2020-10-21 19:00 (수)
[MPIS2014] 개인정보 관리에 대한 내부관리계획 수립 필수
상태바
[MPIS2014] 개인정보 관리에 대한 내부관리계획 수립 필수
  • 길민권
  • 승인 2014.06.02 16:13
이 기사를 공유합니다

KISA 김호성 팀장 “개인정보 관리에 대한 내부관리계획 수립 필수”
개인정보보호에 대한 사회적 요구가 커져가는 가운데 지난 5월 28일 국내 국공립, 대학, 민간 의료기관 개인정보보호 및 정보보안 담당자 대상 ‘2014 의료기관 개인정보보호·정보보안 컨퍼런스 MPIS 2014’가 300여 명의 의료기관 실무자가 참석한 가운데 성황리에 개최됐다.
 
이날 첫 발표는 한국인터넷진흥원 김호성 팀장의 ‘의료기관 개인정보보호법 기술적·관리적 조치 방안’이었다.

 
김 팀장은 “오는 8월 7일부터 주민번호 수집 법정주의가 적용돼 원칙적으로 모든 개인정보처리가자의 주민번호 처리가 금지된다. 또 기존 보유하던 주민번호 중 법령 상 근거가 없는 경우 법 시행 후 2년 이내 파기해야 한다”고 강조하고 “주민번호 유출 등 사고가 발생할 경우 과징금 5억원 이하 부과 및 CEO 및 책임있는 임원이 징계대상에 포함된다”고 설명했다.
 
또한 “오는 2016년 1월 1일부터 고유식별정보중 주민등록번호는 영향평가, 위험도분석에 관계없이 내외부망 저장시 의무적으로 암호화해야 한다고”고 강조했다.
 
더불어 네트워크 및 시스템 안전성 확보조치 사항에 대해 “병원정보시스템, 전자결재시스템 등 DBMS, 첨부문서에 포함된 개인정보 암호화 및 삭제 조치 등이 필요하고 권한관리도 해야 한다”며 “특히 홈페이지에 대한 조치로 전송시 SSL 등의 암호화 조치, 정보주체의 비밀번호 작성규칙 적용, 임시 저장파일의 암호화 대상 개인정보인 경우 조치해야 하고 홈페이지 설계시 보안적용, 취약점 점검 등 개인정보 유?노출 방지조치를 철저히 해야 한다”고 당부했다.
 
기관내 개인정보 관리에 대한 기본 계획이 되는 ‘내부관리계획’ 수립도 강조했다. 전사적, 종합적으로 수립하고 조치에 필요한 예산확보 병행, 최고 경영층의 결재, 보호책임자 인사명령, 모든 임직원, 파견근로자, 시간제 근로자가 준수할 수 있도록 공표 및 교육, 업무위탁에도 반영되도록 조치, 준수여부의 주기적 점검 등을 강조했다.  
 
또 접근권한 관리도 강조했다. 김 팀장은 “개인정보처리시스템 접근권한을 업무수행에 필요한 최소한 범위로 업무담당자별 차등부여해야 하고 개인정보취급자 변경 시 지체없이 개인정보처리 시스템의 접근권한 변경 또는 말소, 권한부여, 변경, 말소 내역 기록 및 최소 3년간 보관, 개인정보취급자별 한 개의 사용자 계정 발급 및 공유 금지 등이 지켜져야 한다”고 당부했다.
 
암호화 대상 개인정보는 주민번호, 여권번호, 운전며허번호, 외국인등록번호 등 고유식별번호와 비밀번호, 바이오정보 등이며 내부관리계획에 따라 암호화 여부를 주기적으로 확인해야 한다는 것. 더욱이 불필요한 개인정보 보유는 금지하고 개인정보처리시스템인 DBMS에 대한 암호화 조치가 필요하다. 업무용 컴퓨터 암호화는 문서도구 자체 암호화, 암호 유틸리티를 이용한 암호화, DRM을 이용한 암호화, 디스크 암호화 방법 등이 있다.
 
한편 김 팀장은 “개인정보취급자 접속기록은 최소 6개월 이상 보관 관리해야 한다. 또 접속기록이 위변조, 도난, 분실되지 않도록 안전하게 보관하고 주기적으로 확인해야 한다”고 덧붙였다.
 
보다 자세한 사항은 데일리시큐 자료실에서 발표자료 다운로드를 통해 확인할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com