check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[의료 정보보호①] 정보보호 중복규제 해법 찾기

한기태 회장 “비효율적 중복 규제, 의료기관 정보보호 약화 등 부작용 발생할 수도 있어”

길민권 기자 mkgil@dailysecu.com 2016년 08월 31일 수요일
▲한기태 대한병원정보협회 회장

의료기관 정보보호의 중요성이 더욱 강조되고 있는 가운데 데일리시큐는 의료기관 최전선에서 오랜기간 정보보호 업무를 담당해 온 실무자들의 입을 통해 현장의 생생한 이야기를 전달하는 코너를 마련했다. 의료기관 간의 정보공유에도 도움이 될 것이고 공통된 의견을 관계기관에 전달하는데도 효과적인 역할을 할 것으로 기대한다. 그 첫번째로 한기태 대한병원정보협회 회장(건국대학교병원 근무)의 기고문을 게재한다. 한 회장은 의료기관 정보보호 책임자로 오랜기간 경험과 노하우를 가지고 협회 리더역할을 담당해 오고 있다. 다음은 한기태 회장의 ‘정보보호 중복규제 해법 찾기’ 기고 내용 전문이다. (편집자 주)

1. 공공기관별 정보보호 감사 현황
2016년 6월 2일부로 정보보호관리체계(ISMS: information security management system) 의무인증이 전국 43개 상급종합병원을 대상으로 고지되었다. (정보통신망법 제47조) 의료기관이 보유하고 있는 의료정보시스템이 ISMS 의무인증을 받는 대상이 된 것은 환자 정보보호의 중요성이 강조되는 현 시기와 맞물리는 상황이다.

이를 계기로 다 수의 의료기관이 공공기관으로부터 규제를 받게 되었으며, 중복된 규제항목을 대응해야 하는 이중의 어려움을 겪고 있는 실정이다.

아래 표1은 공공기관별 정보보호 감사비교표와 관련 법적 근거다.

▲표1. 공공기관별 정보보호 감사 비교표

정보보호에 관련된 법률은 기관별로 행정자치부의 ‘개인정보보호법과 개인정보보호관리체계인증’, ‘미래창조과학부의 정보통신망법과 정보보호관리체계 의료기관 의무인증’, ‘보건복지부의 의료기관인증의 개인정보보호 관련 항목’이 있다.

감사주기는 매년, 2년, 4년 등이 있으나, 매년 받는 정보보호 감사가 대부분이다.

2. 정보보호감사 중복규제 항목 현황
정보보호감사 유형별 통제항목은 평균 100개의 항목이 있다.

아래 표2는 감사유형별 중복된 통제항목 현황이다.

▲표2. 감사유형별 중복된 통제항목

통제항목을 그룹으로 나누어 보면 ‘정보보호 정책 및 규정’, ‘정보보호위원회 활동 및 내부관리계획’, ‘개인정보 침해 및 대응’, ‘물리적보안 및 접근통제’, ‘영상정보처리기기 운영’, ‘기타’ 등 6개의 그룹으로 나눌 수 있고, 대부분의 정보보호감사는 6개의 그룹으로 중복된 통제항목으로 구성되어 있다.

그러므로 정보보호감사를 받는 의료기관은 유형별로 증적자료를 모두 만들어야 하므로 정보보호 실무담당자들의 업무가 늘어가고 있는 상황이다.

3. 상급종합병원 정보보호 조직 및 인력
정보보호관리체계의 의무인증으로 의료기관은 정보보호 전담조직과 인력이 필요하게 되었다. 그러나 현실은 전담부서와 전담인력이 없는 관계로 조직적인 정보보호 활동을 못하는 실정이다.

▲표3. 상급종합병원 전임 정보보호 담당자 현황

정보보호조직은 IT부서와 별도로 조직을 구성하고 운영해야 하지만, 의료기관은 정보기술부분(시스템관리자, 네트워크관리자 DB관리자 등)업무와 정보보호 업무가 명확히 구분되어 있지 않으므로, 정보보호 업무경험을 쌓을 동안 IT부서내에 정보보호 조직을 두는 것도 하나의 방안이 될 수 있다.

하지만 장기적으로 정보기술부문 인력과 정보보호 인력의 직무는 분리해야 업무의 효율성 및 전문성이 강화될 것으로 생각한다.(정보보호관리체계 ‘직무분리’ 통제항목)

현재 전담조직이 없는 31개 상급종합병원의 정보보호 담당자는 정보기술부분 업무를 겸임하고 있으므로 시급히 개선이 필요하지만, 이를 해결하기 위해 의료기관은 인력 및 비용이 늘어나게 되는 문제를 안고 있다.

4. 중복규제 해결 방안
①중복규제에 대한 제도 개선안

▲표4. 중복규제에 대한 제도 개선 안

두 개의 인증을 받기 위해 각각의 인증심사비가 소요되고 또한 전문인력이 부족해 정보보호 컨설팅이 필요한 상황으로 의료기관은 예산을 낭비하게 된다.

개인정보보호법과 정보통신망법의 정보보호에 관한 법규는 하나로 통폐합이 필요하며 통합된 정보보호관리체계를 인증을 받는 경우에는 의료기관인증 평가항목 중 개인정보보호 및 보안 항목은 제외되어야 한다.

②중복규제에 대한 의료기관의 대응 방안

▲표5. 중복규제에 대한 대응 방안

의료기관에서 보유하고 있는 환자의 진료정보는 보호되어야 할 중요한 정보로써 의료기관은 적정 수준의 안정성 확보조치를 취해야 한다.

환자의 진료정보가 유출 될 경우 의료기관은 경제적인 손실과 더불어 환자인권에 심각한 피해를 줄 수 있으므로 의료기관은 정보보호에 적극적으로 나서야 한다.

그러나 공공기관의 비효율적인 관리 및 강제화는 정보보호를 하는 의료기관의 업무 과중 및 정보보호의 약화와 같은 부작용이 나타날 수 있으므로 어떤 규제가 의료기관의 정보보호 강화에 도움이 될지 검토가 필요할 것이다. [글. 대한병원정보협회 회장 한기태. 건국대학교병원 근무]

★정보보안 & IT 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록