2019-10-23 18:31 (수)
[MPIS 2019] 경우호 병원정보보안협의회 회장, 의료기관 개인정보보호 자율점검 계획 발표
상태바
[MPIS 2019] 경우호 병원정보보안협의회 회장, 의료기관 개인정보보호 자율점검 계획 발표
  • 길민권 기자
  • 승인 2019.05.27 23:51
이 기사를 공유합니다

자율점검 심사원 수요조사 실시해 심사원 자격 등급에 따라 현장확인 심사원 임명

▲ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019에서 경우호 병원정보보안협의회 회장이 '의료기관 개인정보보호 자율점검'을 주제로 강연을 진행하고 있다.
▲ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019에서 경우호 병원정보보안협의회 회장이 '의료기관 개인정보보호 자율점검'을 주제로 강연을 진행하고 있다.
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019가 5월 23일 더케이호텔서울 가야금홀에서 300여 명의 국공립, 대학, 대중소 병원 정보보안 실무자들이 참석한 가운데 성황리에 개최됐다.

이 자리에서 경우호 병원정보보안협의회 회장(아산병원)은 ‘의료기관 개인정보보호 자율점검’을 주제로 강연을 진행해 참관객들의 큰 호응을 얻었다.

경우호 회장에 따르면, 개인정보보호 자율점검은 개인정보보호법에 의거, 전 산업 분야의 개인정보 활용으로 개인정보 유출 위험과 기업의 개인정보 관리부담이 늘어남에 따라 개인정보보호를 위해 민간 협〮단체를 자율규제단체로 지정해 기업의 자율적인 개인정보보호 활동을 촉진하고자 마련된 제도다. 이에 의료분야 대한병원협회, 대한치과의사협회, 대한약사회 등이 자율규제단체로 지정 운영되고 있다.

병원급 의료기관 개인정보보호 자율점검은 대한병원협회가 2016년 10월 13일부터 담당하고 있다. 개인정보보호 교육 및 홍보 활동, 개인정보보호 자율규제 규약의 제,개정, 개인정보보호 자율점검 및 컨설팅, 개인정보보호 관리 시스템의 설치 및 운영, 그 밖의 개인정보보호에 관한 업무 등을 맡고 있다.

경우호 회장은 “최근 행안부 실태점검 결과, 00병원은 주민등록번호를 업무용 컴퓨터에 저장할 때 암호화하지 않았고 의료정보관리 시스템에 비밀번호를 저장할 때도 암호화하지 않았다. 또 의료정보관리 시스템 접속기록을 관리하지 않은 것 등이 적발돼 1,300만원의 과태료를 부과받았다”고 전하고 또 “00의료재단은 주민등록번호를 저장 및 전송할 때 암호화하지 않았으며 접속기록을 법령에서 정한 6개월 이상 보관하지 않아 과태료 1200만원을 부과받은 사례가 있다”고 설명했다.

현재 의료기관 자율점검은 △자율규제 규약 동의서 △의료기관 개설 허가증 △대한병원협회 개인정보보호 자율점검표를 점검기관에 제출하고 청구소프트웨어는 2018년 8월 1일부터 보안기능 검사 신설 등 검사 등에 관한 기준이 개정 고시됨에 따라 올해 8월 1일까지 보안기능 검사를 받아야 한다.

청구소프트웨어 보안기능 검사 항목은 총 18건으로, 접근권한 관리 및 통제 10건, 개인정보 암호화 2건, 접속기록 관리 4건, 개인정보 파기 2건 등이다.

청구소프트웨어 보안점검 절차는 검사신청-증명자료 제출-제출자료 확인-원격(현장) 검사-검사승인 순서로 이루어진다. 다만 ISO27001, ISMS, PIMS, 의료기관 인증, 개인정보보호 자율규제단체의 현장점검 등을 받으면 원격(현장)검사가 생략된다.

개인정보보호 자율점검표 체크리스트는 필수 45개, 권장 4개 항목으로 구성돼 있으며 필수항목 미준수 시 벌금 및 과태료가 부과된다. 권장항목은 미준수 시 직접적인 불이익은 없지만 개인정보보호 인식 및 보호 체계 향상을 위해 수행을 권장하고 있다. 다만 정통망법에 따라, 정보보호 관리체계(ISMS) 인증을 취득한 병원은 개인정보보호 자율점검표 점검 항목 중 ISMS 제외 표시 항목은 점검에서 제외된다.

이어 경우호 회장은 2019년 개인정보보호 자율점검 규약 변경 사항에 대해서도 설명했다. 이 부분은 발표자료를 참고하면 된다.

또 자율규제 활동 인센티브 변경 사항은 자율규제협의회(행안부)에서는 자율규제단체의 수행결과를 매년 평가해 우수 기관을 선정하고 우수기관에서 실시한 자율점검에 참여한 기관에 대해서만 인센티브를 제공한다. 자율규제단체 소속 회원사가 자율규제 규약을 충실히 준수하고 자율점검을 성실히 수행해 수행결과가 우수하다고 인정되는 경우에는 자료제출 요구 및 검사를 1년간 면제받는다.

자율규제 단체 운영 전문위원회 구성은 15인 이내로 구성된다. 법률 및 학계 전문가 3명, 대한병원협회 2명, 병원 보안, 전산 전문가 10명 등이 포함된다.

이어 경 회장은 개인정보보호 자율점검 심사원 운영방안에 대해 설명했다. 심사원 운영은 대한병원협회가 자율규제단체 전체 업무를 주관하며 병원정보보안협의회가 심사원 관리 및 운영, 심사원 자격 확인, 심사원 교육 등을 지원하게 된다.

현장 점검 심사원 수요조사는 대한병원협회와 병원정보보안협의회에서 수요조사를 실시할 예정이며 심사원 자격 등급에 따라 현장확인 심사원으로 임명한다. 또 연중 자체 양성한 현장확인 심사원들이 현장확인을 실시할 예정이며 병원정보보안협의회 법인 설립 이후에는 정보보안협의회 자격증으로 심사원 자격을 변경할 예정이다. 심사원은 자격요건에 따라 선입심사원, 심사원, 심사보 등으로 구분된다. 특히 심사원 수요조사에 참여해야만 심사원 자격이 부여되고 심사원 전문교육 이수시에만 심사원 활동이 가능하다. 심사원 전문교육 참여 자격은 병원정보보안협의회 회원에게만 부여된다.

한편 2019년 개인정보보호 자율점검 계획은 다음과 같다.

△청구소프트웨어 및 개인정보자율점검 현장 실사(2월~6월) : 3개 병원 실시
△자율규제 규약 체결 검토 및 자율점검표 작성 (5월)
△대한병원협회 회원사 대상 개인정보 전문 교육 및 자율점검 안내 포럼 실시 (5월30일, 11월)
△개인정보보호 자율점검심사원 전문 교육 실시(3월, 6월, 9월, 필요시)
△개인정보보호 온라인 교육 운영 (상시)
△개인정보보호 자체 현장 확인 점검, 교육 및 컨설팅 수요조사 실시(연중)

자율점검은 △자율점검 참여 기관 현장 이행 확인: 5년에 1회 점검 의무화(청구소프트웨어 보안 검사 현장확인 요청시 동시 진행 가능) △자율규제단체 교육 참여 의무화(1기관 1회 이상) △개인정보보호법 비정형(이미지-의무기록지, 검사지 등) 암호화 관련 중점 확인 △온라인 자율점검시스템을 이용한 자율점검 실시(2019년) 등으로 이루어질 예정이다.

경우호 병원정보보안협의회 회장의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★