개인정보위, EMR 업체에 보안기능 강화 권고…복지부와 협력

관련 부처·기관과 EMR 인증기준 등 강화도

고학수 개인정보보호위원회 위원장이 지난 10일 서울 종로구 정부서울청사에서 열린 제1회 전체회의에서 개회를 알리며 의사봉을 두드리고 있다. [사진=개인정보위]

개인정보보호위원회가 개인정보 보호 조치를 미흡하게 한 국내 전자의무기록(EMR) 시스템 제공사에 시정 조치를 권고했다.

개인정보위는 전날 열린 올해 첫 전체회의에서 의료기관의 개인정보 보호조치 강화를 위한 개선사항을 의결했다고 11일 밝혔다. 이번 조사는 유비케어·비트컴퓨터·이지케어텍·포인트임플란트·이지스헬스케어 등 업계 상위 5개 사업자를 대상으로 진행됐다.

의료기관의 환자 개인정보 유출 사건 후속으로 보건복지부의 협조를 받아 작년 6~9월 조사한 결과, 해당 업체의 일부 EMR 시스템이 환자 개인정보 보호에 필요한 기능을 부분적으로 미흡하게 제공했다.

이에 개인정보위는 EMR 시스템에서 △개인정보 취급자 계정에 대한 접근권한 관련 기록 △비밀번호 제한 해제 시 확인 △외부에서 접속 시 안전한 접속·인증수단 △안전한 암호화 알고리즘 △취급자 접속기록 중 처리한 정보주체 정보 기록 △개인정보 다운로드 사유 입력·확인 등 부문이 개선돼야 한다고 강조했다.

앞으로 개인정보위는 보건복지부와 긴밀한 협의를 거쳐 의료기관이 사용하는 EMR 시스템의 전반적인 개인정보 보호 수준을 향상하기 위해 'EMR 인증기준'과 '청구 소프트웨어(SW) 적정성 검사기준'을 강화할 예정이다.

복지부·한국보건의료정보원·건강보험심사평가원은 EMR 인증기준과 청구SW 적정성 검사기준을 구체화하는 작업을 진행한다. 권한 없는 자의 시스템 접근을 막고, 사고 발생 시 책임추적성을 강화하는 것이 핵심 내용이다. 개인정보위는 의료기관을 상대로 관련 구체적인 방안을 마련해 안내한다.

개인정보위 관계자는 "이번 개선 방안 마련을 통해 EMR 시스템과 청구SW를 사용 중인 전국 3만 7000여개 의료기관의 환자 개인정보 보호 수준이 향상될 것"이라며 "특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것으로 기대된다"고 말했다.