의료기관에서 취급하는 정보는 일반 인터넷 사이트에서 다루는 개인정보와 차원이 다르다. 주민등록번호 등 고유식별번호 뿐만 아니라 환자 병력 정보까지 취급하고 있어 유출시 상당한 파장이 예상된다.

 
보건복지부 의료기관 개인정보보호 담당 김준태 사무관(사진)은 “개인정보보호법은 일반법, 보건복지 분야 관련 법령 중 개인정보보호 관련 조항이 있는 경우 우선 적용된다”며 “고유식별정보인 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 등은 원칙적으로 법령 등에 근거한 경우가 아니라면 처리가 금지된다. 특히 고유식별정보 처리시 암호화 등 안전조치는 의무사항”이라고 강조했다.
 
또 김 사무관은 의료기관에서 대형 정보유출 사고가 발생한다면 상당한 파장이 예상되는 민감한 사안이라고 강조하고, 만약 유출 사고 발생시 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법으로 개인정보 유출 사실을 통지해야 하며 1만명 이상 개인정보 유출 시, 통지와 동시에 인터넷 홈페이지에 7일 이상 게재 해야 한다. 또 유출사실 인지후 5일 이내 행정자치부, 한국정보화진흥원, 한국인터넷진흥원 등에 신고하고 유출 확산 방지 및 피해복구 등을 실시해야 한다.
 
이외 김준태 사무관이 강조한 의료기관 개인정보보호 주요 점검 사항은 아래와 같다.  
-개인정보보호책임자 지정
-각 부서별 개인정보 담당자 지정
-개인정보보호 담당자 지정
-내부관리계획수립, 시행
-내부관리계획의 필수 반영사항 4개 포함 여부
-개인정보보호 교육(일반 직원 및 수탁사 포함)
-개인정보 제공 시 제공 목적범위 내 이용
-개인정보 파기(임시파일, 출력자료 즉시 파기, 진료기록부 파기, 문서파쇄기 여부)
-재위탁 제한에 관한 사항
-수탁사 관리
-개인정보처리방침 수립 및 작성방식
-전산실 이중 잠금 장치 설치
-USB 외부유출 방지 솔루션 도입
-DB암호화
-홈페이지 비밀번호 암호화 적용
-인터넷 홈페이지의 개인정보 노출 방지를 위한 보안조치 실시 여부
-전보, 퇴직 등 인사이동으로 취급자가 변경될 경우 접근권한 변경 또는 말소 여부
-개인정보처리시스템 접속자 로그 보관(취급자의 접속기록을 최소6개월 이상 보관?관리 여부)
-P2P, 웹하드 등 비인가 프로그램, 공유 설정 등에 대한 접속 차단 실시 여부
-고유식별정보의 내부저장 시 암호화 조치 또는 그에 상응하는 조치 적용 여부
-법령에 따라 보존할 경우 별도 분리 보관 여부
 
지난달 28일 데일리시큐 주최 의료기관 개인정보보호&정보보안 컨퍼런스에서 발표한 김준태 사무관의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. 이날 MPIS 2015는 국내 국공립 의료기관 및 대학, 중소병원 개인정보보호 및 정보보안 담당자 300여 명이 모인 가운데 성황리에 개최됐다. 또한 최신 의료기관 보안솔루션을 소개하는 전시회도 동시에 개최돼 의료기관 실무자들에게 실질적 보안정보를 제공했다.  
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com