2023년 개인정보보호 자율점검을 준비 중인 병원들은 개정된 개인정보보호법의 개인정보 처리방침과 의료법 개정안의 수술실 내 CCTV 설치 및 운영에 대한 내용을 반드시 숙지하고 주의를 기울여야 할 것으로 보인다.

한국인터넷진흥원(KISA) 옥은택 전문강사(포유시큐리티)는 9월 14일 서울 코엑스 ‘K-HOSPITAL FAIR’ 전시장 내 3세미나실에서 진행된 ‘2023년도 대한병원정보협회 추계학술세미나’에서 ‘대한병원협회 개인정보보호 자율점검 안내 및 개인정보보호법(개보법) 주요 개정사항’을 소개하며 이같이 밝혔다.

올해 자율점검 중점점검 항목으로 개인정보 처리방침과 관련된 내용들이 포함되고 수술실 내 CCTV는 신규 점검항목으로 도출됐기 때문이다.

지난 3월 개보법이 개정됨에 따라 제30조(개인정보 처리방침의 수립 및 공개)와 제30조의2(개인정보 처리방침의 평가 및 개선권고)가 신설되는 등 변화가 생겼다.

이에 2023년 자유점검 시 자율점검표 항목 중 △개인정보 처리방침 필수사항 작성부분(59번 항목) △개인정보 처리방침 라벨링 적용 부분(61번 항목) △개인정보 처리방침 공개 부분(60번 항목) △개인정보 처리방침 개정이력 부분(60번 항목)이 중점점검 항목으로 도출됐다. 따라서 2023년 자율점검 시 자율점검표에서의 중점점검 항목은 증빙자료를 추가로 제출해야 한다.

옥은택 강사는 “4개 중점점검 항목에 대한 자율평가를 수행(양호, 개선필요, 해당없음)하고 4개 중점점검 항목에 대한 증빙자료를 추가로 제출해야 한다”고 강조했다.

자율점검 수행 결과 주요 미흡사항으로는 △개인정보 처리 현황 파악 미흡 및 논리적 오류 △개인정보 수집 서식(화면)에 따른 수집 및 제3자 제공 동의 사항 미흡 △개인정보 제3자 제공과 위탁에 대한 분류 및 수탁자 관리감독 미흡 △개인정보의 안전한 보관 및 보유기간 경과 시 파기 미흡 △개인정보처리시스템 및 업무 PC에 대한 안전한 보호조치 미흡 △그 외 개인정보 보호를 위한 체계적인 관리체계 수립이 미흡하다고 지적했다.

옥 강사는 자율점검 체크포인트로 개인정보처리방침 필수사항이 누락없이 작성되어 있는지 여부, 개인정보처리방침이 홈페이지 또는 사업장에 정보주체가 쉽게 확인할 수 있도록 공개되어 있는지 확인이 필요하며 공개된 개인정보처리방침 작성 지침을 준수해 라벨링을 적용해 개정되었는지 확인하고 개인정보처리방침의 개정사항에 대한 이력 관리를 통해 이전 개인정보처리방침을 확인해 처리했는지 확인해야 한다고 했다.

무엇보다 중점점검 항목에 대한 증적자료를 첨부해 자율점검을 수행해달라며 △개인정보처리방침 전문이 보이도록 화면캡쳐 또는 스캔 △홈페이지 공개 시 개인정보처리방침이 공개된 화면캡쳐 또는 사업장 공개 시 공개된 사진제출 △이전 개인정보처리방침을 확인할 수 있는 화면 캡쳐 또는 스캔을 언급했다.

특히 개인정보처리방침 관련 미흡사항으로 △일부 회원사는 홈페이지 개발업체가 개발 시 작성한 ‘개인정보처리방침,’ ‘개인정보취급방침’ 등 필수사항 미 반영 및 일반적인 내용으로만 작성되고 회원사의 개인정보 처리내용이 반영되지 않은 경우 △회원사의 개인정보 처리내용(예: 처리목적, 처리항목, 보유기간, 제3자 제공, 개인정보 처리업무 위탁 등)에 대한 정확한 분석을 하지 않고 작성한 경우 △개인정보처리방침의 필수사항을 일부 누락해 작성한 경우 △사업장만 운영 시 개인정보처리방침을 작성하지 않는 경우 등을 제시했다.

또한 신규지표로 도출된 수술실 CCTV 관련 자율점검 체크 포인트로 △수술실 내 CCTV는 폐쇄회로텔레비전으로 설치되어 있는지와 사각지대를 최소화하였는지 여부 △수술실에 설치된 CCTV는 일정한 방향을 지속적으로 촬영하여야 하고 임의조작 및 녹음이 되지 않도록 해야 함(다만, 환자 및 수술에 참여한 의료인 등 모두의 동의를 받은 경우라면 녹음은 가능함) △수술실 촬영은 환자 또는 환자의 보호자가 요청한 경우 촬영을 실시하도록 하고 있는지 여부 △촬영한 영상정보에 대하여 안전한 관리를 위해 의료법 시행규칙 제34조의7 사항 준수 여부 △촬영한 영상정보는 30일 이상 보관하고 내부관리계획에 정한 주기에 따라 삭제하는지 여부 등을 반드시 확인해야 한다고 옥 강사는 소개했다.

그러면서 △수술실 CCTV는 기존 설치된 CCTV와 네트워크 분리 등 보호조치를 구분 △수술실 CCTV 운영을 위한 별도의 내부관리계획 등 정책서를 수립하여 운영하는 방안 고려 △수술실 CCTV에 촬영된 영상정보는 민감정보에 해당, 관리자가 임의 조회 등 하지 않도록 기술적 통제 등을 중점사항으로 꼽았다.

옥 강사는 “수술실 CCTV는 설치를 했는지와 운영이 잘되고 있는지가 관건으로 설치와 운영으로 나눠 유의해야 한다”면서 “이를 위해 의료법과 시행규칙, 정부 가이드라인을 참고해 병원협회와 유의사항을 마련했다”고 말했다.

그는 “설치 관련해 필수적인 부분은 HD급 고해상으로 설치하되 임의조작은 불가하고 사각지대 최소화하는 것과 녹음금지(모두 동의시 가능) 기능, 촬영시 마취시부터 수술실 퇴실시까지(촬영 on/off 기능, 상시 녹화 CCTV설치 불가)”라면서 “다만, CCTV 카메라의 경우 TTA 인증 제품을 권고한다”고 말했다.

영상정보 저장(NVR)에 대해선 30일 이상 보관(저장공간 확보), 네트워크 분리, 물리적 접근 통제(잠금장치 또는 훼손 방지 장치 구비 등 보호조치)가 필수요소며 영상정보 저장시 암호화(영상정보 유출 대응 예방)가 권고사항이라며 자율점검시 유의 사항대로 했다면 양호라고 했다.

또 운영은 영상정보 관리 PC 및 SW가 핵심으로 영상정보만 관리하는 PC가 반드시 필요하고 암호화 조치는 강화해야 한다면서 컴퓨터 사용 기록을 남겨야 하고 접근 통제 및 접근권한 관리 최소화하는 게 필수적이고 영상정보 모니터링 출력 화면 마스킹(블러딩) 조치는 권고사항이라고 옥 강사는 전했다.

영상정보 열람 및 제공 요청 시에는 범죄의 수사와 공소의 제기 및 유지, 법원의 재판업무 수행을 위해 관계 기관(수사 기관 또는 법원)이 요청하는 경우, 의료사고 피해 구제 및 의료분쟁 조정 등에 관한 법률 제6조에 따른 한국의료부쟁조정중재원이 의료분쟁의 조정 또는 중재 절차 개시 이후 환자 또는 보호자의 동의를 받아 해당 업무의 수행을 위해 요청하는 경우, 환자 및 해당 수술에 참여한 의료인 등 정보주체 모두의 동의를 받은 경우에는 영상정보 열림‧제공이 가능하다고 했다.

옥 강사는 “환자가 수술에 참여한 모든 의료인 대상으로 동의를 받고자 의료기관에 의료인의 연락처를 요청한 경우 해당 의료인에게 별도 동의를 받아 제공하는 게 바람직하다”고 말했다.

이어 “영상정보 열람 또는 제공을 요청하는 절차는 열람요청서를 제출하고 해당 기관임을 증명하는 서류와 정보주체 모두로부터 받은 열람동의서를 제출해야 한다”며 “2차 유출방지 예방을 위해 영상정보 대상 정보주체로부터 마스킹(블러딩) 처리 등 동의를 받은 경우 마스킹(블러딩) 처리 등의 보호조치를 통해 열람 등을 할 수 있다”고 소개했다.

이외에도 △열람 요청을 받은 날로부터 10일 이내 서면, 전자우편, 문자메시지 등으로 통지 △열람 등 수행 시 요구한 자의 관계서류나 증표를 제출 받아 확인 △영상정보 열람대상 작성 및 보관(3년간 보관) 등이 영상정보 열람 또는 제공을 요청하는 절차다.

끝으로 옥 강사는 영상정보 안전조치 사항으로 △영상정보를 안전하게 관리하기 위한 내부관리계획 수립 및 시행 △수술실 영상정보와 일반 영상정보와 네트워크 분리 등 안전조시 사항 준수 △영상정보를 관리하는 컴퓨터의 암호화(부팅암호, 로그인 암호) 조치 및 사용에 관한 기록 보관 및 관리 △영상정보 침해사고 발생에 대응하고 영상정보의 위조 및 변조 방지를 위한 조치 △영상정보에 대한 접근 통제 및 접근권한에 대한 최소인원 부여 및 접근권한 장소에 대한 물리적 접근 통제 △영상정보의 안전한 보관을 위한 물리적 접근통제(잠금장치 또는 훼손 방지 장치) △그 외 영상정보 관리 SW에 대해서는 개인정보의 안전성 확보조치 기준 준수 해야 한다고 덧붙였다.