종합병원 이상급 의료기관은 건강보험심사평가원이 진행한 개인정보 자가 점검 외 추가적인 '정보보호 관리체계 인증'을 받아야 한다.

만약 인증을 받지 않을 경우 3000만원 이하의 과태료를 물어야 한다.

미래창조과학부는 25일 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 및 시행규칙 일부개정안'을 입법예고하고, 의견 수렴 중에 있다고 밝혔다.

개정안에 따르면, 연간 매출액 또는 세입, 일일평균 이용자 수 등에 따라 '정보보호 관리체계 인증' 의무대상 기준을 정하고, 그에 따라 지정된 전문기관을 통해 인증을 받도록 했다.

구체적으로 전년도 매출액 또는 세입 등이 1500억원 이상인 곳 중 의료법 상 의료기관 또는 금융회사, 일일평균 이용자 수가 1만명 이상인 곳은 '정보보호 관리체계 인증'을 의무적으로 받아야 한다.

따라서 시행령 및 시행규칙이 통과되면 상급종합병원 규모 대형병원은 정보보호 관리체계 인증을 받아야 하는 셈이다.

정보보호 관리체계 인증은 한국인터넷진흥원, 한국정보통신기술협회, 한국정보통신진흥협회, 금융보안원으로부터 받으면 된다.

미래부 관계자는 "이번 정보보호 관리체계 인증은 개인정보뿐 아니라 모든 정보보안 관리에 대한 내용이 포함된다"며 "시행령 및 시행규칙이 통과된 후 인증을 받지 않는다면 해당기관은 3000만원 이하의 과태료를 받을 수 있으니 유의해야 한다"고 설명했다.

이 같은 계획이 알려지자 일선 대형병원은 이미 심평원이 개인정보 자가 점검을 통한 행정자치부의 실태조사 등이 이뤄지고 있음에도 미래부가 이와 유사한 '정보보호 관리체계 인증'을 실시하려고 한다며 불만을 나타냈다.

실제로 심평원은 지난해 말부터 전체 요양기관을 대상으로 한 개인정보 자가 점검을 실시한 바 있다.

서울의 A대학병원 관계자는 "심평원에서 개인정보 자가 점검을 통해 정보보안에 대한 의료기관 점검을 실시토록 하고 있다"며 "그런데 추가적으로 대형병원을 대상으로 정보보호 관리체계 인증을 받으라는 것은 불필요한 조치라고 생각한다"고 비판했다.

그는 "다시 말해 또 하나의 옥상옥인 정책"이라며 "이미 행자부가 개인정보 자가 점검 미신청 의료기관을 대상으로 현장조사도 진행하기로 하지 않았나"고 전했다.

하지만 미래부는 심평원이 진행한 개인정보 자가 점검과는 별개라고 설명했다.

미래부 관계자는 "심평원이 진행한 개인정보 자가 점검의 세부적인 내용은 파악하지 못했지만 개인정보 보호에 중점을 둔 것"이라며 "하지만 정보보호 관리체계 인증은 기술적인 측면에서 정보보호 체계를 점검하는 것이기 때문에 엄연히 다르다"고 강조했다.