내년 3월 15일 상급종합병원에 개인정보보호 최고책임자인 ‘CPO(Chief Privacy Officer)’ 지정 의무화를 앞두고 지원 방안과 방향성 등이 추가 공개됐다.
핵심은 CPO 전문성 강화 토대로 정부포상 및 공헌 인정 체계를 마련해 병원들 참여 의지를 고취하겠다는 구상이다.
최근 개인정보보호위원회 강대현 자율보호정책과장은 ‘병원 의료정보화 발전 포럼’에서 CPO 제도개선 방안을 소개하고 향후 추진계획 등을 예고했다.
강대현 과장은 “CPO 지정 의무화를 상급종합병원에 우선 적용하고 안정적 정착이 확인되면 종합병원으로 확대를 요구할 계획”이라며 “개정안 계도 및 이행 기간이 핵심으로 2024년초 가이드라인을 만들면 병원협회와 논의 후 병원계에 배포하겠다”고 밝혔다.
앞서 세브란스병원, 가톨릭의료원, 고려대의료원 등 대형병원 17곳에서 환자 18만명의 환자정보가 제약사로 유출돼 올해 7월 행정처분이 내려진 바 있다.
정보위 조사 결과, 2018년 4월부터 2020년 1월까지 총 18만5271명의 환자정보가 유출된 것으로 드러났고 이에 정보위는 상급종합병원 내 전문 개인정보보호 책임자를 도입하는 방안을 추진케 됐다.
당시 정보위는 “의료데이터로서 사생활 침해 위험이 큰 민감정보를 대량으로 처리하는 종합병원의 개인정보 보호에 대한 인식이 전반적으로 제고될 것”이라며 “개인정보 보호 교육을 실시하고 지속적 관리가 중요하다"고 조언했다.
이번 개정안 핵심은 개인정보보호법 제31조(CPO의 지정)와 시행령 제32조(업무 및 지정요건)다.
먼저 CPO 전문성과 독립성 강화를 위해 지정요건과 자격요건이 재정비됐는데, 매출액과 개인정보 보유 규모를 고려해 일정 기준 이상을 충족한 개인정보처리자를 CPO로 지정토록 했다.
개인정보보호 경력을 3년 이상 필수 보유하거나 개인정보보호·정보보호·정보기술 경력을 총 6년 이상 보유한 CPO가 핵심이다.
더불어 인공지능(AI) 등 디지털 전환에 따라 ‘완전히 자동화된 시스템’으로 개인정보를 처리하는 특수한 영역도 정보 주체 거부 및 설명 등을 요구할 수 있는 권리가 신설됐다.
CPO 지원 강화 및 포상 강화
정보위도 무작정 CPO 지정 의무화로 책임 확대만 강조하는 단계를 넘어 각종 지원을 진행할 계획이다.
먼저 맞춤형 CPO 네트워크를 구성해 공공과 민간 등 분야별로 깊이 있는 논의와 관계 형성을 위한 그룹별 모임을 운영한다. 이를 토대로 위원장 포함 간부급 주재 간담회를 연간 4회 이상 개최한다는 계획이다.
정부 포상도 확대된다. 포상 연 1회 수여, CPO워크숍 개최, 올해 CPO 선정, CPO 활동 우수사례 행사 등 역할 및 공헌 인정 체계를 확립한다.
예비 CPO 대상 직무 수행에 필요한 교육 및 훈련과정을 세분화하고 대학 내 개인정보보호 교과 과정을 개설하는 등 전문인력 양성에 현직 CPO가 참여해 자문·개선하는 자리도 제공한다.
개인정보보호 전문성을 갖춘 ‘의료인 CPO’ 양성을 위해 추가 지원방안도 마련한다는 구상이다.
강 과장은 “개인정보보호 중요성이 날이 갈수록 커지고 있고 의료기관 정보 유출 사고를 원천적으로 차단하기 위한 목적 때문에라도 지정 의무화가 필요하다”고 말했다.
조재민 기자 (
