 조치가 취해져야 할 것"이라고 강조했다.

메디칼타임즈=오승준 변호사 환자 진료 정보의 공유A 의원 네트워크 서울 oo점을 운영 중인 김원장은 최근 환자로부터 강력한 항의를 받았는데, 그 내용이 아주 생소했다. 자초지종을 들어보니, 그 환자는 김원장으로부터 시술을 받은 후에 이사를 가게 되었는데, 부산의 똑같은 A의원에서 상담을 받던 중 자신의 정보가 부산에도 있다는 사실을 알게 된 것이었다. 환자는 왜 자신의 허락도 없이 나의 민감 정보를 부산에 있는 병원으로 제공했냐면서 법적 조치를 운운했다. 갑자기 이런 항의를 받게 되자 어떻게 설명해야 할지 아주 난감했고, 직원들도 왜 어떤 경위로 차트가 공유되고 있는 것인지 알지 못했다.병원간의 진료 정보 제공개인정보보호법 제23조에 따르면 개인의 건강에 관한 정보는 “민감정보”에 해당하므로 일반 개인정보 관련 동의와 별도의 동의를 받아야 하고, 일반적인 개인정보보다 안전성 확보에 필요한 조치를 더 강화해야 한다. 따라서 아무리 병원이라고 하더라도 본인의 명시적인 동의 없이 건강에 관한 민감정보를 제3자에게 함부로 제공해서는 안되는 것이 원칙이다.다만 의료기관의 진료기록에 관해서는 의료법에 특별한 규정이 있다. 의료법 제21조의2 제1항 본문은 “의료인 또는 의료기관의 장은 다른 의료인 또는 의료기관의 장으로부터 제22조 또는 제23조에 따른 진료기록의 내용 확인이나 진료기록의 사본 및 환자의 진료경과에 대한 소견 등을 송부 또는 전송할 것을 요청받은 경우 해당 환자나 환자 보호자의 동의를 받아 그 요청에 응하여야 한다.”라고 하여 환자 치료에 필요한 진료정보를 의료기관 간에 공유할 수 있도록 규정하고 있다.그리고 보건복지부는 병원간 협진과 관련하여, “같은 의료원으로 묶여 있는 각 병원에서 환자로부터 개인정보이용동의서를 받을 때, 의료원 내의 각 병원 의료진이 진료상 필요할 때 다른 병원에 보관되어 있는 환자 진료기록을 열람하는데 동의한다는 내용을 기재하여 동의를 받으면 적법하게 전자의무기록을 열람할 있을 것으로 판단됩니다. 각 병원에서 진료기록을 열람하려고 하는 사람이 환자를 진료하는 의사라는 점을 확인하고 전자의무기록을 열람하도록 허용하는 시스템을 구축하면 될 것입니다.” 라고 의견을 표명한 사실이 있는데, 이런 방식은 네트워크 병원에도 동일하게 적용될 수 있다. 이런 보건복지부의 유권해석에 따라, 협진 시스템을 구축한 네트워크 의료기관들은 환자의 최초 진료시 동의서를 받아놓는 방식으로 대응하고 있다.따라서 위 사례의 김원장의 경우에도, A의원 네트워크가 구축해 놓은 시스템에 따라 환자의 동의를 구비하고 있을 가능성이 높으므로, 해당 동의서를 찾아서 환자에게 제시함으로써 항의에 대응할 수 있을 것이다.** 물론 이런 사전 동의 절차를 구비하지 않은 상태에서 구먹구구식으로 협진 시스템을 운영하고 있는 의료기관들이 있다면 지금이라도 빠르게 개선할 것을 권고한다.보건복지부 진료정보 교류 시스템한편, 보건복지부는 환자의 편의를 위해 의료법 제21조의2(진료기록의 송부 등)에 근거하여 환자 동의 하에 의료기관 간 진료정보를 전자적으로 공유할 수 있도록 지원하는 진료정보교류 시스템을 운영하고 있다. 진료정보교류 시스템상에서 정보가 공유되기 위해서는 양 의료기관이 이 사업에 참여하고 있어야 한다.의료기관의 입장에서는 EMR 시스템 내에서 환자의 동의를 받거나, 환자에게 링크를 보내 마이차트 내에서 동의를 받으면 되므로 보다 간편한 방법으로 진료정보를 교류할 수 있으며, 환자와의 관계에 있어서도 잡음이 적은 방법이라 할 수 있겠다.홍보업체 또는 MSO 등과의 정보 공유최근에는 단순히 의료기관 간의 협진이나 진료의뢰 등을 위해서 진료정보를 공유하는 것이 아니라, 마케팅 등의 목적으로 환자 정보를 활용하는 사례가 있는데, 이는 아주 깊은 주의를 요한다.일단 민감정보를 제외한 이름, 연락처, 상담 요청 사항 등은 애초에 개인정보 수집 단계어서부터 마케팅 이용 목적 및 제3자 제공 동의 등을 받아놓으면 DB마케팅, 전화나 문자 마케팅을 진행함에 있어서 어느 정도 법적인 안전장치는 마련할 수 있겠으나, 실제로는 정보를 제공 받는 제3자가 누군인지 명확하게 특정되지 않는 경우가 많다. 예를 들어서, B라는 광고회사가 무작위로 수집한 개인정보를 여러 의료기관에 판매하는 것은 제3자 제공의 상대방이 특정되어 있지 않으므로 개인정보 침해행위가 될 수 있다.의료기관이 수집한 개인정보를 활용하기 위해 제3자에게 제공할 때에도 유사한 절차가 필요하지만, 그 이용 목적이나 방식에 따라 “개인정보 위탁 계약” 이라는 절차를 통해 간단히 해결되는 경우도 있다. 이와 관련하여서는 개인정보보호 가이드라인(의료기관편)에 자세히 나와 있으니 개인정보보호위원회의 홈페이지에서 관련 자료를 찾아볼 것을 권고한다. 맺음말당 법률사무소와 자문계약을 맺고 있는 병·의원들의 질문 사례들을 분석해 보면, 몇 년 전부터 개인정보보호와 관련된 이슈의 비중이 점차 늘어나고 있다.개인정보와 관련된 법규와 가이드라인을 살펴보면, 대부분이 “동의”로 귀결되고 있음을 확인할 수 있으므로, 결국 동의서를 얼마나 잘 구비하느냐가 관건인데, 동의의 방식이나 내용, 사소한 문구 하나에 따라 합법과 불법이 결정되기도 한다. 따라서 의료기관 운영자들은 한 번 정도는 개인정보보호 가이드라인을 읽어보고, 우리 병원에 부족한 부분은 없는지 체크해 볼 필요가 있겠다.

메디칼타임즈=이인복 기자데이타스(대표 김현진)가 오는 29일부터 10월 1일까지 서울 코엑스에서 열리는 국제병원의료산업박람회(K-HOSPITAL FAIR 2022, KHF 2022)에서 개인정보 비식별 솔루션 피에이마스터(PAmaster)를 선보인다.피에이마스터는 가명정보 처리 가이드라인의 모든 절차와 기술을 반영하는 것은 물론 가명정보의 결합 및 반출 처리 등을 지원하며 특히 적정성 평가와 반출심사 기능에 특화돼 가명정보 생명주기 전 과정에 대한 통합관리가 가능한 솔루션이다.이를 통해 피에이마스터는 한국정보통신기술협회(TTA) GS 1등급을 획득하고 조달청 나라장터 종합쇼핑몰 등록을 마친 상태며 지난해 9월 개인정보보호위원회 개인정보보호․활용 기술개발 스타트업 챌린지 우수상을 수상하고 한국인터넷진흥원(KISA) 가명정보 활용 지원센터 등에 납품을 운용하고 있다.특히 최근에는 삼성서울병원 데이터중심병원(디지털 혁신추진단장 이풍렬)에서 진행하는 가명화 키 관리체계 수립 구축 사업에 최종 낙찰자로 선정돼 계약을 체결하며 신뢰도를 높였다.이번 사업은 삼성서울병원내 의료데이터를 연구 목적으로 활용하기 위해 가명정보 처리 비식별 솔루션을 도입 및 설치해 안전한 가명처리 프로세스를 정립하기 위한 목적이다.삼성서울병원은 이번 비식별 솔루션 도입으로 데이터 3법 시행 이후 활성화 되는 가명정보를 안전하고 효과적으로 활용해 빅데이터 산업을 주도하는 의료기관으로 거듭나기를 기대하고 있다.김현진 데이타스 대표는 "주로 공공기관에 납품되던 피에이마스터가 의료 분야에도 유용한 솔루션으로 인정받았다"며 "의료 분야 뿐만 아니라 금융, 교육 등 전 산업 분야에 공급을 확대할 계획"이라고 말했다.

메디칼타임즈=이인복 기자라이프시맨틱스(대표 송승재)가 비대면 진료 업계 최초로 한국인터넷진흥원(KISA)의 정보보호 및 개인정보보호 관리체계(ISMS-P·Personal Information & Information Security Management System) 인증을 획득했다고 7일 밝혔다.ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 고시한 기준에 따라 한국인터넷진흥원의 심사를 거쳐 발급된다. 해당 인증 취득을 위해서는 80개의 정보보호 관련 항목과 22개의 개인정보보호 항목을 포함해 총 102개 영역을 모두 충족해야 한다.ISMS-P 인증 범위는 의료 마이데이터(개인건강기록, PHR)용 B2B 클라우드 서비스 라이프레코드(LifeRecord)를 기반으로 구축한 닥터콜, 오하, 하이, 에필케어 등 라이프시맨틱스의 주요 디지털헬스케어 서비스가 모두 해당되며, 인증 자격은 3년간 유지된다.라이프시맨틱스는 개인건강기록 플랫폼을 보유하고 있는 기업으로써 민감정보로 분류될 만큼 보안성이 중요한 의료 데이터의 보호관리체계 수준을 한 차원 높이기 위해 ISMS-P 인증 취득을 추진했다.이번 인증 획득으로 라이프시맨틱스는 삼성생명, 한화생명 등 국내 대형 금융사들의 건강관리서비스 개발 프로젝트를 안정적으로 수행하고 보건의료 데이터 사업을 비롯한 디지털헬스케어 사업을 보다 안정적으로 제공할 수 있는 역량을 확보하게 됐다.라이프시맨틱스는 현재 ISMS-P 인증 외에도 국제 표준인 ISO27001(정보보호경영시스템), ISO27017(클라우드서비스정보보호), ISO27799(의료정보보호경영시스템), ISO27701(개인정보보호경영시스템), HIPAA 적합성 인증을 보유하고 있다.라이프시맨틱스 김광훈 정보보호최고책임자(CISO)는 "디지털헬스케어 서비스의 기반이 되는 개인 건강 데이터를 외부 위협으로부터 안전하게 보호하기 위해서는 보안 기술력이 중요하다"며 "이번 ISMS-P 인증을 통해 라이프시맨틱스의 보안 기술력이 대외적으로 다시 한번 입증됐다"고 말했다.

메디칼타임즈=박양명 기자건강보험심사평가원(원장 김선민)은 이달부터 병․의원 및 약국 등의 개인정보보호법 자율준수 활동을 돕기 위해 의약단체와 공동으로 '2022년도 요양기관 개인정보보호 현장지원컨설팅' 서비스를 시작했다고 12일 밝혔다.요양기관 개인정보보호 현장지원컨설팅은 신규개설, 전문 인력 부족 등으로 개인정보보호 자율점검 활동에 어려움을 겪는 요양기관을 위한 맞춤형 방문컨설팅이다.심평원과 의약단체는 함께 컨설팅 신청기관을 방문해 46개의 의약분야 표준 점검항목에 따라 ▲개인정보보호 관리수준 진단 ▲취약점 보완․조치 사항 가이드 ▲관련 처분 및 우수조치 사례 설명 ▲각종 관련 서식 및 샘플 제공 등을 지원한다.컨설팅은 심평원 지원별로 31개 요양기관을 목표로 9월말까지 제공할 예정이며, 지원 및 의약단체 상황에 따라 목표 기관수 및 제공기간이 달라질 수 있다.현장지원컨설팅 서비스 흐름도컨설팅을 원하는 요양기관은 심평원 요양기관업무포털(http://biz.hira.or.kr)에 로그인 후 해당 메뉴(정보화지원>개인정보보호 현장지원 컨설팅서비스>컨설팅 신청)로 이동해 원하는 시간대로 예약신청을 할 수 있다.심평원은 신청내용에 따라 필요시 해당 요양기관 및 의약단체와의 일정조정 과정 등을 거쳐 최종 방문일을 확정․승인한다. 온라인 예약신청이 어려운 요양기관은 관할 심평원 지원이나 의약단체에 전화해 신청할 수도 있다.특히 올해 심평원은 컨설팅 업무의 효율성 제고를 위해 요양기관이 개인정보 보유현황을 미리 입력할 수 있도록 사전점검표 등록·관리 서비스를 신설․개시 했다.요양기관이 직원 수, 환자 수, CCTV설치 여부, 업무PC 개수, 위탁업체 현황 등의 개인정보 보유현황을 미리 등록하면 심평원 및 의약단체는 이를 분석․준비한 후 방문컨설팅을 수행하는 과정이다.컨설팅 결과에 따라 보완․조치를 성실히 수행한 요양기관은 개인정보보호 자율점검 서비스를 모두 완료한 기관으로서 개인정보보호위원회의 자료제출 요구 및 검사를 1년간 면제받을 수 있는 조건이 된다.다만 해당 면제조건은 의약단체별 홈페이지에서 6월 중 개시예정인 온라인 개인정보보호 자율점검 서비스를 완료한 기관에도 적용된다.최동진 정보운영실장은 "심평원은 2015년부터 2021년까지 1135개 기관이 현장지원컨설팅을 이용했다"라며 "개인정보보호를 어려워하는 신규․중소 요양기관이 적극적으로 컨설팅을 신청해 개인정보보호의 문화확산과 국민권리보장에 더 큰 도움이 되기를 바란다"고 말했다.

메디칼타임즈=박양명 기자 처방 후 조제 오류로 약국에 환자 전화번호를 본인 동의없이 알려줘도 개인정보보호법 위반이 아니다. 대신 개인정보 처리 판단 기준에 대한 방침을 미리 만들어 공개해야 한다. 3일 의료계에 따르면 대한의사협회는 최근 약국에 환자 동의 없이 휴대전화번호를 알려줬을 때 법률 위반 여부에 대해 안내했다. 이는 최근 개인정보보호법 관련 환자민원 처리방법에 대해 묻는 민원을 접수한 데 따른 것이다. 접수 민원에 따르면 A의원은 환자에게 B약 500mg을 처방했는데, 약국에서 850mg으로 잘못 조제했다. 약사는 이 사실을 2~3일 뒤에야 알게 됐고, 환자에게 연락을 하고 싶어도 연락처를 모르는 상황이라 A의원에 문의한 것. 이에 A의원 직원은 환자 전화번호를 약국에 알려줬다. 그러자 환자는 동의도 받지 않고 전화번호를 알려줬다고 문제를 제기했다. 보건소에 민원을 넣는가 하면 경찰에 신고까지 했다. 약국이 경찰 조사를 먼저 받을 예정이고 A의원도 신고하겠다고 했다. 이에 의협은 개인정보보호위원회가 만든 개인정보호호법 표준 해석 사례(이하 해석례를 제시하며 "위법한 행위가 아니다"라고 했다. 해석례에 따르면 복약 처방을 잘못한 약국에 환자 연락처를 제공할 수 있다. 근거는 개인정보보호법 제17조 제4항. 개인정보 처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 했는지 등을 고려해 정보 주체 동의 없이 개인정보를 제공할 수 있다. 즉, 병원에서도 환자의 동의 없이 연락처 등 개인정보를 약국에 제공할 수 있다는 소리다. 다만 개인정보 제공 고려사항에 대한 판단 기준을 사전에 개인정보 처리방침에 공개해야 한다.

메디칼타임즈=박양명 기자 의료기관을 겨냥한 랜섬웨어(Ransomware, 사용자 PC를 인질로 삼는 보안 공격)가 기승을 부리는 가운데 서울대병원도 사이버 공격에 노출됐다. 이를 인지한 건강보험심사평가원도 환기 차원에서 일선 의료기관에 각별한 주의를 당부하고 나섰다. 심평원은 지난 9일 "최근 요양기관을 대상으로 악성코드에 감염된 사례가 발생하고 있다"라며 "악성코드에 감염되면 데이터 손실과 더불어 보유한 개인정보 유출도 함께 발생하기 때문에 각별한 주의가 필요하다"고 안내했다. 심평원은 개인정보 보호 활동에 도움이 될 수 있는 온라인 동영상 교육, 자율상담봇 서비스를 자체적으로 운영하고 있다. 심평원은 주의를 당부하며 랜섬웨어 피해 예방 5대 수칙을 제시했다. ▲모든 소프트웨어는 최신 버전으로 업데이트해서 사용 ▲백신 소프트웨어를 설치하고 최신 버전으로 업데이트 ▲출처가 불명확한 이메일과 URL 링크는 실행하지 않음 ▲파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의 ▲중요 자료는 정기적으로 백업 등이다. 심평원이 주의를 당부하고 나선데에는 서울대병원이 사이버공격을 받았다는 사실이 크게 작용했다. 서울대병원 홈페이지에 게시된 사이버공격에 대한 안내글 서울대병원은 지난 6일 '사이버공격에 의한 개인정보 유출(의심)에 대한 안내'글을 게시하며 사이버공격을 확인했다고 밝혔다. 서울대병원에 따르면 지난달 5~11일 중 악성코드 감염을 통한 해킹 형태의 사이버공격이 확인됐다. 조사를 하던차에 병원에서 보유중이던 일부 개인정보를 담은 파일의 유출이 의심되는 정황을 확인했다. 이에 교육부, 보건복지부, 개인정보보호위원회, 사이버수사대 등에 신고했다. 그리고 ▲해당 IP 및 접속 경로 차단 ▲서비스 분리 ▲취약점 점검 및 보완조치 ▲모니터링 강화 ▲사용자 PC 비밀번호 변경 ▲유관기관 신고 등의 조치를 취했다. 서울대병원은 개인별로 차이가 있다는 점을 전제하고 "병원등록번호, 이름, 성별, 나이, 생년월일, 주소, 휴대전화번호, 진료과, 진단명, 방문기록, 검사결과, 검사명, 의학사진 등의 개인정보가 유출됐을 것이라고 추정된다"라고 공개했다. 직원은 사번, 이름, 생년월일, 성별, 주민등록번호, 거주지연락처, 연락처, 이메일, 근무부서정보, 직급연차정보, 임용퇴직정보, 휴복직정보, 자격면허정보 등의 정보유출을 의심하고 있는 상황. 서울대병원은 "연관된 직접적인 피해는 아직까지 확인되지 않았다"라며 "유출 가능성이 있는 개인정보는 개인별로 차이가 있어 병원에 등록된 연락처로 개별 연락을 했다. 개인정보 유출로 인한 의심 정황 시 추가 피해가 발생하지 않도록 적극적인 신고를 부탁한다"고 전했다.

메디칼타임즈=박양명 기자 건강보험심사평가원(원장 김선민, 이하 심평원)은 2015년부터 수행한 요양기관의 개인정보 보호 자율규제 대면 컨설팅이 코로나19로 어려워짐에 따라 비대면 방식의 '요양기관 개인정보보호 자율상담봇' 서비스를 운영하고 있다고 9일 밝혔다. 개인정보보호 자율규제는 '개인정보보호위원회' 주관으로 민간분야의 개인정보보호 활동을 촉진하기 위해 시행된 제도다. 심평원은 의료분야 자율규제 전문기관으로 지정되어 국민의 개인정보보호를 위해 6개 의약단체와 함께 협력하고 있다. 자율상담봇 예시 심평원은 '개인정보보호 자율점검 표준가이드' 제공 및 교육·기술지원, 상담사례집 제작·배포 등 국민의 개인정보를 보호하기 위해 요양기관의 개인정보보호 활동을 지속적으로 지원하고 있다. '요양기관 개인정보 자율상담봇'은 요양기관의 개인정보보호 전담인력이 부족한 현실을 감안해 요양기관 담당자의 편의성과 접근성을 높인 지능형 상담비서 서비스다. 자율상담봇은 개인정보 보호 관련 다년간 축적된 지식을 활용해 시공간 제약 없는 사용자 주도형 비대면 상담기능으로 요양기관이 언제든지 편한 시간대에 어디서나 이용 가능한 서비스다. 상담내용은 요양기관 ‘개인정보보호 자율점검 표준가이드 46개 항목(개인정보 수집·이용 동의, CCTV 설치 유무 등)에 대한 다(多)빈도 질의응답으로 구성되었다. 해당 서비스는 요양기관업무포털시스템(https://biz.hira.or.kr)에 접속 후 요양기관 공동인증서로 로그인해 '정보화지원 > 개인정보보호 자율점검서비스 > 자율상담봇'을 통해 이용할 수 있다. 최동진 정보운영실장은 "포스트 코로나를 대비해 비대면 지능형 상담비서 자율상담봇 서비스를 자체 구축했으며, 앞으로도 심평원의 우수한 ICT기술력을 바탕으로 요양기관 개인정보보호 활동에 적극 지원하겠다"고 말했다.

메디칼타임즈=이지현 기자 암 환자의 데이터를 국가차원에서 관리, 연구할 수 있도록 가명처리된 데이터는 활용할 수 있는 규정을 마련했다. 이와 함께 현재 암환자 의료비 지원사업에서 지원금액을 최대 220만원에서 300만원까지 확대한다. 복지부는 '가명정보의 제공절차 및 국가암데이터센터 지정·운영 등에 관한 고시' 제정안과 '암환자에 대한 의료비 지원기준 등에 관한 고시' 일부개정안을 행정예고했다. 사진은 기사내용과 무관함 이번 고시 제·개정안은 지난 4월 8일 개정·시행된 ｢암관리법｣에서 고시로 위임한 내용을 구체적으로 정하기 위한 것. 일단 국가암데이터에 구축된 자료(가명정보를 포함)를 제공받으려는 사람은 서면 또는 전자적 방법으로 신청하고, 자료를 제공받은 신청자가 해당 자료를 외부로 반출하려는 경우 국가암데이터가 구성하는 반출심사위원회의 심의를 받도록 했다. 이와 더불어 자료를 제공받은 신청자는 개인정보보호법 등 관련 규정을 준수하여야 하며, 이를 위반한 경우 국가암데이터센터는 제공한 자료의 폐기 또는 반환을 요구할 수 있도록 규정했다.(안 제3조, 제4조, 제5조) 국가암데이터로 지정받으려는 기관은 암데이터 관련 분야(정보통신, 의학, 생물정보학 등)별 전문가 10인을 포함한 20인 이상의 담당조직을 구성해야한다. 또 개인정보보호법에 따른 '가명정보의 결합 및 반출 등에 관한 고시'(개인정보보호위원회 고시)에 규정된 결합전문기관의 지정기준도 준수해야 한다. 이와 함께 데이터센터 관련 필수시설과 기술적·관리적·물리적 조치가 된 분석공간과 사무실 등도 갖춰야한다. 또한 암환자에 대한 의료비 지원기준 등에 관한 고시에 따라 현행 암환자의료비지원사업에서 성인 암환자에 대한 지원금액 한도를 연간 최대 220만원에서 300만원까지 확대한다. 특히 기존에는 급여 본인부담금(한도 120만원)과 비급여 부담금(한도 100만원)을 구분하여 지원받을 수 있었으나 7월 1일부터는 급여·비급여 구분 없이 최대 300만 원까지 지원받도록 개편한다. 과거에는 국가암검진(6개 암종)을 통해 암 판정을 받은 성인 암환자 중 건강보험료 하위 50% 대상자는 건강보험 급여 본인부담금에 대해서만 연간 최대 200만원까지 지원(신청 후 3년간)해왔다. 이를 건강보험 보장성 강화를 통해 암 치료에 대한 본인부담이 크게 낮아진 점, 유사한 의료비지원 사업(재난적의료비지원사업 등)이 있는 점 등을 고려해 7월 1일부터 신규 지원은 중단하되 올해 6월 30일까지 국가암검진을 통해 암 판정을 받은 경우는 기존과 동일한 기준으로 지원이 가능하다. 복지부는 "행정예고 기간 중 국민의 의견을 폭넓게 수렴한 후 고시 제·개정안을 확정할 예정"이라며 "이번 제·개정안에 대해 의견이 있는 단체 또는 개인은 6월 1일까지 의견을 제출해달라"고 전했다.

메디칼타임즈=이지현 기자 마이 헬스웨이(의료 마이데이터) 생태게를 조성하기 위한 본격적인 논의가 시작됐다. 보건복지부는 '마이 헬스웨이 추진위원회(이하 위원회)'를 발족하고 10일 오후 2시 포포인츠 바이 쉐라톤에서 제1차 회의를 개최한다고 밝혔다. 마이데이터란 정보주체가 본인정보를 적극적으로 관리‧통제하고, 원하는 서비스를 받기 위해 주도적으로 활용하는 것을 의미한다. 자료제공: 복지부 정부는 지난 2월 24일 '마이 헬스웨이(의료분야 마이데이터) 도입 방안'을 통해 마이 헬스웨이 플랫폼 기반 의료 분야 마이데이터 생태계를 조성할 계획이라고 발표한 바 있다. 위원회는 도입 방안의 차질 없는 세부 이행을 위해 법‧제도 개선, 표준제공항목 정의, 표준연계 방법, 의료기관 참여 등 핵심 과제를 발굴하고 속도감 있게 개선 방향을 마련하기 위해 운영할 예정이다. 위원장은 강도태 보건복지부 2차관이 맡았으며 공동 부위원장에는 이기일 보건복지부 보건의료정책실장과 윤건호 카톨릭대학교 의과대학 교수가 각각 맡았다. 위원회에는 과학기술정보통신부‧산업통상자원부‧개인정보보호위원회 등 관계부처, 의료계‧산업계 등 이해관계자, 학계‧법조계‧유관기관 등 각계 전문가가 함께 참여한다. 이번 회의에서는 ①마이 헬스웨이 추진 경과 및 향후 계획 ②마이 헬스웨이 거버넌스 구성‧운영 계획 등에 대해 논의할 예정이다. 우선적으로 21년 말까지 마이 헬스웨이 파일럿 시스템을 구축해 실제 적용 가능성, 문제점, 보완 방안 등에 대해 ’22년 초부터 실증한다. 이어 거버넌스 논의 결과, 법‧제도 개선, 파일럿 시스템 실증 결과 등을 바탕으로 2022년 말까지 전체 플랫폼 생태계를 구축해 확산·정착시켜나갈 계획이다. 위원장을 맡은 강도태 보건복지부 2차관은 "앞으로 위원회가 마이 헬스웨이 플랫폼 구축을 위한 논의의 장으로 이해관계자 모두가 상생할 수 있는 마이데이터 생태계 조성을 통해 국민의 삶 속에 개인 주도 건강정보 활용이 정착할 수 있기를 바란다"고 밝혔다.

메디칼타임즈=이창진 기자 분당서울대병원(원장 백롱민)은 26일 과학기술정보통신부와 개인정보보호위원회에서 주관하는 정보보호 관리체계(ISMS) 인증을 취득했다고 밝혔다. 분당서울대병원은 지난해 9월 정보보호 경영시스템(ISO 27001), 의료정보 보호시스템(ISO 27799) 인증을 취득했다. 이번 정보보호 관리체계(ISMS) 인증까지 완료하게 되면서 2018년에 이어 국내외 정보보호 인증 3종을 2회 연속으로 취득한 셈이다. 정보보호 관리체계(ISMS) 인증은 2018년도에 인증제도가 개정됨에 따라 새로운 인증기준에 맞춘 최초 심사로 진행됐다. 아울러 정보보호 경영시스템(ISO 27001), 의료정보 보호시스템(ISO 27799) 인증심사 역시 2017년도에 취득한 인증의 만료를 앞두고 진행된 갱신심사로서 3종의 인증심사 모두 병원의 정보보호 관리체계 전반에 대한 점검과 인증기준 적합 여부를 확인하는 심사. 인증심사 과정에서 특별히 주목할 점은 관리체계 수립 및 운영, 위험 관리, 취약점 점검 등 인증 취득을 위한 전 과정을 외부 전문업체 도움이나 컨설팅 없이 병원에서 자체적으로 수행했다는 것이다. 실제로 분당서울대병원은 2018년 4월 정보보호 선언문 발표를 통해 선진 정보보호 환경 구축과 정보보호 문화 정착을 위한 교직원의 인식을 제고했을 뿐 아니라, 단순히 인증에 대비하기 위한 정보보호 활동이 아닌 조직 전반의 정보보호 수준 향상을 위해 노력해왔다. 또한 지난해 정보보호 실무 전담조직인 정보보호팀을 신설해 전문성 있는 인력을 배치한 결과 전문업체 수준의 위험관리 능력과 진단 역량을 확보할 수 있었다. 백롱민 병원장은 "정보보호 인증 3관왕 달성이라는 성과를 통해 세계 최고로 평가받고 있는 병원의 정보화 수준은 물론, 정보보호 수준의 우수성까지도 입증하게 됐다"면서 "국내 최초의 디지털병원 구축과 의료정보시스템 해외 수출을 통해 쌓아온 명성을 기반으로 앞으로도 의료정보 및 정보보호 표준을 선도해 나갈 수 있도록 최선을 다하겠다"고 강조했다.