‘500병상 이상 의료기관은 안정적이고 체계적인 정보보호를 위해 개인정보보호위원회를 운영해야 한다’

보건복지가족부는 의료기관의 정보보호(보안) 강화를 위해 500병상 이상 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인’을 마련해 보급한다고 밝혔다.

이 가이드라인은 최근 다양화·지능화돼 가는 사이버공격 급증에 대한 국민의 진료정보 보호를 위한 것으로 △개인정보 보호 및 보안 관리조직 △인적자원 관리 △정보시스템 운영 및 보안관리 △네트워크 및 로그관리 △백업 및 저장매체 관리 △사용자 인증 및 접근권한 관리 △침해사고 예방 및 대응 등 관리적·기술적·물리적 정보보호(보안)에 관한 내용을 주요 내용으로 담고 있다.

하지만 정보주체의 동의, 진료정보의 수집 및 제공 등에 관한 사항은 사회적인 논의가 필요함에 따라, 이번 가이드라인에서는 제외됐다.

주요내용을 살펴보면 500병상 이상 의료기관은 개인정보보호위원회를 운영하고 위원회는 보호 실무책임자, 보안 실무책임자, 비 의료인으로서 기관 외 종사자 1인이 포함된 5인 이상의 위원으로 구성해야 한다.

1000병상 이상 의료기관은 개인정보보호 실무책임자(또는 실무담당자)와 보안실무책임자(또는 실무담당자)를 각각 전임자로 해 2인을 둬야 하며, 필요에 따라서 2인 중 1인은 아웃소싱 직원으로 임명할 수 있다.

또한 1000병상 미만 500병상 이상은 개인정보보호 실무책임자가 보안실무책임자를 겸하거나, 보안실무책임자가 개인정보보호 실무책임자를 겸할 수 있다. 다만 전임자로 임명해야 한다.
전임자는 정규직으로서 해당(정보보호 또는 정보보안) 업무를 주된 업무로 해야 한다.

특히 1000병상 이상 의료기관의 경우, 개인정보보호위원회에서 제정한 규정에 따라 감사를 시행해야 하며, 외부 안전진단은 2년에 한번 시행할 것을 권고했다.
500병상 이상 1000병상 미만의 의료기관의 경우도 감사를 시행해야 하며, 외부 안전진단은 3년에 한번 시행할 것이 권고됐다.

외부 안전진단을 시행할 경우, 안전진단 수행기관은 15명 이상의 정보보호 기술인력을 보유하고 최근 3년 이내에 정보보호컨설팅을 수행한 실적이 있는 법인이어야 한다.

한편, 의료기관 개인정보보호 가이드라인’은 복지부 홈페이지(http://www.mw.go.kr)의 정보마당 > 사전정보공표 > 사전정보공표자료 에서 다운로드 받을 수 있다.

복지부는 이번 가이드라인이 의료기관의 정보보호(보안)업무의 실무자료로 활용돼 국내 의료기관의 정보보호(보안) 수준 향상에 기여할 것이라고 기대했다.