보건복지가족부는 의료기관의 정보보호(보안) 강화를 위하여, 500병상 이상 의료기관을 대상으로 하는 의료기관 개인정보보호 가이드라인을 마련,보급한다.
동 가이드라인은 최근 다양화 지능화되어 가는 사이버공격 급증에 대한 국민의 진료정보 보호를 위하여 마련됐으며, 500병상 이상 의료기관을 대상으로 하는 관리적 기술적 물리적 정보보호(보안) 내용을 담고 있다.
동 가이드라인 마련을 위해 정부는 의료계 변호사 보안전문가 등이 참여한 ‘의료기관 정보보호협의체’를 운영했으며 2010년 1월 26일에는 가이드라인(안)에 대한 공청회가 개최된 바 있다.
의료기관 개인정보보호 가이드라인은 개인정보 보호 및 보안 관리조직, 인적자원 관리, 정보시스템 운영 및 보안관리, 네트워크 및 로그관리, 백업 및 저장매체 관리, 사용자 인증 및 접근권한 관리, 침해사고 예방 및 대응 등 관리적 기술적 물리적 정보보호(보안)에 관한 내용을 주요 내용으로 담고 있다.
다만, 정보주체의 동의, 진료정보의 수집 및 제공 등에 관한 사항은 사회적인 논의가 필요함에 따라, 이번 가이드라인에서는 제외되었다.
이번 가이드라인은 의료기관의 정보보호(보안)업무의 실무자료로 활용되어, 국내 의료기관의 정보보호(보안) 수준 향상에 기여할 것으로 기대된다.
*의료기관 개인정보보호 가이드라인(안)주요 내용
□ 목 적
본 가이드라인은 문서, 컴퓨터, 정보의 처리 또는 송수신 기능을 가진 이동식 기기 장치에 의하여 의료기관에서 처리되는 진료와 관련된 개인정보의 보호 및 보안에 관한 사항을 정함으로써, 의료기관의 개인정보 처리 업무의 적정한 수행을 도와주고 국민의 권리를 보호함을 목적으로 함
□ 기본 원칙
의료기관이 환자를 진료하는 과정에서 얻은 개인정보는 적절한 절차를 통하여 보호 및 보안되어야 함
○ 환자의 진료 과정에서 얻어진 개인정보는 환자 본인의 진료 목적과 이에 수반되는 진료 지원 업무에 사용되어야 함
○ 환자 본인의 진료와 이에 필수적으로 수반되는 진료지원업무 외에 개인정보를 사용하기 위해서는 환자의 동의를 얻거나, 법률에 이를 허용하는 근거가 있어야 함
□ 적용 범위
의료기관이 개인정보를 처리하는데 있어서 “의료법”, “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 또는 “공공기관의 개인정보보호에 관한 법률” 등의 법률 적용을 받는 경우에는 해당 법률, 시행령, 시행 규칙이 규정하는 바에 의한다.
□ 개인정보보호 및 보안에 관한 관리적 지침
○ 개인정보보호위원회 구성 및 운영
○ 개인정보관리책임자, 보호 및 보안 실무책임자의 지정
○ 개인정보보호 감사 및 외부 안전진단
○ 인적자원 관리
- 채용시 관리, 직무수행 관리, 교육 및 훈련, 직무변 경 및 퇴직 관리 등
- 외부자 및 위탁업체에 대한 관리
○ 정보자산 관리
- 정보자산의 목록화, 관리자 지정, 보안등급 평가 등
□ 개인정보보호 및 보안에 관한 물리적, 기술적 지침
○ 개인정보 보호구역 출입통제
○ 정보시스템 운영 및 보안관리
- 운영 및 보안관리 절차, 과부하 모니터링, 접근통제, 로그온절차, 악성코드 통제 등
○ 정보시스템 도입절차, 변경절차 및 관리
○ 네트워크 관리
- 접근통제, 유무선 네트워크 보안관리, 원격 네트워크 접속 제어
○ 정보시스템 사용로그 모니터링 및 보안감사 로그
○ 백업 및 저장매체 관리
○ 사용자 인증 및 접근권한 관리
○ 사용자 지침
- 패스워드 사용 관리, 자리비움시의 정보시스템 보안, 클린데스크 및 클리어스 크린
○ 침해사고 예방 및 대응
- 보안취약점 관리, 침해사고 대응계획 및 체계수립, 보안취약점 및 침해사고 대응
○ 프로그램 개발 지침
- 보안 요구사항 분석 및 명세화, 테스트 데이터의 보호, 소스코드에 대한 접 근통제, 외주 소프트웨어 개발, 입력데이터 검증 등
○ 암호화 통제
○ 보안 관제