흩어진 진료정보 한 곳서 열람?…해커 공격 표적

흩어진 진료정보 한 곳서 열람?…해커 공격 표적

  • 이정환 기자 leejh91@doctorsnews.co.kr
  • 승인 2023.02.14 06:00
  • 댓글 0
  • 페이스북
  • 트위터
  • 네이버밴드
  • 카카오톡
이 기사를 공유합니다

보건복지부, 본인진료기록 열람지원시스템 구축·운영...의료법 시행령·시행규칙 입법예고
"진료기록 집중 시 유출 우려"...휴·폐업 했는데 의무기록 장비·시설 요구 "과도한 규제"

[사진=pixabay] ⓒ의협신문
[사진=pixabay] ⓒ의협신문

정부가 의료기관과 공공기관 등에서 관리하고 있는 진료기록(개인건강정보)을 한 곳에 모아 환자가 한 번에 손쉽게 받아 활용할 수 있도록 하는 법령 개정을 추진하자 의료계의 반발이 거세다.

보건복지부는 지난해 12월 21일 본인진료기록 열람지원시스템 구축 및 운영 근거를 마련하는 내용을 담은 의료법 시행령 및 시행규칙 일부개정령안을 입법예고했다.

보건복지부는 "국정과제인 '건강정보 고속도로(마이헬스웨이 시스템)' 구축 추진에 따라 국민의 진료기록 열람 등을 지원하기 위한 본인진료기록 열람지원시스템 구축·운영에 필요한 근거를 마련하고, 의료법 개정(법률 제17069호, 2020. 3. 4. 공포, 2023. 3. 5. 시행)에 따른 진료기록보관시스템의 구축·운영 업무 위탁 규정을 구체화하며, 민감정보 및 고유식별정보 처리를 위한 법적 근거를 마련하는 한편, 그간 제도 운영상 나타난 일부 미비점을 개선하려는 것"이라고 입법예고 제안이유를 밝혔다.

의료법 시행령 개정안 주요 내용은 ▲본인진료기록 열람지원시스템 구축·운영 근거 등 마련(안 제10조의12) ▲진료기록보관시스템 구축(안 제17조의2) ▲진료기록보관시스템의 구축·운영 업무 민간위탁(안 제42조) ▲민감정보 및 고유식별정보 처리에 관한 규정 정비(안 제42조의2) ▲진료정보 침해사고를 통지하지 않은 경우의 과태료 개별기준 마련(안 별표 2) 등이다.

의료법 시행규칙 개정안은 △의료기관 폐업·휴업의 신고(안 제30조 및 별지 제19호) △진료기록부등의 직접 보관 시 기간, 방법 등(안 제30조의4) △진료기록부등의 이관 방법, 절차 등(안 제30조의5) △진료기록보관시스템을 이용해 진료기록부등을 직접 보관 시 제출 서류 간소화(안 제30조의6) △진료기록부등의 관리·보존에 필요한 시설과 장비 등(안 제30조의7) △진료기록보관시스템의 구축범위 및 운영 절차 등(안 제30조의8)을 담고 있다.

보건복지부는 본인진료기록 열람지원시스템 구축·운영과 관련해 "정부는 국정과제로 의료기관, 공공기관 등에 흩어진 개인건강정보를 정보주체 본인이 한 번에 손쉽게 받아서 활용할 수 있도록 지원하는 국가적 인프라로서 '건강정보 고속도로(마이헬스웨이 시스템)'를 구축 중에 있으며, 건강정보 고속도로 구축 후 타 시스템과의 연계 등 원활한 업무 활용을 위해 시스템 구축 및 운용에 필요한 법적 근거를 마련하고자 한다"고 설명했다.

또 진료기록보관시스템 구축과 과태료 부과와 관련해서는 "진료기록보관시스템의 구축·운영 업무를 공공기관 또는 전문기관에 위탁할 수 있는 근거를 마련하고, 진료정보 침해사고를 통지하지 않은 의료기관에 과태료 처분 시 통일된 기준에 따라 처분하도록 하고, 휴·폐업한 의료기관에서 진료기록부 등의 보관 관련 법률을 위반한 자에 대해서도 과태료 처분을 통일된 기준에 따르도록 했다"고 덧붙였다.

대한의사협회를 비롯해 서울·부산 등 시도의사회, 대한내과의사회·(직선제)대한산부인과의사회·대한외과의사회 등은 "본인진료기록 열람지원시스템을 구축하면 민간 플랫폼 사업자들의 영리적 목적으로 무분별하게 활용될 소지가 다분하고, 민감한 진료정보 유출 가능성이 높다"며  강력 반대 입장을 밝혔다.

의료계는 휴·폐업 의료기관의 진료기록은 원칙적으로 보관의무자인 보건소가 보관해야 하는데, 마치 의료기관이 진료기록 보관 의무를 해태하고 있는 것처럼 취급하면서 과태로 처분 기준을 상세하게 규정한 것도 문제라고 지적했다.

의협은 "정부는 의료법 제21조제1항에 따라 본인진료기록 열람지원시스템을 구축·운영할 수 있다고 밝히고 있지만 현행 의료법 제21조는 시스템을 전자적 방법으로 구축할 수 있도록 하는 위임 규정이 마련돼 있지 않다"면서 "상위법에서 위임받지 않은 사항을 하위 법령에서 신설하는 것은 위임입법의 한계를 넘어선다"고 지적했다.

보건복지부는 마이 헬스웨이 플랫폼을 '개인 주도로, 자신의 건강정보를 한 곳에 모아서, 원하는 대상에게(동의 기반) 데이터를 제공하고, 직접 활용할 수 있도록 지원하는 시스템'으로 정의했다.

특히 정부가 입법예고한 의료법 시행령 개정안에는 진료기록 보관시스템 구축·운영 업무를 민간에 위탁하고, 위탁기관에 민감정보와 고유식별정보의 처리 권한까지 부여할 수 있는 내용도 담고 있다.

의협은 "의료법 시행령 개정안은 국민의 의료정보를 전자적 형태로 민간보험사 등에 제공할 수 있도록 하려는 것"이라면서 "민간 플랫폼 사업자들의 영리적 목적으로 무분별하게 활용될 소지가 다분하고, 중앙 집중 및 집적화의 단점인 전산 장애 발생 시 진료기록 조회 일시 중지와 진료기록 집적화에 따른 정보 보안 문제로 인한 폐해가 속출할 것"이라고 우려했다.

휴·폐업 의료기관이 진료기록 보관 의무를 지키지 않으면 과태료를 부과토록 한 점도 비판했다. 의협은 "휴·폐업 의료기관의 진료기록은 의료정보 보관의무자인 보건소에 이관하고, 소요 비용도 부담토록 하는 것이 타당하다"고 지적했다.

의협은 "원칙적으로 휴·폐업 의료기관의 진료기록은 보건소가 보관해야 하지만 보관장소를 확보하는 데 물리적인 한계가 있다는 이유로 의무를 해태해 왔다. 그동안 휴·폐업 의료기관 개설자가 행정적·경제적인 비용을 부담하면서 보관해 왔음에도 시행령 개정령안은 마치 의료기관이 진료기록 보관 의무를 해태하는 것으로 취급해 각종 의무를 부과하고, 과태료까지 부과하고 있다"면서 "의료기관 개설자에게 책임을 전가하는 것"이라고 꼬집었다.

진료정보 침해사고 통지 시점에 관해서도 문제점을 짚었다.

의협은 "진료정보 침해사고를 '알게 된 때'가 아닌 '발생한 때'로 규정하고 있다"면서 "의료인 또는 의료기관 개설자가 '발생한 때'를 즉시 인식하는 것이 불가능하다"고 지적했다.

아울러 의료법 시행규칙 개정안은 의료기관을 휴·폐업한 개설자에게 전자의무기록의 생성·저장과 전자서명을 검증할 수 있는 장비, 전자서명이 있은 후 전자의무기록의 변경 여부 확인 등 전자의무기록의 이력관리를 위하여 필요한 장비, 전자의무기록의 백업저장장비, 네트워크 보안에 관한 시설과 장비, 전자의무기록시스템 보안에 관한 시설과 장비, 전자의무기록 보존장소에 대한 물리적 접근 방지 시설과 장비(출입통제구역 등 통제 시설, 잠금장치)를 갖추도록 하고 있다.

의료계는 "의료기관을 휴·폐업할 정도로 어려운 상황임에도 전자의무기록 저장과 관리 등을 할 수 있는 장비와 시설을 갖추도록 한 것은 사회통념상 상식적으로 부합하지 않는 과도한 규제"라는 입장이다. 

시도의사회, 개원의사회 등도 의료법 시행령 및 시행규칙 개정안을 반대하고 나섰다.

서울시의사회는 "보건소가 진료기록부 등의 보관을 강제하도록 개정하는 것이 더 필요하고, 민감정보가 모이면 반드시 해커들의 공격대상이 되고 이를 막을 수도 없는 상황"이라며 "환자의 편의성보다 정보 노출의 피해 규모가 훨씬 클 것"으로 예상했다.

부산시의사회는 "과태료의 부과기준에 거짓 보고 시 과태료 규정을 신설하는 등의 추가적인 처분을 신설하고, 진료기록부 등을 진료기록보관시스템으로 이관하기 위한 구체적인 사항을 추후 보건복지부 고시로 위임하는 것은 폐업하는 의료인에 대한 지나친 규제"라며 삭제를 요구했다.

대한내과의사회는 "이번 시행령 및 시행규칙 개정안은 이윤을 우선으로 하는 산업자본과 금융자본에 국민의 건강과 기본권을 팔아넘기려는 불순한 의도로밖에 보이지 않는다"며 "법안이 시행됐을 경우 좌시하지 않겠다"고 경고했다.

(직)산부인과의사회는 "건강정보 고속도로라는 인프라 구축을 위해 손쉽게 할 수 있도록 공공기관 또는 전문기관에 위탁할 수 있는 근거를 마련하는 것은 상당히 위험한 발상"이라며 "유수의 포털사이트가 개인정보 유출 사고를 경험하는 등 해커 및 정보에 접근하고 싶은 영리기관의 표적이 될 수 있다"고 우려했다.

대한외과의사회는 "보건소와 같은 행정기관에서 폐업 의료기관에서 제출하는 의무기록을 보관하는 것을 의무화하는 법안이 선제적으로 필요하다"면서 "국가 또는 관할 지자체에서 1차 의료기관이 무상으로 이용할 수 있는 진료기록보관시스템을 마련 후 이를 이용할 수 있도록 해야 한다"고 의견을 제시했다.

개의 댓글
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400
내 댓글 모음
* 기사속 광고는 빅데이터 분석 결과로 본지 편집방침과는 무관합니다.