분당서울대학교병원 의료정책연구소(소장 이경권)는 29일 오후 4시 병원 대강당에서 ‘개인정보보호법 시행에 따른 의료기관의 대책’을 주제로 워크숍을 개최했다.
김상광 행정안전부 개인정보보호과 서기관은 ‘의료기관과 개인정보보호법’을 주제로 한 강연을 통해
컴퓨터와 인터넷 등의 발달로 압축적인 정보화 발전이 이루어진 반면, 해킹, 개인정보 유츨 등 정보화 사회의 역기능이 발생하고, 기업도 홍보 마케팅을 위해 고객 행태정보, 위치정보 등 개인정보의 수집 처리가 증가하고 있지만 낮은 보호인식으로 유출사고가 지속적으로 증가하고 있어 개인정보보호법이 제정됐다고 배경을 설명했다.
이 법안은 정보주체의 동의를 얻은 경우 개인정보 수집∙이용을 폭넓게 인정하되, 목적 이외에 이용하거나 제공했을 때 기준을 엄격하게 규정하고 있고 있기 때문에 진료를 목적으로 수집한 개인정보를 건강정보, 세미나 등을 홍보할 목적으로 활용하고자 한다면 최초 수집시에 홍보를 목적으로 이용할 수 있다는 것을 명시하여 동의를 받아야 한다고 코멘트했다.
또한, 원칙적으로 환자의 개인정보는 처리목적이 달성되거나 보존 기간이 경과하면 지체없이 파기해야 하므로, 치료가 끝난 환자의 의료정보를 연구 목적 또는 향후 진료를 위해 영구적으로 보관하는 것은 법에 어긋난다며 필요할 경우 환자의 동의를 받아 보존기간을 연장하는 것은 가능하다고 말했다.
의료정보의 암화화 등 안전성 확보를 위해서는 내부관리계획을 수립하고, 전자서명 검증을 통한 접근권한 관리, 방화벽 등 접근통제시스템 설치∙운영, 주민번호 등 고유식별정보의 암호화, 접근기록(로그기록) 보관, 백신 프로그램 설치, 의무기록 보관 장소에 대한 물리적 접근 방지 등을 준수해야 한다고 밝혔다.
이경권 분당서울대학교병원 의료정책연구소장은 ‘개인정보보호법 시행에 따른 의료기관의 대책’을 주제로 한 강연에서
개인정보보호법을 준수하기 위해서는 의료기관 내에 환자정보보호위원회 운영이 필수적이라고 설명하고연구목적으로 개인정보를 이용할 경우에는 익명화된 경우에는 환자동의를 필요로 하지 않지만, 익명화하면 안되는 경우에는 반드시 동의가 필요하고, 이는 환자정보보호위원회에서 심의해야 한다고 조언했다.
수사기관으로부터 정보제공 요청을 받은 경우에는 범죄사실 및 영장청구 이유를 통해 정보제공을 요구하는 목적 확인이 반드시 필요하며, 공문형식 또는 협조전 형태의 정보요구에는 응할 수 없고, 환자의 동의서나 위임장이 있는 경우, 환자가 이미 진료기록을 수사기관을 제출한 경우에는 가능하다고 밝혔다.
의료기관은 공간적인 측면에서 개인정보보호가 필요한 경우가 많은데 진료접수, 수납창구 및 원내약국 등에서는 번호표를 발급하여 번호를 통해 호명하고, 전광판에 이름을 표시할 경우에는 일부는 블라인드 처리를 해야 하며, 진료실은 원칙적으로 의료인을 제외한 제 3차 출입을 제한하고, 환자 보호자의 경우에는 환자의 동의하에 동석이 가능하다고 전했다.
특히 이날 강의에서는 분당서울대학교병원 의료정보센터장이 개인정보보호법을 대비하여 분당서울대학교병원에서 시행 중인 보안 프로그램들을 소개하여 참석자들의 큰 관심을 받았다.
분당서울대학교병원 정진엽 원장은 인사말을 통해 “분당서울대학교병원은 의료정보화 선도병원으로 일찍부터 환자정보 보안을 위해 만전을 기해와 우리의 노하우가 의료계에 선례가 될 수 있을 것으로 생각한다.”며 “오늘 워크숍이 개인정보보호법 시행 이후 현장에서 혼선을 줄이고, 의료인들 스스로 정보보호에 대한 인식을 높이는데 도움이 됐으면 하는 바램”이라고 밝혔다.