개인정보위원회 상설화와 보안책임자 고용 의무화 등 복지부가 의료기관 가이드라인을 추진 중에 있어 병원계와의 마찰이 예상된다.
24일 보건복지가족부에 따르면, 500병상 이상 의료기관을 대상으로 한 개인정보보호 가이드라인(안)에 개인정보보호위원회 설치 상설화와 보안책임자 전일근무 의무화 등 강화된 관리지침이 포함된 것으로 확인됐다.
앞서 행정안전부는 지난해 7월 의료기관을 개인정보 관리업종으로 포함시켜 개인정보 관리를 하지 않을 경우 5년 이하 징역 또는 5천만원 이하 벌금 및 과징금을 부과하는 개정안을 발의, 통과시킨 바 있다.
이번에 복지부가 마련한 가이드라인에는 의료기관 개인정보 보호 및 보안을 목적으로 한 관리적 지침과 물리적, 기술적 지침 등과 더불어 전문용어 설명 및 규모별 적용방안, 관련법률과 제도 등 세부안이 상세히 담겨있다.
이중 문제가 되는 부분은 조직 및 인력기준이 주를 이루는 관리적 지침의 대부분이 일반 기업체와 동일한 적용수준을 담고 있다는 것이다.
우선, 개인정보보호위원회를 병원내 상설기구로 설치해야 하며 위원회는 실무책임자, 보안책임자, 비의료인으로서 기관외 종사자 1인이 포함된 5인 이상으로 구성한다고 명시되어 있다.
또한 의료기관 규모별 적용방안으로, 1000병상 이상은 실무책임자와 보안책임자를 각각 전임자로 2인(필요에 따라 2인 중 1명은 아웃소싱)을 두어야 하며 500병상 이상은 실무책임자와 보안책임자 중 1인을 전임자로 임명할 것을 분명히 했다. 전임자의 정의도 정규직으로 해당 업무를 주된 업무로 해야 한다고 덧붙였다.
특히 ‘감사 및 외부안전진단’ 조항에 의료기관은 개인정보 보호 및 보안관리체계의 적합성 및 운영상황을 정기적으로 감사하거나 외부안전진단을 받아야 하고, 감사와 안전진단 결과에 따른 적정한 시정조치를 취해야 한다고 규정했다.
이를 적용할 경우, 대형병원 상당수는 정보보호 관련 위원회를 이미 구성, 운영하고 있어 큰 문제가 되지 않으나 중소병원 입장에서는 새로운 조직과 인력충원이 불가피하다는 점에서 적잖은 부담으로 작용할 수밖에 없다는 점이다.
더욱이 외부안전진단 의무화는 대상 병원 모두에게 상당한 경제적 출혈이 예상돼 과도하다는 지적이다.
병원계 관계자는 “개인정보보호의 중요성을 모르는 것은 아니나 병원계의 현실을 무시한 가이드라인이 올바른 것인지 고민해봐야 한다”면서 “복지부는 권고안이라고 하나 결국에는 법안을 마련해 의무화, 강제화하려는 것이 아니겠느냐”고 지적했다.
복지부도 비용부담에 난색을 표하는 병원계의 반응을 모르는 바는 아니다.
정보화담당관 관계자는 “의료계의 입장을 모르는 것은 아니나 비용이 수반돼야 보안시스템이 구축될 수 있을 것”이라면서 “권고안이라고 해도 의료기관의 참여 유도를 위한 인센티브 부여 등 다양한 방안을 모색하고 있다”고 말했다.
이 관계자는 이어 “병원들이 부담을 느낄지 모르나 정통법의 수위를 의료계의 현실에 맞춰 완화시켰다”며 “건강정보보호의 중요성 측면에서 가이드라인에서 점진적으로 법제화로 진행될 수 있다”고 덧붙였다.
복지부는 26일 오후 3시 서울아산병원 대강당에서 병원계와 법조계, 보안업체 등이 참여하는 ‘의료기관 개인정보보호 가이드라인’(안) 공청회를 예정하고 있어 양측의 설전이 불가피할 것으로 전망된다.