건강보험심사평가원(원장 손명세)은 4월 이후로 예정된 행정자치부의 ‘요양기관 개인정보보호 관리실태 현장점검’을 앞두고 요양기관이 개인정보보호 실태를 자율적으로 점검할 수 있도록 ‘개인정보보호 자율점검 서비스’를 제공하고 있다. 지난해 말 자율점검 신청을 거쳐 현재 신청기관의 자가점검이 진행되고 있으며, 조만간 심평원은 자가점검을 완료한 요양기관을 대상으로 이행점검 서비스를 제공할 예정이다. 심평원 정보통신실 정보화지원부 박근석 부장을 만나 요양기관의 개인정보보호 이슈에 대해 이야기를 나눴다.
조성우 기자: 부장님, 안녕하세요.
박근석 부장: 네, 안녕하세요. 오랜만이네요.
조성우 기자: 요양기관의 개인정보 자가점검 마감기한이 이달 말로 다가왔는데요. 현재 상황은 어떠한가요?
박근석 부장: 마감기한을 기존 12월 말에서 1개월 연장한 이후 자가점검 완료 기관이 많이 늘고 있어요. 지난 19일 기준 7만 5,000개 신청기관 중 4만 5,313개 기관이 자가점검을 완료했어요.
조성우 기자: 요양기관의 개인정보보호 자가점검은 이달 말에 완료되는 것인가요?
박근석 부장: 완료 또는 마감의 개념은 아니에요. 자가점검은 요양기관 스스로 개인정보보호 수준을 점검하는 것으로, 행자부의 현장점검 이전인 4월 말까지 자율적으로 점검을 진행하면 되요.
심평원이 요양기관의 자가점검 완료 기간을 1월 말로 잡은 것은 자가점검을 진행한 요양기관에 피드백을 제공하고, 요양기관이 부족한 부분을 보완할 수 있는 시간을 제공하기 위한 것이에요.
조성우 기자: 심평원이 이행점검을 제공할 수 있는 시간이 필요하다는 것이죠?
박근석 부장: 네, 맞아요. 이행점검은 자가점검을 완료한 기관을 대상으로 진행되거든요.
조성우 기자: 이행점검은 어떠한 방식으로 제공되나요?
박근석 부장: 지난해 전국적으로 7만 5,000개 요양기관이 심평원에 자가점검을 신청했어요. 심평원 담당부서의 인력 상황 등을 고려할 때, 4월 말까지 모든 요양기관에 일대일 피드백을 제공하기는 물리적으로 어려운 상황이에요.
요양기관 종별, 진료형태별, 근무 의료인 수, 홈페이지 유무 등의 카테고리를 만들어 피드백을 주는 방향을 설정해 심평원의 ‘자율점검 지원 시스템(SCSS, Self Check Support System)’을 통해 시스템적으로 지원 가능한 피드백을 제공할 생각이에요.
조성우 기자: 자가점검과 관련해 요양기관의 문의전화가 많은 것으로 알고 있는데요. 요즘도 전화가 많이 걸려오나요?
박근석 부장: 네, 지금도 쉴새 없이 전화가 걸려오고 있어요. 요양기관 입장에서는 개인정보보호가 전문분야가 아니기 때문에 관련 용어 자체도 많이 어려워하고 부담을 느끼고 있는 것 같아요.
조성우 기자: 아직 자가점검을 완료하지 않은 요양기관에 조언 한마디 해주세요.
박근석 부장: 네, 개인정보보호 자가점검은 완전한 개인정보 보호체계를 갖추라는 것이 아니에요. 현 시점에서 기관의 개인정보보호 수준이 어느 위치인지를 보겠다는 것이에요.
현재 상황대로 기관에 해당되는 내용을 항목별 4가지 유형 중 하나만 선택해 체크하면 자가점검이 되는 것이에요.
현재 요양기관들이 힘들어 하는 부분은 올해 4월까지 진행될 예정인 ‘이행점검(자가점검에서 미비한 부분을 보완하고 이행하는 것)’까지 한 번에 다 하려고 하니까 그런 것이에요.
조성우 기자: 자가점검을 통해 개인정보보호 관리체계가 나쁘게 나온다고 해서 패널티가 있는 것은 아니죠?
박근석 부장: 네 맞아요. 행정기관인 행정자치부에서 현장에 나가면 패널티가 부과되니 그러기 전에 유비무환의 성격으로 요양기관에 자가점검 기회를 주고, 스스로 해결하지 못하는 부분은 심평원과 의약5단체 정보화지원협의회가 이행점검을 통해 도움을 주려고 이 사업을 진행하는 것이에요.
그런데 일부 요양기관들은 아직도 개인정보보호와 관련된 심평원의 행보 자체를 단속의 개념으로 보고 있어요. 그래서 어려운 것 같아요.
1월 말까지 진행되는 자가점검은 요양기관이 어느 정도의 개인정보보호 수준을 갖추고 있는지 항목 체크를 통해 확인하는 것이기 때문에 빠르게 체크해 제출하면 완료되는 것이에요.
고민할 것 없이 있는 그대로 작성해 제출하면 심평원에서 이행점검을 통해 부족한 부분에 대해 도움을 제공하는 개념이죠.
자가점거 기한을 1월 말까지로 잡은 것도 심평원이 피드백을 제공하고 요양기관이 보완할 수 있는 시간이 필요하기 때문이에요.
조성우 기자: 개인정보보호와 관련해 심평원 제시한 가이드라인을 따라온 요양기관들은 행자부의 현장점검에서 제외되나요?
박근석 부장: 네, 맞아요. 개인정보보보호 자율점검 신청, 자가점검, 이행점검 등 일련의 과정을 모두 완료한 요양기관은 4월 이후로 예정된 행자부의 현장점검에서 제외될 예정이에요.
조성우 기자: 마지막 질문이에요. 개인정보보호와 관련해 올해 심평원 정보화지원부의 업무 방향은요?
박근석 부장: 요양기관이 개인정보보호법에 위반되지 않도록 도움을 주는 것이 가장 중요하다고 생각해요. 이와 관련해, 요양기관들이 힘들어하는 부분을 보다 쉽게 제공하기 위해 고민하고 있어요.
올해는 요양기관이 ‘자율점검 지원 시스템(SCSS, Self Check Support System)’을 보다 쉽게 사용할 수 있도록 시스템과 용어를 정비하고 매뉴얼도 요양기관과 심평원이 소통할 수 있도록 개선할 계획이에요.
또, 행자부가 제공하는 개인정보보호 가이드라인 해설서 등을 보건의료계에 맞게 정비해 요양기관이 보다 쉽게 이해하고 개인정보보호 체계를 갖출 수 있도록 관련 사업을 진행할 예정이에요.
조성우 기자: 네, 오늘 인터뷰 감사합니다.
박근석 부장: 네, 감사합니다.