의료기관 전자의무기록 시스템 개인정보 보호 '구멍'
개인정보委, 3만7000여 병·의원 제공 업체 분석…"EMR 시스템 인증기준 강화"
2024.01.16 06:31 댓글쓰기




고학수 개인정보보호위원회 위원장이 지난 10일 오후 서울 종로구 정부서울청사에서 열린 2024년 첫 전체 회의에서 안건을 설명하고 있다. 사진 연합뉴스


전국 3만7000여 의료기관에서 사용하는 전자의무기록(EMR) 시스템의 개인정보 보호 기능이 안전하지 않은 것으로 드러났다.


이에 개인정보보호위원회는 시스템 제공 업체에 보안기능 개선을 권고하고 더불어 EMR 시스템 인증기준도 강화키로 했다.


개인정보보호위원회(위원장 고학수/이하 개인정보위)는 지난 10일 오후  전체회의를 열고 의료기관 개인정보 보호조치 강화를 위한 개선 사항을 의결했다.


개인정보위는 의료기관의 환자 개인정보 유출 사건 후속으로 보건복지부 협조를 받아 지난해 6~9월 EMR시스템을 제공하는 업체들을 조사한 결과, 일부 EMR 시스템이 환자 개인정보 보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인했다.


이번 조사 대상은 유비케어, 비트컴퓨터, 이지케어텍, 포인트임플란트, 이지스헬스케어 등 5개 상위 업체 소프트웨어 7개였다.


개인정보위는 이들 소프트웨어에서 ▲개인정보 취급자 계정에 대한 접근 권한 관련 기록 ▲비밀번호 제한 해제 시 확인 ▲외부에서 접속 시 안전한 접속·인증수단 ▲안전한 암호화 알고리즘 ▲취급자 접속기록 중 처리한 정보주체 정보 기록 ▲개인정보 다운로드 사유 입력·확인 ▲삭제 기능 제공 등에 개선이 필요하다고 권고했다.

 

나아가 개인정보위는 EMR 시스템의 전반적인 개인정보보호 수준 향상을 위해 보건복지부, 한국보건의료정보원, 건강보험심사평가원과 ‘EMR 인증기준’ 및 ‘청구소프트웨어 적정성 검사기준’을 강화하기로 했다.


세부적으로 권한 없는 사람의 시스템 접근을 막고, 사고 발생 시 책임 추적성을 강화하는 것을 골자로 접근 권한 변경내역 기록항목 보완 및 최대 접속시간 상한 기준 마련, 안전한 암호화 알고리즘, 접속 기록에 처리한 정보주체 정보 포함, 개인정보 다운로드 사유 입력·확인 기능 등의 내용이 포함된다.


개인정보위는 또 의료기관의 환자 개인정보 관리책임을 강화하기 위해 의료기관과 EMR 제공 회사의 위·수탁 계약 명확화를 추진할 방침이다.


또한 의료기관의 개인정보 책임 명확화를 위한 교육, 의료기관에서 인증받은 버전의 EMR 제품 사용 유도 등 구체적인 방안을 마련해서 안내할 예정이다.


개인정보위는 “이번 개선방안 마련을 통해 EMR 시스템 및 청구소프트웨어를 사용 중인 대다수 의료기관 환자 개인정보 보호 수준이 향상되고, 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것”이라고 밝혔다.



댓글 0
답변 글쓰기
0 / 2000
메디라이프 + More
e-談