대한병원협회 주관으로 최근 분당서울대병원 헬스케어혁신파크 대강당에서 열린 ‘제14회 병원 의료정보화 발전 포럼’에서 김준태 보건복지부 서기관은 의료보안 정책 및 관련법 개정사항에 대해 발표했다.

 

의료기관 전자의무기록에 대한 침해사고 신고를 의무화하는 의료법 개정안은 지난 8월 27일 시행됐고, 시행령 및 시행규칙 개정은 추진 중인 상황이다.

 

개정된 의료법의 주요 내용은 의료법 제23조의3(진료정보 침해사고의 통지) 및 제23조의4(진료정보 침해사고의 예방 및 대응 등)에 신설되며, 2020년 2월 28일 적용될 예정이다.

 

제23조의3은 의료인 또는 의료기관 개설자가 전자의무기록에 대한 전자적 침해행위로 진료정보 침해사고 발생 시 보건복지부장관에게 즉시 그 사실을 통제하게 한다.

 

제23조의4에서는 보건복지부장관은 진료정보 침해사고 예방 및 대응을 위해 정보 수집·전파, 예보·경보, 침해사고 긴급조치, 침해행위 탐지·분석 등을 수행해야 한다고 명시했다.

 

진료정보 침해사고를 통지하지 않을 시에는 300만원 이하의 과태료가 부과된다.

 

시행령 개정 방향에 대해 김준태 서기관은 진료정보 침해사고의 유형 정의를 언급했다.

 

김 서기관은 “시행령을 통해 진료정보 침해사고는 전자의무기록을 처리하는 정보통신망 또는 정보시스템 공격으로 발생한 ▲진료정보의 유출·도난 ▲진료정보의 조작·훼손·파괴·은닉 ▲전자의무기록 처리하는 정보통신망 또는 정보시스템의 교란·마비 등으로 정의될 것”이라고 밝혔다.

 

침해사고 예방 및 대응 업무에 대한 내용도 추가된다.

 

김준태 서기관은 “전자의무기록을 처리하는 정보통신망 또는 정보시스템 취약점 점검, 침해사고 대응훈련, 정보 보호 교육 등이 포함될 예정”이라고 말했다.

 

시행규칙 개정에 포함될 내용은 전문기관 지정, 침해사고 통지 절차 및 방법 구체화, 침해사고 예방 및 대응 구체화에 대한 것이다.

 

김 서기관에 따르면 진료정보 침해사고 예방·대응 업무는 사회보장정보원을 전문기관으로 지정해 수행될 예정이다.

 

침해사고 발생 시 의료인 및 의료기관 개설자가 보건복지부장관에게 통지할 수 있는 절차·방법 또한 시행규칙에 규정될 계획이다.

 

다음으로는 침해사고 발생 시 긴급조치를 위한 ▲피해복구 ▲확산방지 ▲현장조사 등 의료인 및 의료기관 개설자의 조치가 필요한 사항이 포함된다.

 

침해행위 정보 탐지·분석을 위해 의료인 및 의료기관 개설자의 협조가 필요한 사항도 규정된다.

 

한편, 병원협회 주관으로 12일 진행된 제14회 병원 의료정보화 발전 포럼은 정부의 보건의료 정보화정책 방향 및 회원병원 의료 정보화에 필요한 정보 교류협력과 최근 정보보호 기술 동향 파악을 위해 마련된 자리였다.

 

또 개인정보보호 자율규제단체의 역할 수행, 자율점검표 작성 지원, 개인정보보호법 준수를 위한 자율규제단체 개인정보보호 인정 교육이었다.