“500병상 이상 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인(이하 가이드라인)’의 성급한 배포·시행보다는 충분한 의료현장의 의견수렴과 검토과정을 거쳐 의료기관에 실효성 있는 실천적 지침서로서의 역할을 수행토록 해야 한다”

대한병원협회는 그동안 가이드라인과 관련해 정보보호협의체 회의 및 관련 공청회를 통해 문제점을 개선토록 요구했으나 보건복지부는 일부 용어 수정 정도로 완료해 배포·시행중이라며 이 같이 촉구하고 나섰다.

병협은 우선 의료기관의 개인정보보호의 중요성과 필요성에는 공감한다고 전제했다.
하지만 가이드라인의 제목을 ‘의료기관 개인정보보호 가이드라인’이라고 할 경우, 개인정보에 대한 대상과 범위에 오해가 발생할 소지가 있으므로 ‘의료기관 의료정보보호 가이드라인’으로 그 보호대상과 범위를 재정의 해야 한다고 주장했다.

또 가이드라인의 전반적 구성 보완이 필요하다고 했다.
가이드라인의 적용범위를 보면 개인정보를 처리함에 있어서 의료법, 정통망법, 공공정보법 등 관련 법률 적용을 받는 경우 해당 법률이 규정하는 바에 의한다고 명시하고 있어 의료기관은 현행 관련 법안들을 그대로 적용 받으면서 동 가이드라인의 추가적인 내용들을 따르도록 하고 있다.

특히, 현재 정통망법 시행규칙이 지난해 7월 개정돼 의료기관이 준용사업자로 지정됐으나 의료기관의 특수성을 고려하지 않은 동의·정정·파기 등 의료기관 특성상 적용이 곤란한 조항들로 인해 많은 의료기관들이 혼란과 의료분쟁의 사유가 발생되고 있는 상황에서 이 가이드라인을 통해 이런 의료현장의 혼란이 해결되길 기대했다는 것.

하지만 가이드라인에서는 해당 시급한 사안에 대한 내용은 전혀 다뤄 지지 않고, 관리적 부문에서 의료기관의 정보보호 관리조직 구성과 보호, 보안책임자 임명, 특정 외부수행기관에 안전진단을 받도록 명시하고 있으며 기술적, 물리적 보호조치에서는 세부적 내용까지 제시하고 있어 전반적인 가이드라인의 균형이 맞지 않아 가이드라인의 전체적인 보완이 필요하다고 강조했다.

또한 정부가 의료기관에 정보보호를 위해 외부안전 진단업체에 안전진단을 받도록 규율하는 내용까지 제시하는 것은 타당치 않다고 했다.

대형병원 몇 개를 제외한 병원들은 EMR조차 도입하지 못하고 있는 실정임은 물론 정보보호 인프라가 갖춰지지 않는 현 상황에서 외부 안전진단을 받도록 강제하는 것은 주기적인 외부진단 비용(컨설팅 등)으로 의료기관에 과다한 부담과 그 실효성을 기대하기 어려워 삭제돼야 한다고 목소리를 높였다.

병협은 열약한 의료기관들이 단계적으로 정보보호관리 및 기술, 물리적 보호조치를 강화해 나갈 수 있도록 인프라 구축에 필요한 유예기간을 주고 의료기관 자체적으로 감사 및 진단을 하도록 하는 등 초기부터 무리하게 의무와 책임만을 부과하지 않아야 한다고 덧붙였다.

아울러 △가이드라인에서 정의하는 개인정보의 대상 및 범위를 명확하게 해 의료기관에서 보호, 관리해야할 특수하고 민감한 개인의료정보의 보호조치를 위한 지침서 제시 △어려운 의료기관의 현실을 감안해 정부가 외부 안전진단 수행업체에 진단을 받도록 직접 규율, 의료기관의 부담만을 강요하지 말고 정부의 다양한 지원책을 제시 △의료현장의 의견을 충분히 수렴, 개선의견을 반영해 의료기관에 실효성 있는 지침서를 마련해 줄 것 등을 거듭 요청했다.