국회 보건복지위원회 소속 새누리당 문정림 의원은 22일 건강보험심사평가원(이하 심평원) 국정감사 보도자료를 통해 PM2000의 조제정보 불법 수집·판매 사건 처리 과정을 확인하고 재발방지 대책 마련을 촉구하고 나섰다.

문 의원은 지난 7월 23일 검찰(개인정보범죄 합동수사단)은 외주 전산업체의 의료기관·약국 환자 개인정보 불법 처리사건을 발표했다고 했다.

그러면서 의료기관·약국의 의료정보시스템을 개발·공급하는 외주 전산업체가 국민 88%에 달하는 4400만여 명의 정보 약 47억건을 불법으로 수집해 제약사 등에 판매, 122억 3000만원의 부당이득을 챙긴 사건이라고 규정했다.

이중 PM2000 지원 약학재단인 약학정보원(대한약사회 산하)은 2011년 1월부터 2014년 11월 사이 1만 800개 약국으로부터 경영관리 프로그램을 통해 받은 환자 조제정보 43억 3593만건을 약국과 환자 동의 없이 불법 수집해 이를 ‘IMS헬스코리아’에 16억원을 받고 판매한 혐의를 받고 있다고 했다.

약학정보원의 PM2000은 심평원이 205년 5월10일 인증(승인)했고, 현재 전체 약국의 50.4%인 1만231개소에서 이 소프트웨어를 사용하고 있다.

청구소프트웨어 검사는 복지부장관이 정한 청구방법에 따라 '데이터 송·수신 기능, 접수 및 심사결정, 진료비지급 관련 부문' 등 심사청구와 관련된 항목이 적합한 경우 검사승인번호를 부여해 청구소프트웨어로 인한 청구오류를 최소화하고 요양기관이 정확한 진료비용을 청구 할 수 있도록 하는 것을 말한다.

그러나 심평원의 'PM2000 요양급여비용 심사청구소프트웨어 검사인증 취소'와 관련 법적 근거가 부족하다는 지적도 제기된다.

이에 대해 심평원은 행정행위의 직권취소로 가능하다는 입장이다. 실제 심평원은 "'불법 다량 국외 유출, 영리목적 매매, 추가 유출우려 사전 예방 등'을 고려해 재판과 상관없이 취소 절차를 진행하고 있다"며, "10월 중 청구소프트웨어심의위원회를 개최해 인증취소 결정을 날 경우 유예기간(2개월)을 고려하면, 올해 연말이나 내년 초순부터는 'PM2000'을 사용할 수 없게 된다고 설명했다"고 밝혔다.

또 심평원은 이번 사건을 계기로 청구소프트웨어로 인한 기술적 오류를 최소화하는 방향에 초점이 맞춰져 있던 요양급여비용 심사청구소프트웨어 검사 등에 관한 기준 고시의 검사범위에 정보보안을 확대하고 사후관리를 강화해 요양기관의 정보보안 수준을 향상시키겠다는 계획이다.

이를 위해 청구SW 검사 대상 및 범위를 확대하고, 데이터의 접근권한, 개인정보의 암호화, 접속 기록 등 보안기능을 신설하도록 하는 요양급여비용 심사청구SW 검사 등에 관한 기준 개정안을 행정예고한 상태다.

나아가 복지부는 의료기관·약국의 전산시스템을 실질적으로 관리하는 건강보험 청구 소프트웨어(S/W) 업체 등 외주 전산업체 관리감독 강화하겠다고 했다.

구체적으로 전산업체에 대해 등록제, 전자차트프로그램 등 제품 인증(기능성, 보안성, 상호호환성 심사) 및 수시점검체계 구축으로 관리기반을 마련하고, 환자 개인정보를 불법 수집한 외주 전산업체 등에 대해서는 징벌적 과징금을 부과하겠다는 내용이었다.

문 의원은 결론적으로 "심평원은 PM2000 적정결정 취소 절차를 진행함에 있어, 정보보안이 취약하거나 정보유출에 직간접적으로 관여된 소프트웨어에 대해 적절한 관리 책임을 다했는 지 자문할 필요가 있다"고 지적했다.

이어 심평원이 "PM2000에 대해 인증했다는 점에서 금번 조제정보 유출이 약정원만의 일탈이라고 보기 어렵다. 정보보완에 대한 지속적 사후관리 문제를 지적할 수밖에 없다"며 "특히 전체 약국의 50.4%에서 PM2000을 사용하고 있다는 점에서 취소 이후의 대책까지 함께 고민해야 한다"고 주문했다.

그러면서 "향후 가장 민감한 개인정보인 건강정보, 조제정보를 불법 수집·판매한 사건에 대해서는 보다 엄격한 조치를 취해야 하며, 관련 소프트웨어에 대한 보안 관리를 지속적으로 추진해야 한다"고 당부했다.