깜깜이 전자의무기록 관리, 입법 공백으로 방치

경기도 성남시 국군수도병원 응급실에서 의료진들이 분주하게 움직이고 있다. 2024.02.20[사진=사진공동취재단]

환자의 의료정보가 담긴 전자의무기록(EMR)의 단순 열람 행위에 대한 기록 관리가 법적으로 의무화되지 않은 '입법 공백'이 수년째 방치되고 있는 것으로 나타났다.

29일 보건복지부와 국회입법조사처에 따르면 현행 의료법은 의료인이나 의료기관 개설자가 전자의무기록을 추가로 기재하거나 수정할 경우에만 접속기록을 보관하도록 규정하고 있다.

하지만 환자 몰래 정보를 '보기만' 하는 단순 열람 행위에 대해선 로그기록 보관 의무를 명시하지 않고 있다. 

물론 복지부 고시인 '전자의무기록 관리·보존 기준'에는 열람, 입력, 수정, 삭제 등 모든 주요 행위에 대한 상세한 로그를 남기고 안전하게 보관하게 돼 있다.

그러나 상위법인 의료법에 명확한 근거가 없다 보니 현장에서 이 고시가 실효성 있게 작동하지 않고 있다.

의료 현장에 만연한 '아이디 공유' 관행은 문제 해결을 더욱 어렵게 만들고 있다.

바쁜 진료 환경을 탓으로 의사와 간호사 간에 아이디를 공유하거나, 다른 사람의 아이디로 대리 처방하는 일이 암묵적으로 벌어진다.

이런 상황에서는 로그기록이 남는다 해도 실제 행위자가 누구인지 특정하기 불가능하다.

이런 문제를 해결하기 위해 이중 인증이나 생체 인증 같은 기술적 보완책 도입과 함께 의료기관 내부에서만 사건을 처리하는 '셀프 감독' 체계를 개선해야 한다는 지적이다. 

국정감사나 감사원 등 외부 기관의 감사를 연계하고, 보건복지부가 상시로 관리·감독할 수 있는 제도적 장치가 시급하다는 목소리가 나온다.