솔루션 도입 전 필요항목 점검부터
병원에서 개인정보보호는 실제로 유출 사건이 있었느냐 아니냐의 문제만은 아니다.개인정보보호법이나 정보보호 관리체계(ISMS) 등의 규정은 유출 사건의 실제 발생 여부와 상관없이 개인 정보에 대한 보호 조치가 사전에 되어 있어야 한다고 요구하고 있음을 알 수 있다.
개인정보보호법과 과태료
올 해 9월 행정자치부가 국회에 제출한 자료에 의하면 개인정보보호법 위반으로 여러 병원에 과태료가 부과되었다. 주로 개인정보의 수집, 파기, 처리 위탁, 안정성 확보, 처리방침 수립 및 공개, 보호책임자 지정 의 과정에서 발생하는 법적 의무를 준수하지 않은 경우 과태료가 부과된 것이다.
개인정보 유출 사건의 발생
금융기관의 개인정보 유출 사건은 많은 국민들에게 개인정보보호에 대한 경각심을 일깨웠다. 의료기관 역시 혈액 샘플 유출, 산모 개인정보 유출 등을 비롯한 일련의 사건이 발생하였다. 중소병원은 물론 종합병원의 개인정보 관리가 사각지대에 놓여 있다는 평가도 있다.
의원급 병원의 정보보호
의원급 병원은 전산담당자가 없는 경우가 대부분이다.이런 곳은 외부 협력업체에게 홈페이지나 병원 운영 프로그램을 납품 받아 사용한다.이 때에 협력업체 직원이 프로그램 설치를 담당할 뿐 아니라 운영 중에도 이들에게 수시로 도움을 받을 수 밖에 없다.최근 5년간 건보공단에서는 다수의 직원이 개인정보를 무단 열람하고 일부 직원은 열람한 개인정보를 유출한 것으로 드러났다.협력업체 직원 또한 건보공단의 경우와 동일선상에서 정보유출 가능성을 보아야 할 것으로 보인다.
병원에서 개인정보란?
보건복지부와 행정자치부가 발간한 의료기관 개인정보보호 가이드라인을 보면 보호 대상으로 개인정보와 진료정보를 다음과 같이 정의하고 있다.
“개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
'진료정보'란 진료를 목적으로 수집하여 처리하는 개인정보가 포함된 정보로 진료기록부, 수술기록부, 조산기록부, 간호기록부, 환자명부 등으로 관리되는 정보를 말하고, 사망한 자의 진료정보도 포함한다.
병원 정보유출의 유형
병원이 보유하고 있는 개인정보는 주민번호나 신용카드와 같은 일반적인 자료뿐 아니라 혈액검사 결과나 여러 가지 영상 장비를 이용한 검사결과 및 환자의 병력관련 자료까지 민감한 내용을 포함하고 있다.이런 자료는 예기치 못하게 혹은 고의적인 방법으로 외부에 유출될 가능성이 상존한다.다음과 같은 상황을 가정해 볼 수 있다.
△환자 진료정보가 포함된 출력물,노트북 분실 △내부 직원에 의한 환자 개인 정보의 무단 열람
△내부 직원에 의한 환자 개인 건강정보 무단 유출 △홈페이지 등을 통한 환자 진료 정보의 인터넷 게시 △의료장비에서 환자 진료정보의 유출
문서중앙화 솔루션을 이용한 정보유출 방지
문서중앙화 솔루션 시장은빠른 속도로 확장되고 있다.문서중앙화 출현 이전에는 정보보호를 위해서DLP(Data Leak Prevention)와 DRM(Digital Rights management)솔루션을 함께 도입해야 했다.이제는 문서중앙화 솔루션 한 개만 도입하면 위의 기능 이외에 문서관리 기능도 함께 제공된다.솔루션만 잘 선택했다면 한 개의 회사에서 3가지 이상의 기능을 한꺼번에 납품 받는 것과 같은 효과를 얻을 수가 있다.
도입 비용의 절감 효과는 기본이고 관리자는 발생한 문제의 해결을 위해 여러 회사와 개별적으로 접촉할 필요가 없다.직원들 PC 에는 한 개의 에이전트만 설치되므로 문제 발생의 추적이 쉬워진다.의무화된 문서의 중앙 저장은 직원들로 하여금 자연스러운 문서 협업까지도 유도하게 된다.
직원PC 에는 문서저장이 금지되거나 일부 보안 저장공간에만 저장을 허용하기 때문에 대부분의 문서는 중앙에 저장된다.기본적으로 문서의 복사나 이동은 제한을 받기 때문에 문서를 내려 받거나 외부에 발송하기 위해서는 승인절차를 거쳐야 한다.
인쇄금지,워터마크,인쇄로그,클립보드 복사금지,화면캡쳐 금지 등과 같은 보안 기능이 제공되기도 한다.그 밖에도 솔루션에 따라서는 모바일 지원,업무 중 네트워크 차단,외부 발송 문서의 라이프사이클관리,협력사와 안전한 문서교환,백업 등과 같은 여러 추가적인 기능을 제공하기도 한다.
추가 고려 사항
이러한 솔루션을 도입할 때에 추가적으로 고려할 사항은 다음과 같은 것들이 있다.
재택 근무자 대상 정보보호 :퇴근 후 작업하는 직원 또는 회사 방침에 따라 종일 집에서 근무하는 직원에 대한 정보유출 방지 가능한 환경의 제공. VPN, Proxy 서버 등을 통한 외부 접속 환경의 보안성 확보 및 작업중인 PC 에서 정보유출 방지 기능 제공이 가능한지 확인 필요.
외주 인력 대상 정보보호 : 의료기관에서 환자 등의 개인정보 처리업무(예 : 진료 신청서 처리사무, 진료비 수납사무, 연말정산사무, 각종 증명서 발급사무 등)를 위탁하는 경우. 일반 직원에 준하는 정보 보안 환경을 제공.
협력사 대상 정보보호 :예외적으로 원격지에 있는 협력사 사무실로부터 병원이 보유한 자료를 사용하는 경우 해당 PC 에 대한 정보 보안 환경의 제공 여부.
문서중앙화 솔루션 도입 시 고려사항
보안 솔루션을 선택하여 대가를 지불하고 난 후에 잘못된 선택을 하였음을 알게 된다면 이만저만한 낭패가 아니다.실패 없는 솔루션 도입을 위해 필요한 고려 사항 몇 가지를 다음과 같이 정리하였다.
1. 도입의 목적과 범위를 정의한다.공급업체가 제공하는 제품 기능목록에만 의존하지 말고 우리 회사가 정말 필요로 하는 기능은 무엇이고 어느 부서가 해당 기능을 필요로 하는지 병원이 주도적으로 준비해야 한다.필요 이상의 구매를 막고 제품의 잘못된 선정으로 인한 피해를 없애기 위한 것이다.
2. 제품 기능 시험을 실시한다.공급업체 영업사원의 말과 글에 의존하지 말고 실제 제품을 사내에 설치하여 기능을 확인해야 한다.시험할 기능 목록을 철저히 준비하고 각 시험 항목의 의미를 정확히 파악하여 얼렁뚱땅 요식행위의 시험이 되지 않도록 한다.
3. 공정한 의사 결정을 한다.위 선의 청탁을 배제하고 공정성을 잃지 말아야 하며 각 기능별 중요도에 따른 가중치를 적절히 배분하여 최상의 선택이 되도록 노력한다.
4. 계약 및 프로젝트 진행은 적절한 기간을 사전에 협의하여 진행한다.무리한 일정을 세우기 전에 솔루션 업체와 충분히 편안한 분위기에서 추진 일정을 협의한다.원내에서 프로젝트 진행 담당자를 지정하여 되도록 담당자 변경 없이 프로젝트를 완료하도록 한다.특히,보안 프로젝트는 직원들의 자발적 참여가 중요하기 때문에 경영진이 직접 보안교육을 통해 프로젝트의 중요성을 알리는 것이 중요하다.
마지막으로,문서중앙화 솔루션 도입을 고려중인 병원 담당자 분들께 조금이나마 도움이 되는 글이었기를 바라며 안전하고 신뢰할 수 있는 고객 정보 관리에 일조를 했으면 하는 마음으로 글을 맺는다.
