목 차 Ⅰ. 감사실시개요 1 1. 감사배경및목적 1 2. 감사대상및중점 1 3. 감사실시과정 2 4. 감사결과처리 3 Ⅱ. 감사대상현황 4 Ⅲ. 감사결과 7 1. 감사결과총괄 7 2. 처분요구와통보사항 8 (1) 故백남기전자의무기록무단열람및유출 ( 문책 주의 통보 )

Similar documents
목 차 Ⅰ. 감사실시개요 1 1. 감사배경및목적 1 2. 감사대상및중점 1 3. 감사실시과정 2 4. 감사결과처리 3 Ⅱ. 감사대상현황 4 Ⅲ. 감사결과 7 1. 감사결과총괄 7 2. 처분요구와통보사항 8 (1) 故백남기전자의무기록무단열람및유출 ( 문책 주의 통보 )

목 차 Ⅰ. 감사실시개요 1. 감사배경및목적 감사범위및대상부서 감사인원및기간 감사중점및시행

동국대학교불교병원통합의료정보시스템구축



m (-6933, `12.5.2) ( ),,,,.,. 2 2 ( ) 1 2 (( 高 ) M10 110) 2,280, H, H.. - (, ) H, H, H. - ( 引拔 ), H,. (-6933, `12.5.2) ( ),. 3 (2,280), (, ) ( 共


120330(00)(1~4).indd


- 2 - 결혼생활 유지에 중대한 지장을 초래하는 정신질환 병력과 최근 10년간 금고 이상의 범죄경력을 포함하고, 신상정보(상대방 언어 번역본 포함)의 내용을 보존토록 하는 등 현행법의 운영상 나타나는 일부 미비점을 개선 보완함으로써 국제결혼중개업체의 건전한 영업을 유

2016년 신호등 3월호 내지A.indd

USC HIPAA AUTHORIZATION FOR



<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

- 2 -

Jkafm093.hwp

메뉴얼41페이지-2

2009º½È£ÃÖÁ¾

목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향

hwp

약관

- i -

<BBEAC0E7BAB8C7E8C1A6B5B52E687770>

2

2018년 10월 12일식품의약품안전처장

년 2 월 1 1일에 모 스 크 바 에 서 서명된 북 태 평양 소하 성어족자 원보존협약 (이하 협약 이라 한다) 제8조 1항에는 북태평양소하성어류위원회 (이하 위원회 라 한다)를 설립한다고 규정되어 있다. 제8조 16항에는 위원회가 을 채택해야 한다고 규정

권고안 : 을 권고한다. 의안 분석 : 회사는 2011년부터 작년까지 4년 연속 순손실을 기록하고 있다. 이에 따라 회사는 전년과 마찬가지로 배당금을 지급하지 않을 예정이다. 재무제표 작성과 이익잉여금의 처분에 특별한 문제점이 보이지 아니하므로 의안에 대해 을 권고한다

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법( 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

04.박락인(최종)치안정책연구 29-3.hwp

PowerPoint 프레젠테이션

5. 전경련은 어버이연합의 차명계좌로 의심되는 기독교 선교복지재단에 대해 차명계좌임을 알 고 자금을 지원하였을 가능성이 있다. 해당 기독교 선교복지재단은 2014년 5월말 1400만 원, 2014년 9월초 1200만원을 어버이연합에 지원했다. 어버이연합은 세월호 반대

¾Æµ¿ÇÐ´ë º»¹®.hwp

<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>

2016 년도종합청렴도 1 등급 달성하자! 전사적자원관리시스템 (ERP) 성과감사결과보고 전사적자원관리시스템 (ERP) 사용자편의성및효율성점검 감사실

감사회보 5월

특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가


( 다 ) 제 2014 년도제 3 차정기이사회 : 2014 년 3 월 10 일 07:30 안건통지일 : 2014 년 3 월 7 일 2. 참석여 참석참석참석참석참석참석참석참석참석 ( 자기주식처분 ( 안 )) ( 라 ) 제 2014 년도제 4 차정기이사회 : 2014 년

해양수산관서 언 론 지방해양안전심판원 해양안전심판관리시스템입력 통계생성 대외제공 자체인지

GB A(1~3).indd

< B3E2B5B5204B2D BDC3BDBAC5DB20B8C5B4BABEF328C3D6C1BE292E687770>

Çʸ§-¾÷¹«Æí¶÷.hwp.hwp

01.내지완완

유선방송국설비등에관한기술기준고시개정 ( 안 ) 행정예고 - 1 -

한국의 양심적 병역거부

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

View Licenses and Services (customer)

Microsoft PowerPoint - 6.pptx


(012~031)223교과(교)2-1

내지2도작업


C스토어 사용자 매뉴얼

Microsoft Word - src.doc

레이아웃 1

_ 김철수 내과, 김란희 산부인과 개원 _ 양지병원 (6개과 33실 51병상) 개원 _ 신관 별관 증축 종합병원 기틀 마련 _ 첨단 의료정보 인프라 구축 전자 차트(OCS/EMR) 의료영상 시스템(PACS) 전자

Windows 8에서 BioStar 1 설치하기

_서울특별시_강서구_자활기금_설치_및_운용_조례_일부개정조례안[1].hwp

41호-소비자문제연구(최종추가수정0507).hwp

년도경상북도지방공무원제 1 회공개경쟁임용시험 - 필기시험합격자및면접시험시행계획공고 ( ) 필기시험합격자 : 491 명 ( 명단붙임 ) 2 필기시험합격자등록및유의사항. : ( ) ~ 7. 6( ) 3 등

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.


PowerPoint 프레젠테이션

지도상 유의점 m 학생들이 어려워하는 낱말이 있으므로 자세히 설명해주도록 한다. m 버튼을 무리하게 조작하면 고장이 날 위험이 있으므로 수업 시작 부분에서 주의를 준다. m 활동지를 보고 어려워하는 학생에게는 영상자료를 접속하도록 안내한다. 평가 평가 유형 자기 평가

사용자중심의강력한렌터카관리솔루션 렌트업 RENTUP 서비스사용매뉴얼

2016년 신호등 10월호 내지.indd

PowerPoint Presentation

요양기관 현지조사 지침(수정).hwp

-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : , : 8 177, : 39660).. ( ). ( ),. (

SBR-100S User Manual

2차 수사분석사례집_최종.hwp


종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사종합감사결과보고서결과보고서결과보고서결과보고서결과보고서결과보고서



2001 년 4 월전력산업구조개편과함께출범한전력거래소는전력산업의중심 기관으로서전력시장및전력계통운영, 전력수급기본계획수립지원의기능을 원활히수행하고있습니다. 전력거래소는전력자유화와함께도입된발전경쟁시장 (CBP) 을지속 적인제도개선을통해안정적으로운영하고있으며, 계통운영및수급

소식지수정본-1

<B3EBC6AE322E687770>

한국어교재_2급 1~12과_선-인쇄용.indd


전력기술인 7월 내지일

<BFA9BCBABFACB1B8BAB8B0EDBCAD28C6EDC1FD292E687770>

총서12. 프랜차이즈 분쟁사례 연구

( 제 20-1 호 ) '15 ( 제 20-2 호 ) ''16 '15 년국제개발협력자체평가결과 ( 안 ) 16 년국제개발협력통합평가계획 ( 안 ) 자체평가결과반영계획이행점검결과 ( 제 20-3 호 ) 자체평가결과 국제개발협력평가소위원회

핵 1 학년 2 학년 3 학년합계 문학과예술 역사와철학 사회와이념 선택 학점계 학년 2 학년 3 학년합계비고 14 (15) 13 (14) 27 (29) 2


804NW±¹¹®

- 2 -

빈센트병원보(2012-1월)

98 자료 개발 집필 지침

PowerPoint Template

* 이논문은제 1 저자의진주교육대학교교육대학원초등특수교육전공석사학위논문임. ** 주저자 : 진주장재초등학교교사 *** 교신저자 : 진주교육대학교교수

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

<B8D3B8AEB8BB5F20B8F1C2F72E687770>

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

2ÀåÀÛ¾÷

?

<C0B1B8AEC0A7BFF8C8B8B1D4C1A45B315D2E687770>

Transcription:

특정감사 감사결과보고서 - 서울대학교병원전자의무기록무단열람및유출실태 - 2017. 3. 감사원

목 차 Ⅰ. 감사실시개요 1 1. 감사배경및목적 1 2. 감사대상및중점 1 3. 감사실시과정 2 4. 감사결과처리 3 Ⅱ. 감사대상현황 4 Ⅲ. 감사결과 7 1. 감사결과총괄 7 2. 처분요구와통보사항 8 (1) 故백남기전자의무기록무단열람및유출 ( 문책 주의 통보 ) 9 (2) 전자의무기록무단열람자에대한처벌규정미흡및보안감사부적정 ( 주의 통보 ) 24 (3) 전자의무기록무단열람사전방지대책미흡 ( 통보 ) 35

Ⅰ 감사실시 개요 1. 감사배경 및 목적 국회는 서울대학교병원 직원들이 故 백남기 전자의무기록을 광범위하게 무단 열람하고 수사기관, 정보기관 등 외부로 유출한 의혹이 있다며 국회법 제127조의 2의 규정에 따라 2016. 12. 30. [표 1]과 같이 감사원 감사를 요구하였다. [표 1] 국회 감사요구 주요 내용 구분 내용 故 백남기 농민의 전자의무기록과 관련하여 서울대학교병원 내부의 광범위한 무단 열람 및 수사 주 문 정보기관 등 외부로의 유출 의혹에 대한 감사 故 백남기 농민이 2015년 11월 14일 서울대학교병원 응급실에 간 이후로 약 1년이 안 되는 기간 동안 제안이유 27,000건이 넘는 전자의무기록 열람이 발생하는 등 병원 내부의 광범위한 무단 열람과 수사 정보 기관 등 외부로의 유출 의혹이 제기되고 있는 바, 이와 관련하여 서울대학교병원에 대한 감사가 필요 이에 따라 감사원은 故 백남기 전자의무기록 무단 열람 및 외부 유출 의혹을 규명하여 국회 의정활동을 지원하고 국민의혹 해소에 기여하고자 감사를 실시하게 되었다. 2. 감사대상 및 중점 이번 감사는 故 백남기가 서울대학교병원 응급실로 이송되어 치료를 받은 2015. 11. 14.부터 국회에서 감사원 감사를 요구한 2016. 12. 30. 사이에 故 백남기 전자 의무기록을 열람한 직원들을 대상으로 무단 열람 및 외부 유출 여부를 점검하였다. -1-

그리고전자의무기록이저장 관리되고있는의료정보시스템운영과관련하여열 람권한부여및관리의적정성, 무단열람사전방지대책의적정성, 보안감사의적 정성을점검하였다. 3. 감사실시과정 감사원은국회감사요구사항을바탕으로전자의무기록관리실태및관계법령 등의자료를수집 분석하고이에대한예비조사 (2017. 2. 1.~2. 14.) 를거쳐감사인 원 5 명 ( 외부침해사고분석전문가 1 명포함 ) 을투입하여 2017. 2. 20. 부터 3. 6. 까지 10 일간실지감사를실시하였다. 분야별주요쟁점에대해서는다음과같은방법으로점검 확인하였다. 1 무단열람및외부유출과관련해서는의료정보시스템의로그를분석하여조사 대상자를확정하고업무관련성여부, 열람사유및외부유출여부에대해조사하 였다. 아울러내부업무메일과메신저의서버자료, 팩스, 매체관리시스템로그를분석 하여외부유출여부에대한점검을병행하였다. 2 의료정보시스템운영과관련해서는열람권한부여및관리실태, 무단열람 사전예방대책실효성여부, 보안감사및무단열람자자체처리실태를바탕으로 개선방안을검토하였고필요시다른대학병원들의관련자료를받아비교 분석 을실시하였다. - 2 -

4. 감사결과처리 감사원은감사결과지적된사항과관련하여대상기관의의견을청취함과아울러이견을조정하기위해 2017. 3. 2. 서울대학교병원에서감사마감회의를실시하였으며서울대학교병원에질문서를발부하여무단열람자처리대책과개선방안수립등에대한답변서를제출받았다. 이후감사원은감사마감회의에서제시된의견등을포함하여지적사항에대한내부검토와 2017. 3. 21. 감사위원회의소위원회심의를거쳐 2017. 3. 23. 감사위원회의의의결로감사결과를최종확정하였다. - 3 -

Ⅱ 감사대상 현황1) 1. 故 백남기 사고 및 진료 경과 故 백남기는 [표 2]와 같이 2015. 11. 14. 민중총궐기대회에 참가하여 시위를 하던 중 머리에 부상(머리 골절, 급성 경막하출혈)을 입고 같은 날 19시 31분경 서울 대학교병원 응급실로 이송되었다. 이후 응급 중환자실과 외과계 중환자실에 입원하여 10개월간 치료를 받다가 2016. 9. 25. 13시 58분경 사망하였다. [표 2] 故 백남기 진료 경과 일시 주요 진료 내역 '15. 11. 14. 19:31 의식불명 상태로 서울대학교병원 응급실 내원 '15. 11. 14. 22:12 응급 중환자실 입원 '15. 11. 14. 23:40~11. 15. 03:20 두개절제술 및 경막하혈종 제거술 시행 '15. 11. 15. 03:25 외과계 중환자실 입원 '15. 12. 02. 뇌파검사 및 뇌전산화단층 촬영 '16. 07. 15. 진균 폐렴 및 패혈증, 급성 호흡곤란, 급성신부전 발생 '16. 07. 17. 적극적 검사 및 치료 없이 보존적 치료를 위한 연명의료계획서 확인 '16. 08. 22. 진균 패혈증 및 폐렴, 범혈구감소증 발생 '16. 09. 09. 보존적 치료만을 위한 연명의료계획서 재확인 '16. 09. 19. 급성신부전 발생 '16. 09. 23. 소변량 감소 및 고칼륨 혈증 발생 '16. 09. 24. 혈압 저하, 소변 고칼륨 혈증 지속 '16. 09. 25. 13:58 사망 1) 이 부분은 감사결과 지적된 문제점의 종합적 이해를 돕기 위해 감사대상 업무의 현황을 기술한 것으로, 감사대상기관이 제출한 자료를 바탕으로 작성되었으며 현장조사 등 감사의 방법으로 검증한 내용이 아님 -4-

2. 전자의무기록개념및종류 의료법 제 23 조의규정에따르면전자의무기록은 전자서명법 에따라전자서 명이기재된진료기록부, 간호기록부, 기타진료에관한기록을의미한다고되어있다. 이와관련서울대학교병원은전자의무기록을효율적이고통일적으로작성 관리 활용하기위해종합의료정보시스템 (Electronic Medical Record & Hospital Information System) 과의료영상저장전송시스템 (Picture Archiving Communication System, 이하 PACS 라한다.) 을구축 운영하고있다. 종합의료정보시스템의 EMR(Electronic Medical Record) 에는외래기록, 입원기 록, 수술기록, 마취기록, 의사지시, 간호기록, 임상관찰기록, 응급기록등이있고 PACS 에는 CT, MRI, X-Ray, 내시경, 초음파와같은영상자료가있다. 3. 전자의무기록열람방법및절차 종합의료정보시스템에로그인한후소관환자를선택할경우에는곧바로 EMR 열람이가능하지만소관이아닌환자를검색할경우에는경고문팝업창이뜨는데 [ 그림 1] 과같은열람사유중하나를선택한후비밀번호를재입력해야만 EMR 열 람이가능하게되어있다. [ 그림 1] 열람사유선택코드 - 5 -

반면에 PACS 에서는소관환자에관계없이로그인만으로 CT, MRI, X-Ray, 내시경, 초음파와같은영상자료를열람할수있는데이상을도식화하면 [ 그림 2] 와같다. [ 그림 2] 전자의무기록열람절차 - 6 -

Ⅲ 감사결과 1. 감사결과 총괄 감사원은 이번 감사를 통해 [표 3]과 같이 총 6건의 위법 부당사항을 지적하고 서울대학교병원에 처분요구 및 통보하였 다. [표 3] 감사결과 지적사항 현황 (단위 : 건, 명) 합계 구분 부의 징계 문책 건수 인원 (인원) 6 1 1 (1) 시정 주의 통보 - 2 3 감사결과 확인된 주요 문제점은 다음과 같다. 가. 故 백남기 전자의무기록 무단 열람 및 유출 종합의료정보시스템과 PACS의 접근로그('15. 11. 14. '16. 12. 30.)를 분석한 결과 총 734명이 계 40,601회에 걸쳐 故 백남기 전자의무기록을 열람 - 이 중 161명(725회)이 업무와 관련이 없는 무단 열람으로 확인 - 이와 별도로 64명의 사용자 계정이 무단 열람에 이용되었는데 이중 1명은 사용자 계정을 대여, 1명은 도용당한 것으로 확인하였으나 나머지 62명은 사용자 계정의 관리 부실 로 실제 누가 열람하였 는지 확인할 수 없는 실정 내부 업무메일의 서버자료, 매체관리시스템 로그를 점검한 결과 간호사 A이 2016 년 4월 故 백남기 전자의무기록 (간호일지, 신체상태 등)을 핸드폰으로 촬영, 친구 (항공조종사)에게 무단 전송한 사실을 확인 나. 전자의무기록 무단 열람자에 대한 처벌 규정 미흡 및 보안감사 부적정 서울대학교병원은 환자정보에 부적절하게 접근한 경우에 무단 열람 사유와 경위, 기간 및 횟수 등을 세부적으로 고려하지 않은 채 경고장만을 발부하고 3회 이상인 경우만 징계 여부를 심의, 무단 열람 방지 및 경각심 고취에 한계 서울대학교병원은 2016년 10월경 故 백남기 전자의무기록 무단 열람에 대한 보안 감사를 실시하면서 진료 검사 관련 부서 직원이 입원, 치료, 수술 기간 이외의 기간 -7-

동안열람한경우무단열람가능성이있는데도이들을일괄제외하고 129명만을대상으로조사, 이중 87명에대해경고장발부 - 이번감사원감사에서점검한결과같은기간조사대상자는당초보다 226명이많은 355명이었고 226명중 84명이무단열람자로추가확인 자체조사이후부터국회감사가요구된 2016. 12. 30. 사이에도무단열람자 1명이추가확인되었고, 당초업무외목적열람자로자체판단한 87명중 11명은업무관련성등이있어고발대상에서제외다. 전자의무기록무단열람사전방지대책미흡 종합의료정보시스템의경고문팝업창에는전자의무기록무단열람이형사처벌대상이된다는내용이없어경각심고취에한계가있고타과를본인의진료과로임의등록할경우에는경고문팝업창이뜨지않는등사전제한및차단기능이미흡 PACS에는경고문팝업창도없어아무런제한없이열람이가능하고, 종합의료정보시스템을통해 PACS에접속한경우종합의료정보시스템에서로그아웃시동시에 PACS에서자동으로로그아웃되지않아무단열람에노출 이와관련서울대학교병원에대해故백남기전자의무기록을무단으로열람한 161명 (A은무단열람및유출 ) 을 의료법 위반혐의로고발하도록통보함과아울러사용자계정을부적정하게관리한 56명 ( 퇴사자 8명제외 ) 에대해주의를촉구하고무단열람및외부유출한 A에대해문책하도록요구하였다. 또한서울대학교병원에 대해무단열람에대한처벌규정을강화하고이번감 사에서무단열람자로새롭게확인된 62명 ( 퇴사자 23명제외 ) 에대하여관계지침에따라처리 ( 경고장발부등 ) 하는방안을마련하도록통보함과아울러앞으로보안감사업무를철저히하도록주의요구하였다. 그리고서울대학교병원에대해정당한사유가없는자의접근을사전에제한 차단하고무단열람이형사처벌대상이된다는사실을명확히고지하는등의료정보시스템개선방안을마련하도록통보하였다. 2. 처분요구와통보사항 : 별첨 - 8 -

감사원 문책 주의요구및통보 제목故백남기전자의무기록무단열람및유출 소관기관 조치기관 서울대학교병원 서울대학교병원 내 용 1. 사건개요서울대학교병원은 전자서명법 에따라전자서명이기재된진료기록부, 간호기록부, 기타진료에관한기록 ( 이하 전자의무기록 이라한다 ) 을효율적이고통일적으로작성 관리 활용하기위해 의료법 제23조의규정에따라종합의료정보시스템 (Electronic Medical Record & Hospital Information System) 과의료영상저장전 송시스템 (Picture Archiving Communication System, 이하 PACS 라한다 ) 을구축 운영하고있다. 이와관련하여종합의료정보시스템의 EMR(Electronic Medical Record) 에는외래기록, 입원기록, 수술기록, 마취기록, 의사지시, 간호기록, 임상관찰기록, 응급기록등이있고 PACS에는 CT, MRI, X-Ray, 내시경, 초음파와같은영상자료가있다. 이번감사에서점검한결과, [ 별표 1] 故백남기전자의무기록무단열람자명세 와같이 161명이故백남기전자의무기록을무단으로열람하고이중 1명이외부로무단유출했으며, [ 별표2] 사용자계정관리부적정명세 와같이 2명이사용 - 9 -

자계정 (ID) 을대여하거나도용당했고 62명은사용자계정을부실하게관리 ( 공유, 로그미종료등 ) 하여누가무단으로열람하였는지알수없는실정이었으며그상세내용은다음과같다. 2. 관계법령및판단기준서울대학교병원의 의무기록관리규정 제15조및 의무기록관리지침 에따르면교수 전공의및허가를받은직원은환자진료, 병원경영, 외부기관제공등의목적에필요한경우의무기록을열람할수있고타과소관환자에대하여는 [ 표 1] 과같은정당한사유가있는경우에만의무기록을열람할수있으며, 서울대학교의과및간호학과학생들은실습에필요한범위내에서열람할수있도록되어있다. [ 표 1] 타과소관환자의전자의무기록정당열람사유 구분 정당열람사유 1. 추가오더입력, 2. 미비기록작성, 3. 환자상담, 협진, 4. 진단서 / 의뢰서 / 사본발급, 5. 예정환자조회, 의사 6. 예정확인변경, 7. 약제업무, 8. 진료지원업무, 9. 원무보험, 10. 사전에승인된업무, 11. ( 삭제 ),12. 교육, 13. 출력, 14. 기타 ( 상기항목에해당되지않은여타의사유 ) 간호사 1. 미비기록작성, 2. 예정환자조회, 3. 특수부서, 4. 진료지원업무, 5. 교육, 6. 환자상담, 7. 사전에 승인된업무, 8. 출력. 9. 기타 ( 상기항목에해당되지않은여타의사유 ) 자료 : 서울대학교병원제출자료재구성 또한서울대학교병원의 의료정보운영규정 제 25 조및 의료정보보호 10 계명 2) 에따르면여러사람이같은사용자계정과비밀번호를공유할수없고의료정보시 스템을사용한후에는반드시종료하여야하며, 관리소홀에따른모든책임은 1 차 적으로사용자본인이지도록되어있다. 그리고 의료법 제 23 조제 3 항및제 87 조제 1 항의규정에따르면누구든지정 2) 서울대학교병원직원들은의료정보시스템과전산망을이용하기위하여제규정, 의료정보 10 계명을준수한다는내용의서약서제출 - 10 -

당한사유없이전자의무기록에저장된개인정보를탐지 3) 하거나누출할경우 5년이하의징역또는 5천만원이하의벌금에처하도록되어있다. 3. 감사결과확인된문제가. 故백남기전자의무기록무단열람종합의료정보시스템에 [ 그림 ] 과같이로그인할경우소관환자에대해서는특별한절차없이곧바로 EMR을열람할수있고, 타과소관환자에대해서는경고문팝업창이뜨고 [ 표 1] 과같은열람사유중하나를선택한후비밀번호를재입력하게되면 EMR을열람할수있게되어있다. [ 그림 ] 전자의무기록열람절차 자료 : 서울대학교병원제출자료재구성 그리고경고문팝업창에는 현재진료중이아닌환자를선택하셨습니다. 환자정 3) 자료를찾아서알아내거나열람하여인지하는것 ( 보건복지부의견 ) - 11 -

보에접근한이력이저장 보관및모니터링되고사후보안감사시소명자료제출등을요구할수있습니다 라고명시되어있다. 반면에 PACS에는경고문팝업창이없어열람사유선택이나비밀번호재입력등의절차없이최초로그인만으로타과소관환자의 CT, MRI와같은영상자료를곧바로열람할수있게되어있다. 이번감사원감사기간 (2017. 2. 1.~3. 6.) 중 2015. 11. 14. 부터 2016. 12. 30. 사이에종합의료정보시스템의 EMR과 PACS를통해故백남기전자의무기록에접근한로그를분석한결과, [ 표 2] 와같이총 734명이 40,601회에걸쳐故백남기전자의무기록을열람한것으로확인되었다. [ 표 2] 故백남기전자의무기록열람현황 구분합계 EMR PACS 자료주 ) 합계 (C=A+B) 담당과 (A) 인원 ( 명 ) 734 382 144 208 횟수 ( 회 ) 40,601 2,629 24,575 6,828 6,569 인원 ( 명 ) 370 158 89 123 횟수 ( 회 ) 33,089 1,968 23,139 5,029 2,953 기타 (B) 인원 ( 명 ) 364 224 55 85 횟수 ( 회 ) 7,512 661 1,436 1,799 3,616 주 : PACS 는검사단위를기준으로로그를관리하기때문에접속을기준으로할경우에는열람횟수가줄어듦 자료 : 서울대학교병원제출자료재구성 이중故백남기진료와관련이없는 364 명을대상으로구체적인열람경위및 열람사유를조사한결과, [ 별표 1] 故백남기전자의무기록무단열람자명세 와 같이계 161 명이업무와관련없이무단열람한것으로확인되었고그사유는 [ 표 3] 과같이호기심 157 명, 교수의열람지시 3 명, 담당의사에게치료부탁목적으로 사전열람 1 명으로나타났다. - 12 -

[ 표 3] 故백남기전자의무기록무단열람사유별현황 구분 계 호기심 교수지시 치료부탁목적 인원 ( 명 ) 161 157 3 1 자료 : 서울대학교병원제출자료재구성 이와별도로 [ 별표 2] 사용자계정관리부적정명세 와같이계 64명의사용자계정이故백남기전자의무기록무단열람에이용되었는데이중 1명은사용자계정을대여하였고, 1명은사용자계정을도용당한것으로나타났고 4) 나머지 62명은사용자계정을공유하거나제때로그아웃하지않는등관리를부실하게함으로써누가무단열람하였는지확인할수없는실정이었다. 이와같이관계법령을위반하여전자의무기록을무단열람하거나무단열람에이용되도록사용자계정을소홀히관리함으로써환자의의료정보가제대로보호되지못하는결과를가져왔다. 나. 故백남기전자의무기록무단유출서울대학교병원은 2015. 11. 27. 부터 2016. 10. 27. 사이에가족 ( 또는유족 ) 의요청을받아 9회에걸쳐故백남기전자의무기록을발급하였으며, 2015. 12. 3. 에는故백남기부상과관련하여인권침해여부확인을위해기초조사를실시한국가인권위원회에 국가인권위원회법 제22조의규정에따라소견서및의무기록일체를제출하였다. 또한서울대학교 B은 2016. 7. 16. 과같은해 9. 23. 당시청와대 C에게환자의 상태및치료에대한가족의의견을각각보고하였고, 이에대해 유족은 의료법 위반혐의 ( 의료정보누설 ) 로특검 ( 박근혜정부의최순실등민간인에의한국정농단의 4) ID 를대여받아또는 ID 를도용하여무단열람한직원은고발대상자 161 명에포함되어있음 - 13 -

혹사건규명을위한특별검사 ) 에고소한바있다. 5) 그리고서울대학교병원은 2016. 9. 7. 서울중앙지검 ( 서울지방경찰청장고발관련 ), 같은해 9. 26. 종로경찰서 ( 故백남기부검관련 ) 로부터압수수색을받는과정에서故백남기전자의무기록일체를제출하였고, 국회의국정감사와관련해서도유족의사전동의를받은후교육문화체육관광위원회위원 10명과보건복지위원회위원장및간사에게故백남기전자의무기록을제출 (2016년 10월~11월, 14회 ) 하였다. 이와별도로이번감사에서故백남기전자의무기록열람과관련된내부업무메일의서버자료, 매체관리시스템로그를분석한결과 6), 서울대학교병원 실 센터 ( 현 실 ) 팀간호사 A([ 별표 1] 80번 ) 이친구 (D, 항공조종사 ) 에게故백남기전자의무기록을유출한사실이드러났는데그내용은다음과같다. 서울대학교병원간호부문 계 실간호직 A은 2012. 10. 5. 부터 2016. 5. 31. 까지 팀간호사로근무하면서임상질지표모니터링에필요한대상자를주기적으로선정하고대상자의전자의무기록을검토한후구두처방의적정성을조사하는업무를담당하였다. 이와관련, A은 의료정보이용서약 을하고간호사보수교육을주기적으로받은바있어정당한사유없이전자의무기록을탐지하거나누출할경우 5년이하의징역또는 5천만원이하의벌금에해당한다는사실을잘알고있었다. 그런데도 A은 2016. 4. 8. 모니터링대상자로선정된故백남기에대한구두처 5) B 의이건관련보고가 의료법 제 23 조제 3 항의규정에따른정당한사유에해당하는지에대해서는특검에이미고소된점을고려하여별도로조사하지아니함 6) 메신저는차세대종합의료정보시스템을구축하면서 2016. 11. 19. 교체되어과거로그기록이존재하지않아확인할수없었고, 팩스는자체로그저장기능이없어송 수신기록을확인할수없었음 - 14 -

방의적정성을조사하는과정에서자신의업무와관련이있는간호일지, 자신의업무와관련이없는환자의신체상태및입원동기를자신의휴대폰으로각각촬영한후친구가관심이있을것이라는생각에 D에게카카오톡으로전송하였고, 7) 카카오톡송 수신내역을내부업무메일에전송하여같은내용을메일서버에저장 관리하고있었다. 이에따라故백남기전자의무기록이외부에무단유출되어환자개인정보가제대로보호되지못하는결과를가져왔다. 관계기관등의견및검토결과 1 관련자의견 A은故백남기전자의무기록을무단열람하고외부에유출하여 의료법 등관계법령을위반한잘못에대하여인정하고있다. 2 관계기관의견및검토결과서울대학교병원은감사결과를받아들이겠다고하면서도무단열람사유대부분이호기심에기인한것으로악의가없고무단열람자 161명전원을고발할경우환자진료의지연, 사기저하, 대외신뢰도하락등부작용이우려된다며자체적으로처리할수있도록해달라는의견을제시하였다. 이에대하여감사원은서울대학교병원직원들은환자의의료정보를직접다루고있으므로 의료법 등관계법령에따라환자의의료정보를가장우선적으로보호 7) D 은전송받은故백남기전자의무기록을본인만열람하고제 3 자에게유출하지않았다고확인 - 15 -

하여야하는데도이에대한경각심없이많은인원이환자의료정보를무단으로열 람한행위는심각한문제이므로개인의료정보보호의중요성을환기시키는차원에 서전원고발이필요하다고판단하였다. 문책요구양정 故백남기전자의무기록을무단열람하고외부에유출한 A 의행 위는 의료법 제 23 조및서울대학교병원 복무규정 제 6 조의규정에위배된것으 로서울대학교병원 인사규정 제 54 조제 1 호의징계사유에해당한다. 조치할사항 서울대학교병원장은 1 故백남기전자의무기록을정당한사유없이무단열람한 [ 별표 1] 에명시된 161 명 (A 의경우무단열람및유출 ) 에대해 의료법 제 23 조및제 87 조의규정에따 라고발하는방안을마련하고 ( 통보 ) 2 앞으로종합의료정보시스템과의료영상저장전송시스템 의사용자계정관리 를철저히함과아울러故백남기전자의무기록의무단열람에이용되도록사용자계정을부실하게관리한관련자 [ 별표2] 에명시된 56명 ( 퇴직자 8 명제외 ) 에대해주의를촉구하며 ( 주의 ) 3 故백남기전자의무기록을정당한사유없이무단열람하고외부에무단유출한 A에대하여는서울대학교병원 인사규정 제57조의규정에따라징계처분 ( 경징계이상 ) 하시기바랍니다.( 문책 ) - 16 -

감사원 주의요구및통보 제목전자의무기록무단열람자에대한처벌규정미흡및보안감사부적정 소관기관 조치기관 서울대학교병원 서울대학교병원 내 용 1. 업무개요 서울대학교병원은종합의료정보시스템과의료영상저장전송시스템 (Picture Archiving CommunicationSystem, 이하 PACS 라한다 ) 의접근내역에대한보안감사를 정기적으로실시하고있다. 2. 관계법령및판단기준 서울대학교병원의 의무기록관리규정 제 15 조및 의무기록관리지침 에따르 면교수 전공의및허가를받은직원은환자진료, 병원경영, 외부기관제공등의 목적으로필요한경우의무기록을열람할수있도록되어있고타과소관환자에대 하여는 [ 표 1] 과같은정당한사유를입력한후의무기록을열람하도록되어있으 며서울대학교의과및간호학과학생들은실습에필요한범위내에서의무기록을 열람할수있도록되어있다. - 24 -

[ 표 1] 타과소관환자의전자의무기록정당열람사유 구분 의사 간호사 정당열람사유 1. 추가오더입력, 2. 미비기록작성, 3. 환자상담, 협진, 4. 진단서 / 의뢰서 / 사본발급, 5. 예정환자조회, 6. 예정확인변경, 7. 약제업무, 8. 진료지원업무, 9. 원무보험, 10. 사전에승인된업무, 11. ( 삭제 ),12. 교육, 13. 출력, 14. 기타 ( 상기항목에해당되지않은여타의사유 ) 1. 미비기록작성, 2. 예정환자조회, 3. 특수부서, 4. 진료지원업무, 5. 교육, 6. 환자상담, 7. 사전에승인된업무, 8. 출력. 9. 기타 ( 상기항목에해당되지않은여타의사유 ) 자료 : 서울대학교병원제출자료재구성 그리고 의료법 제23조제3항및제87조제1항의규정에따르면누구든지정당한사유없이전자의무기록에저장된개인정보를탐지하거나누출할경우 5년이하의징역또는 5천만원이하의벌금에처하도록되어있다. 따라서환자에대한전자의무기록무단열람행위는형사처벌대상이될정도의심각한법위반사항이므로직원들의개인정보보호의식제고를위해서는무단열람자에대한내부처벌규정도징계이상으로엄격하게규정 운영하여야한다. 한편, 서울대학교병원의 의료정보운영규정 및 의료정보보호지침 에따르면전자의무기록에접근하여타과소관환자를선택한전체사용자에대해서최소월 1회이상주기적으로보안감사를실시하도록되어있고보안감사를실시할때에는입원과치료, 수술등의일정을세부적으로고려하여조사대상자가누락되는일이없도록하여야했다. 3. 감사결과확인된문제 가. 전자의무기록무단열람자에대한처벌규정미흡 이와관련이번감사에서故백남기전자의무기록무단열람자 161 명을대상으로 - 25 -

무단열람사유를분석한결과 [ 표 2] 와같이호기심열람 157 명, 교수의열람지시 에따른열람 3 명, 담당의사에게치료부탁목적의사전열람 1 명이었다. [ 표 2] 故백남기전자의무기록무단열람사유별현황 ( 단위 : 명 ) 구분 계 호기심 교수열람지시 치료부탁 인원 ( 명 ) 161 157 3 1 자료 : 서울대학교병원제출자료재구성 또한 [ 표 3] 과같이무단열람횟수별로는 1회가 87명으로가장많았고 5회이하 열람자가 134명으로전체의 83.2% 를차지하고있었으며 10회초과열람자도 18명 이었다. [ 표 3] 故백남기전자의무기록무단열람횟수별현황 ( 단위 : 명 ) 구분계 1 회 2 회 3 회 4 회 5 회 6 회 7 회 8 회 9 회 10 회 10 회초과 인원 161 87 29 3 10 5 1 1 1 3 3 18 134 9 18 자료 : 서울대학교병원제출자료재구성 그리고직종별로살펴보면 [ 표 4] 와같이의사가 86 명으로가장많았고간호사가 57 명, 보건직이 13 명, 기타 5 명 ( 학생 3 명, 연구원 1 명, 기능직 1 명 ) 으로나타났다. [ 표 4] 故백남기전자의무기록무단열람직종별현황 ( 단위 : 명 ) 구분계의사간호사보건직기타 인원 161 86 57 13 5 자료 : 서울대학교병원제출자료재구성 그런데서울대학교병원은 환자개인정보를부적절하게열람한경우에도무단 열람사유및경위, 무단열람기간및횟수등을세부적으로고려하지않은채자체 - 26 -

의료정보보호지침 에따라경고장만발부하고, 경고장을 3회받은자에대해서만의료정보보호위원회를통해징계여부를심의하고있어무단열람사전방지가미흡하고개인의료정보보호의중요성에대한경각심이낮은실정이었다. 나. 전자의무기록무단열람자에대한보안감사부적정 故백남기는 2015. 11. 14. 19시 31분부터 22시 5분까지응급실에서, 2015. 11. 14. 22시 12분부터 23시 35분까지응급중환자실에서, 2015. 11. 15. 부터 2016. 9. 25. 까지외과계중환자실에서입원 치료를받았고수술은 2회 (2015. 11. 14., 12. 9.) 를받았다. 서울대학교병원 ( 정보시스템보안팀 ) 은故백남기전자의무기록의무단열람여부를확인하기위해 2016년 10월경 EMR은 2015. 11. 14. 부터 2016. 10. 9. 까지, PACS는 2015. 11. 14. 부터 2016. 10. 16. 까지의접근로그를분석하면서입원, 치료, 수술등진료 검사와관련이있는부서 ( 응급실, 수술실, 마취통증의학과, 타과의뢰과등 ) 는모두조사대상자에서제외하고 129명을조사대상자로선정하여 87명 8) 에대해 2016. 12. 20. 의료정보보호지침 에따라경고장 ( 주의처분 ) 을발부하였다. 그런데이번감사원감사기간 (2017. 2. 1.~3. 6.) 중조사대상자가적정하게선정되었는지점검 ( 동일기간비교 ) 한결과 [ 별표 1] 故백남기전자의무기록무단열람조사대상자비교명세 와같이예를들어외과의경우故백남기주치료부서인신경외과로부터치료를위한검토의뢰를받기전이나의뢰에대해회신한이후에는故백남기전자의무기록을열람할필요가없어의뢰가오기전또는회신한이후열 8) 당초업무외목적열람자 ( 사유불명확등포함 ) 로자체판단한 87 명중 11 명은업무관련성등이있어고발대상에서제외함 - 27 -

람했을경우에는무단열람할개연성이있는데도치료와관련하여검토의뢰 (5회, 2016. 5. 30.~7. 13.) 를받은부서라는이유만으로외과소속열람자 13명 ( 감사원감사결과이중 6명이무단열람자로확인 ) 을모두제외하는등입원과치료, 수술등일정을세부적으로고려하지않고관련부서만을기준으로조사대상자를선정하여 226명을조사대상자에서제외하였고제외되었던 226명중 84명이업무와관련이없는무단열람자로추가로확인되었다. 그리고이와는별개로자체보안감사이후부터국회가감사요구한 2016. 12. 30. 사이에도 1명이무단열람한것으로확인되었다. 이와같이 [ 별표 2] 감사원감사결과무단열람자추가명세 와같이계 85명 ( 퇴직자 23명포함 ) 이故백남기전자의무기록을무단열람하고도관계규정에따른처벌조치를받지않는결과를가져왔다. 관계기관의견 서울대학교병원은감사결과를받아들이면서부적절한사유로전 자의무기록에접근한것이확인된경우에처벌을강화하는방향으로 의료정보보 호지침 을개정하고이번감사에서추가로확인된무단열람자에대해서는 의료정 보보호지침 에따라조치하겠다는의견을제시하였다. 조치할사항 서울대학교병원장은 1 전자의무기록무단열람사유및경위, 무단열람기간및횟수등을세부적으로 고려하여무단열람자에대한처벌규정을강화하는방안을마련하고, 이번감사에 - 28 -

서무단열람자로추가확인된 [ 별표 2] 에명시된 62명 ( 퇴직자 23명제외 ) 에대해서는 의료정보보호지침 에따라처벌 ( 경고장발부등 ) 하는방안을마련하며 ( 통보 ) 2 앞으로보안감사를실시할때에는조사대상자가누락되는일이없도록보안감사업무를철저히하시기바랍니다.( 주의 ) - 29 -

감사원 통 보 제목전자의무기록무단열람사전방지대책미흡 소관기관 조치기관 서울대학교병원 서울대학교병원 내 용 1. 업무개요 서울대학교병원은종합의료정보시스템과의료영상저장전송시스템 (Picture Archiving Communication System, 이하 PACS 라한다 ) 을구축 운영하고있다. 종합의료정보시스템의 EMR(Electronic Medical Record) 에는외래기록, 입원기록, 수술기록, 마취기록, 의사지시, 간호기록, 임상관찰기록, 응급기록등이있고 PACS 에는 CT, MRI, X-Ray, 내시경, 초음파와같은영상자료가있다. 2. 관계법령및판단기준 서울대학교병원의 의무기록관리규정 제 15 조및 의무기록관리지침 에따르 면교수 전공의및허가를받은직원은환자진료, 병원경영, 외부기관제공등의 목적에필요한경우의무기록을열람할수있고타과소관환자에대하여는 [ 표 ] 와 같은정당한사유를입력한후의무기록을열람할수있으며, 서울대학교의과및 간호학과학생들은실습에필요한범위내에서열람할수있도록되어있다. - 35 -

[ 표 ] 타과소관환자의전자의무기록정당열람사유 구분 정당열람사유 1. 추가오더입력, 2. 미비기록작성, 3. 환자상담, 협진, 4. 진단서 / 의뢰서 / 사본발급, 5. 예정환자조회, 의사 6. 예정확인변경, 7. 약제업무, 8. 진료지원업무, 9. 원무보험, 10. 사전에승인된업무, 11. ( 삭제 ),12. 교육, 13. 출력, 14. 기타 ( 상기항목에해당되지않은여타의사유 ) 간호사 1. 미비기록작성, 2. 예정환자조회, 3. 특수부서, 4. 진료지원업무, 5. 교육, 6. 환자상담, 7. 사전에 승인된업무, 8. 출력. 9. 기타 ( 상기항목에해당되지않은여타의사유 ) 자료 : 서울대학교병원제출자료재구성 그리고 의료법 제23조제3항및제87조제1항의규정에따르면누구든지정당한사유없이전자의무기록에저장된개인정보를탐지하거나누출할경우 5년이하의징역또는 5천만원이하의벌금에처하도록되어있다. 따라서정당한사유가없는자가전자의무기록을무단열람하는일이없도록사전에의료정보시스템의접속을제한 차단하고전자의무기록무단열람이 의료법 에위배되고형사처벌대상이된다는사실을명확히고지하는등의방안을마련하여시행할필요가있다. 3. 감사결과확인된문제이와관련하여종합의료정보시스템에로그인하여타과소관환자를선택할경우경고문팝업창이뜨지만 현재진료중이아닌환자를선택하셨습니다. 환자정보에접근한이력이저장 보관및모니터링되고사후보안감사시소명자료제출등을요구할수있습니다 라고만되어있을뿐 의료법 위반으로형사처벌대상이된다는사실을고지하고있지아니하여무단열람을사전에방지하고경각심을주기에는한계가있었다. 또한타과를본인의진료과로임의등록할경우에는경고문팝업창이뜨지않아 - 36 -

열람사유선택이나비밀번호재입력등의절차없이타과소관환자의 EMR 열람이가능한문제가있었다. 그리고서울대학교의과및간호학과학생들의경우에도실습에필요한범위내에서만열람하도록규정한 의무기록관리지침 과달리의료정보에대한접근권한을의사나간호사와동일하게관리하고있어학생들이호기심에서전자의무기록을무단열람할우려가있었다. 더욱이 PACS에는경고문팝업창도없는실정이어서열람사유선택이나비밀번호재입력등의절차없이곧바로타과소관환자의 CT, MRI와같은영상자료를열람할수있었고, 종합의료정보시스템을통해 PACS에접속한경우에는종합의료정보시스템에서로그아웃하더라도 PACS에서는자동으로로그아웃되지않아다른사람이이를이용하여 PACS 자료를무단으로열람할가능성이있었다. 이와같이정당한사유가없는자의접속을사전에제한 차단하는기능이미흡하여이번감사원감사에서계 161명이故백남기전자의무기록을무단열람한것으로확인되는등환자개인정보가제대로보호되지못하게되는결과를가져왔다. 관계기관의견 서울대학교병원은감사결과를받아들이면서종합의료정보시스템 과의료영상저장전송시스템에정당한사유없는자의접속을제한 차단하고경고문 에전자의무기록무단열람이형사처벌대상이라는내용을명시하는등시스템을 조속한시일내에개선하겠다는의견을제시하였다. - 37 -

조치할사항 서울대학교병원장은종합의료정보시스템과의료영상저장전송시 스템에정당한사유가없는자의접속을사전에제한ㆍ차단하고전자의무기록무 단열람이 의료법 에위배되고형사처벌대상이된다는사실을명확히고지하는 등의료정보시스템을개선하는방안을마련하시기바랍니다.( 통보 ) - 38 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원