중소병원 개인정보보호 내부관리계획 및 지침,매뉴얼 작성 방법 (9)

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

▶ 4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

---

4.1 임직원 개인정보보호 교육 계획

교육은 기본적으로 년 1회 이상 시행하는 것으로 계획서를 작성하면 된다.

의료기관의 경우 대형병원 위주로 규제가 되고 점검을 하였는데, 최근에는 중소병원에 대해서도 강화하고 있는 편이다.

의료기관 인증이나 개인정보보호 점검의 경우 가장 중점을 두고 보는 것 중 하나가 직원보안교육이다.

증적자료로 가장 준비를 잘 해야하는 문서 중에 하나이다.

 

1) 교육 계획서 구성

계획서는 크게 임직원, 보안부서 실무직원, 신규직원 이렇게 3개로 나누어서 계획서를 작성하도록 한다.

교육 방법 및 시기는 꼭 계획서대로 시행하지 않아도 무방하니 계획서는 충실히 작성해서 경영진에게 결재받도록 한다.

▶ 개인정보보호 교육 계획안 서식 예

 

2) 임직원 교육계획

임직원의 경우 교육의 예외가 없으며, 무조건 년1회 이상 교육을 받을 수 있도록 한다.

교육방법은 온라인, 집체교육, 전달교육 어떤 형식으로든 상관이 없다. 의료기관 사정에 맞게 교육방법을 정하면 된다.

교육 내용은 '개인정보보호법'과 '개인정보 위반사례 및 대응방안'에 대한 내용을 포함하도록 한다.

가끔 똑같은 내용으로 매년 교육을 시행해도 되느냐는 질문을 받는데, 결론적으로 말하면 무방하다.

다만, 개인정보보호법의 개정 내용이나, 의료기관의 정보유출이나 침해 사례가 발생한 경우, 특이한 이슈가 있는 경우 등에 대한 사례를 포함하면 좋겠다.

 

3) 보안담당자 실무교육

보안담당부서의 경우 직원들에게 전달교육을 하거나 직접 교육을 하는 경우가 많기 때문에 부서장이 해당 직원이 외부기관에 전문교육이나 컨퍼런스, 세미나 등을 참석할 수 있도록 배려하는 것이 좋다.

'개인정보보호법의 개정 사항', '개인정보 암호화' ,'가명정보처리', '클라우드 보안', 'ISMS-P(개인정보보호 관리 인증체계)', '보안시스템 운영'  등에 대해 교육 받을 수 있으면 좋다.

보건복지부·대한병원정보협회·대한병원정보보안협의회·대한보건의료정보관리사협회 등에서 주관하는 컨퍼런스가 무척 많은 편이다. 

의료기관 종사자라면 보안 세미나 및 컨퍼런스의 경우 대부분 무료로 참석 가능하다. 

<참고>  https://www.dailysecu.com/form/register.html?form_id=1672362231 

데일리시큐

 

4.2 교육 실행

의료기관은  집체 교육이 힘든 곳이다. 

직무도 다르고 일하는 시간도 다르고 점심 먹는 시간도 다른 경우가 많아서 교대 근무를 하는 부서가 많아서 한 번에 집체교육을 시행한다는 것은 거의 불가능 하다고 보면 된다.

그래서, 보통은 부서별로 나눠서 하거나 교육 시행을 몇 차시로 나눠서 원하는 때에 와서 듣게 하는 것도 방법이다.

간호직군이 직원이 압도적으로 많은 의료기관의 특성 상 분만이나 육아 휴직으로 인해 교육 미새행 직원이 많은 점도 유념할 필요가 있다.

정보팀이나 전산팀이 없어서 보안교육이 어려운 병원의 경우 온라인 교육을 듣도록 하는 경우도 많다. (교육 효과는 거의 없다고 보면 된다.)

가급적이면 정보보호팀이나 전산팀에서 직접 집체 교육을 하는 것이 바람직하며, 임직원 전체가 힘들다면 신규직원의 교육은 꼭 직접 교육을 해주도록 하는 것이 좋다.

 

4.3 교육문서 작성

1) 임직원 교육 문서

교육문서는 가급적 PDF로 작성하여 배포하도록 한다. 

의료기관은 망분리가 되어 있거나 인터넷이 차단된 경우가 많고 행정부서를 제외하고는 오피스 관련 프로그램이 설치가 안되어 있는 경우도 많은데 무턱대로 한글이나 워드파일로 작성하고 배포하면 곤란하다.

해당 교육문서를 출력본으로 부서에 보관할 수 있도록 부서장 회의 시 공지해두면 좋다.

 

▶ 개인정보보호 교육 문서(임직원) 서식 예

2) 신규직원 교육 문서

신규직원의 경우 심도싶은 내용보다는 기본적으로 의료기관에 입사하게 되면 알아야 되는 필수 적인 내용을 포함할 수 있도록 한다. 

신규 입사자가 발생하는 경우 그때마다 정보보호팀이나 전산팀에서 교육이 힘들다면, 그룹웨어 등에 교육문서를 올려두고 전달교육을 하거나 해당 부서의 부서장을 통해서 보안교육을 시행하도록 하는 것도 방법이다.

'의료정보시스템의 접근권한', '사용자계정 관리','환자의 개인정보 보호' 등과 같은 내용을 포함하도록 한다.

필자의 경우 신규입사 시 작성해야 하는 '의료정보시스템 접근권한 신청서'의 작성 요령을 교육 문서에 포함하기도 했다.

4.4 교육시행

개인정보보호교육을 시행하기전 최소 한달전에 그룹웨어 등에 미리 공지하도록 한다.

이때 교육계획문서와 교육문서 등도 같이 공개하서 직원들이 참고할 수 있도록 하고 교육이 있구나 하는 것을 인지할 수 있도록 해야 한다.

가끔 해당 게시물을 올린 적이 있는 지에 대해 의료기관인증 시  조사위원이 확인하는 경우도 있다.

 

1) 온라인 교육 시행한 경우

해당 사이트에서 보안 교육이 완료가 되면 교육증빙서류(이수증 등) 을 직접 출력하여 첨부해두면 된다.

총무과에서 전체 직원의 이수증을 출력해도 되고, 부서장을 통해 모아서 수령하여도 된다.

 

2) 직접 교육 시행한 경우

정보보호팀이나 외부전문가에 의해 집체교육을 하는 경우가 대부분일텐데, 이경우 교육장면이 담길 수 있도로 촬영하거나 사진으로 증적자료를 남겨두면 좋다. (교육명이나 일자가 포함이 되면 더욱 좋다)

교육이 완료가 되면 임직원들이 직접 교육참석에 대한 서명을 받도록 하고, 해당 서명자료는 추후 교육결과보고서에 첨부하면 된다.

 

4.5 결과 보고

결과보고서는 보안교육이 끝난 이후 교육 실행관련 결과를 보고서 형태로 작성해야 한다.

교육시기와 횟수, 방법, 참여인원, 미이수자 인원, 미이수자에 대한 추가교육방안, 실시효과 등을 포함하여 작성하면 된다.

교육계획대로 되었는가를 확인하고 그렇지 못한 경우 다음 계획에 반영할 수 있도록 하여야 한다.

보안교육결과보고서는 반드시 경영진의 결재를 받아서 보관하도록 한다.

계획서와 마찬가지로 각종 인증이나 점검 시 증적자료로 가장 중요한 서류이다.

 

 

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다. (소속 및 성함, 사용 목적 및 필요한 서식)