전국에서 약 3만7000여 의료기관에서 사용하고 있는 전자의무기록(EMR) 시스템의 개인정보 보호 기능에 취약점이 있는 것으로 드러났다.

이에 따라 개인정보보호위원회에서는 시스템을 제공한 업체에게 보안기능 개선을 권고하며 동시에 EMR 시스템 인증기준도 강화하기로 하였다.

개인정보보호위원회(위원장 고학수/이하 개인정보위)는 지난 10일 오후 전체회의를 열고 의료기관 개인정보 보호조치 강화를 위한 개선 사항을 의결했다.

개인정보위는 의료기관의 환자 개인정보 유출 사건 후속으로 보건복지부 협조를 받아 지난해 6~9월 EMR시스템을 제공하는 업체들을 조사한 결과, 일부 EMR 시스템이 환자 개인정보 보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인했다.

이번 조사 대상은 유비케어, 비트컴퓨터, 이지케어텍, 포인트임플란트, 이지스헬스케어 등 5개 상위 업체 소프트웨어 7개였다.

개인정보위는 이들 소프트웨어에서 ▲개인정보 취급자 계정에 대한 접근 권한 관련 기록 ▲비밀번호 제한 해제 시 확인 ▲외부에서 접속 시 안전한 접속·인증수단 ▲안전한 암호화 알고리즘 ▲취급자 접속기록 중 처리한 정보주체 정보 기록 ▲개인정보 다운로드 사유 입력·확인 ▲삭제 기능 제공 등에 개선이 필요하다고 권고했다.

나아가 개인정보위는 EMR 시스템의 전반적인 개인정보보호 수준 향상을 위해 보건복지부, 한국보건의료정보원, 건강보험심사평가원과 ‘EMR 인증기준’ 및 ‘청구소프트웨어 적정성 검사기준’을 강화하기로 했다.

세부적으로 권한 없는 사람의 시스템 접근을 막고, 사고 발생 시 책임 추적성을 강화하는 것을 골자로 접근 권한 변경내역 기록항목 보완 및 최대 접속시간 상한 기준 마련, 안전한 암호화 알고리즘, 접속 기록에 처리한 정보주체 정보 포함, 개인정보 다운로드 사유 입력·확인 기능 등의 내용이 포함된다.

개인정보위는 또 의료기관의 환자 개인정보 관리책임을 강화하기 위해 의료기관과 EMR 제공 회사의 위·수탁 계약 명확화를 추진할 방침이다. 또한 의료기관의 개인정보 책임 명확화를 위한 교육, 의료기관에서 인증받은 버전의 EMR 제품 사용 유도 등 구체적인 방안을 마련해서 안내할 예정이다.

개인정보위는 “이번 개선방안 마련을 통해 EMR 시스템 및 청구소프트웨어를 사용 중인 대다수 의료기관 환자 개인정보 보호 수준이 향상되고, 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것”이라고 밝혔다.