보건복지부 공고 제 2015-646호
「의료법 시행규칙 (전자의무기록 관리·보존)」일부개정법률(안)에 대한 의견서
보건복지부 제2015-646호 의료법 시행규칙 일부개정법률(안)에 대하여 다음과 같이 의견을 개진합니다.
1. 의견
현재 의료법 제23조 전자의무기록에 관한 시행규칙 16조를 변경하여 전자의무기록을 의료기관 외부의 전문기관에 위탁하여 보관·관리할 수 있도록 하는 규칙 개정안에 반대하며 이 개정안은 폐기되어야 합니다.
2. 의견에 대한 사유
◌ 보건복지부는 과거 LG유플러스를 비롯한 기업들이 질의한 클라우드 방식의 의료정보 솔루션에 대해 “개인의 진료기록은 민감 정보인 건강정보로 외부 유출시 정보주체에게 회복할 수 없는 피해를 줄 수 있다”며 “의료인의 비밀누설을 금지한 의료법 제19조나 환자가 아닌 다른 사람에게 기록열람이나 사본발급 등 내용확인을 금지하는 의료법 제21조제1항의 취지 등을 고려해 볼 때, 의료인이나 의료기관 개설자가 진료기록을 외부 클라우드 시스템에 보존하는 것은 의료법에 저촉될 것으로 판단된다”는 유권 해석을 내놓은 바 있습니다. 이는 의무기록을 의료기관 외부에 보관할 시 의무기록의 유출 가능성이 높아진다는 점을 정부가 인정했던 것입니다.
◌ 그런데 정부는 법 개정없이 시행규칙 개정으로 전자의무기록을 외부기관에 보관·관리할 수 있도록 허용하려고 하고 있습니다. 전자의무기록을 외부기관에 위탁하여 보관·관리할 경우 데이터가 집적될 가능성이 높고, 데이터가 전송되고 집적되는 과정에서 이러한 민감한 개인 질병/건강 정보의 보안이 취약해 질 수 있습니다. 환자의 개인건강정보가 네트워크상으로 이동하게 될 가능성이 높은데, 네트워크상의 정보전송에 대한 규정과 규제 또한 전무한 상황입니다. 아무리 데이터를 암호화하고 보안 수준을 높인다고 하여도 정보의 수집, 전송, 집적 과정에서 해킹의 가능성은 무궁무진합니다.
보도자료에서 전자의무기록을 보관할 수 있는 전문기관의 요건으로 공인전자문서센터의 시설·장비 규정을 참조한다고 하였으나, 유수의 금융기관과 국가정보기관의 컴퓨터까지 해킹될 수 있는 시대에, 의료기관이나 데이터 보안업체의 보안 수준으로 의무기록의 유출 사고를 100% 막을 수 없습니다. 더욱이 SK, KT 등의 전자처방전 프로그램을 통한 건강정보유출 혐의에 대한 논란이 계속되는 상황에서 이 법안이 실행되면 이들의 혐의를 합법화하게 됩니다.
◌ 전자의무기록에 관한 시행규칙을 개정하기 이전에 개인건강정보의 보호를 위한 규제방안이 먼저 마련되어야 합니다. 의무기록의 유출을 막기 위한 방안으로 외주 전산업체에 대한 관리·감독 기반 뿐만이 아니라, 개인건강정보 보호를 위한 전반적인 규제와 국민적 합의가 선행되어야 합니다.
<끝>
2015.12.28
건강권실현을위한보건의료단체연합 (건강사회를위한약사회 건강사회를위한치과의사회 노동건강연대 인도주의실천의사협의회 참의료실현청년한의사회)