[법률칼럼] 전자의무기록 작성 시 주의사항

등록 2022.04.22 11:39:23

URL복사

안녕하세요. 법무법인 세종의 하태헌, 이정은 변호사입니다.

오늘은 ‘전자의무기록’에 대해 말씀드리고자 합니다. 현재 적지 않은 수의 병·의원에서 전자의무기록시스템을 도입하여 활발히 사용중인 것으로 알고 있습니다. 그리고 현재 사용하고 있지 않더라도 전자의무기록시스템 도입 여부를 고민하며 이에 대한 관심이 높은 것으로 알고 있습니다.

의료인으로 하여금 진료기록을 전자문서로 작성 및 보관할 수 있도록 한 전자의무기록 관련 조항은 의료정보화를 촉진하기 위하여 2002. 3. 30. 「의료법」 개정으로 처음 도입되었고, 최근 개인의료정보보호에 대한 관심이 높아지면서, 관련 법령도 재정비되고 있습니다. 이에 본 칼럼을 통해 전자의무기록시스템이 무엇인지, 그리고 전자의무기록시스템 도입 시 어떤 점을 주의해야 하는지 등에 대해 소개하고자 합니다.

■ 관계법령
「의료법」은 다음과 같이 전자의무기록에 대한 규정을 두고 있습니다.

의료법

제23조(전자의무기록)
① 의료인이나 의료기관 개설자는 제22조의 규정에도 불구하고 진료기록부등을 「전자서명법」에 따른 전자서명이 기재된 전자문서(이하 ‘전자의무기록’이라 한다)로 작성ㆍ보관할 수 있다.
② 의료인이나 의료기관 개설자는 보건복지부령으로 정하는 바에 따라 전자의무기록을 안전하게 관리ㆍ보존하는 데에 필요한 시설과 장비를 갖추어야 한다.
③ 누구든지 정당한 사유 없이 전자의무기록에 저장된 개인정보를 탐지하거나 누출ㆍ변조 또는 훼손하여서는 아니 된다.
④ 의료인이나 의료기관 개설자는 전자의무기록에 추가기재ㆍ수정을 한 경우 보건복지부령으로 정하는 바에 따라 접속기록을 별도로 보관하여야 한다.

제23조의2(전자의무기록의 표준화 등)
① 보건복지부장관은 전자의무기록이 효율적이고 통일적으로 관리ㆍ활용될 수 있도록 기록의 작성, 관리 및 보존에 필요한 전산정보처리시스템(전자의무기록시스템), 시설, 장비 및 기록 서식 등에 관한 표준을 정하여 고시하고 전자의무기록시스템을 제조ㆍ공급하는 자, 의료인 또는 의료기관 개설자에게 그 준수를 권고할 수 있다.
② 보건복지부장관은 전자의무기록시스템이 제1항에 따른 표준, 전자의무기록시스템 간 호환성, 정보 보안 등 대통령령으로 정하는 인증 기준에 적합한 경우에는 인증을 할 수 있다.
③ 제2항에 따라 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시할 수 있다. 이 경우 인증을 받지 아니한 자는 인증의 표시 또는 이와 유사한 표시를 하여서는 아니 된다.
④ 보건복지부장관은 다음 각 호의 어느 하나에 해당하는 경우에는 제2항에 따른 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 인증을 취소하여야 한다.
1. 거짓이나 그 밖의 부정한 방법으로 인증을 받은 경우
2. 제2항에 따른 인증 기준에 미달하게 된 경우

제87조의2(벌칙)
② 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역이나 5,000만원 이하의 벌금에 처한다.
2. 제23조제3항을 위반한 자

제90조(벌칙) 제23조제4항을 위반한 자는 500만원 이하의 벌금에 처한다.

또한 의료기관이 진료기록을 전자의무기록으로 대체하여 작성하고 보관함으로써, 이를 의료법상의 ‘진료기록작성 및 보관의무’를 이행한 것으로 보장받기 위해서는 「의료법」 및 「의료법 시행규칙」에서 요구하는 시설과 장비를 갖추어야 합니다.

의료법 시행규칙

제16조(전자의무기록의 관리ㆍ보존에 필요한 시설과 장비 등)
① 의료인이나 의료기관의 개설자는 법 제23조제2항에 따라 전자의무기록(電子醫務記錄)을 안전하게 관리ㆍ보존하기 위하여 다음 각 호의 시설과 장비를 갖추어야 한다. <개정 2020. 2. 28.>
1. 전자의무기록의 생성ㆍ저장과 전자서명을 검증할 수 있는 장비
2. 전자서명이 있은 후 전자의무기록의 변경 여부 확인 등 전자의무기록의 이력관리를 위하여 필요한 장비
3. 전자의무기록의 백업저장장비
4. 네트워크 보안에 관한 시설과 장비(제1호부터 제3호까지에 따른 장비가 유무선 인터넷과 연결된 경우에 한정한다)

5. 법 제23조의2제1항에 따른 전자의무기록시스템(이하 ‘전자의무기록시스템’이라 한다) 보안에 관한 시설과 장비
6. 전자의무기록 보존장소에 대한 다음 각 목의 어느 하나에 해당하는 물리적 접근 방지 시설과 장비
   가. 출입통제구역 등 통제 시설
   나. 잠금장치
7. 의료기관(법 제49조에 따라 부대사업을 하는 장소를 포함한다) 외의 장소에 제1호에 따른 전자의무기록의 저장장비 또는 제3호에 따른 백업저장장비를 설치하는 경우에는 다음 각 목의 시설과 장비
   가. 전자의무기록 시스템의 동작 여부와 상태를 실시간으로 점검할 수 있는 시설과 장비
   나. 전자의무기록 시스템에 장애가 발생한 경우 제1호 및 제2호에 따른 장비를 대체할 수 있는 예비 장비
   다. 폐쇄회로 텔레비전 등의 감시 장비
   라. 재해예방시설
② 의료인이나 의료기관 개설자는 법 제23조제4항에 따라 전자의무기록에 추가기재ㆍ수정을 한 경우 제1항제2호에 따른 장비에 접속 기록을 별도로 보관하여야 한다.

제1항 각 호에 따라 갖추어야 하는 시설과 장비 및 제2항에 따른 접속 기록 보관에 관한 구체적인 사항은 보건복지부장관이 정하여 고시한다.

전자의무기록을 안전하게 관리·보존하기 위한 시설과 장비에 관한 기준의 구체적인 내용은 보건복지부 고시인 ‘전자의무기록의 관리·보존에 필요한 시설과 장비에 관한 기준[보건복지부고시 제2021-2호]’으로 정하고 있습니다.

이에 따르면, 전자의무기록 관리자는 전자의무기록의 안전성과 신뢰성 확보를 위하여 전자의무기록의 생성·저장과 전자서명을 검증할 수 있는 장비를 갖추어야 하고(제3조), 전자서명이 있은 후 전자의무기록의 추가기재·수정 사항과 변경 여부를 확인할 수 있게 하는 등 전자의무기록의 이력관리를 위하여 필요한 장비를 갖추어야 하며(제4조), 전자의무기록의 분실·도난·유출·위조·변조 또는 훼손 등의 사고를 대비할 수 있도록 전자의무기록의 백업 저장장비 등도 갖추어야 합니다(제5조). 그리고 불법적인 접근 및 침해사고를 방지하기 위하여 「의료법 시행규칙」 제16조 제1항 제4호부터 제6호까지의 시설과 장비에 대하여 「개인정보보호법」 제29조에 따른 안전성 확보 조치를 하여야 하고(제6조), 전자의무기록 관리자가 의료기관 외의 장소에서 전자의무기록을 관리·보존하는 경우에는 해당 고시에서 정하고 있는 추가적인 조치를 하여야 합니다(제7조).

이러한 전자의무기록 시스템 관리는 의료인이나 의료기관 개설자가 직접 할 수도 있지만, 「개인정보보호법」 제26조에 따라 제3자에게 개인정보의 처리업무를 위탁할 수 있습니다. 그런 경우 의료인이나 의료기관 개설자로부터 개인정보의 처리 업무를 위탁 받은 자가 ‘전자의무기록 관리자’가 되어, 위와 같은 규정을 준수하여 전자의무기록 시스템을 관리하여야 합니다.

■ 시사점
진료에 관한 기록에는 환자에 관한 다양한 정보가 기재됩니다. 그런데 전자의무기록의 경우 전자문서의 속성상 진료기록부 등에 비하여 이들 정보가 손쉽게 위·변조되거나 대량으로 유출될 수 있는 위험성이 상존하고 있습니다. 따라서 위와 같은 「의료법」 관계법령을 준수하지 않은 전자의무기록의 경우(예를 들면, 전자서명 시스템을 갖추지 않고, 전자서명법에 따른 전자서명을 하지 않은 전자문서 등) 「의료법」 제22조 제1항에 의한 진료기록부 등을 갈음할 수 있는 적법한 전자의무기록으로 볼 수 없습니다.

법원 역시 의료인이 전자의무기록을 작성하였다고 하더라도 위와 같은 의료법 관계법령상의 요건을 충족하지 못한다면 이는 「의료법」 제22조 제1항을 위반하여 진료기록부 등을 기록하지 않은 것에 해당한다고 보고 있으므로, 전자의무기록 시스템을 도입할 때에는 위와 같은 관계법령을 모두 준수하여야 한다는 점을 유의하기 바랍니다.

법률칼럼