※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

 4. 직원교육 (재직자, 신규 등)

▶ 5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

5.1 의료기관 인증

의료기관 인증을 받는 병원의 경우, 정보보호와 관련된 인증 기준은 '12.4 개인정보보호 및 보안 규정' 이다.

선택사항이 아니라 필수 사항이다.

의료기관 인증 시 의무기록팀에서 준비하는 경우가 많은데, 접근권한이나 의무기록 수정 권한 등에 대한 답변만 될 뿐이고 개인정보보호 관련은 답변이 되지 않는 경우를 많이 봤다.

인증 조사에 대비하여 각종 지침이나 규정을 작성해야 하는데, 한 사람이 모든 문서를 작성할 수는 없다.

이미 인증을 받은 병원을 통해서 도움을 구한다 해도 규정이나 문서는 공유되지 못하고 또 가져와서 쓰기에는 병원마다 다른 업무 특징으로 인해 적용하기 어려운 경우가 많다. (타병원 문서를 달라고 하면 곤란해 한다.)

의료기관 인증 내역에 맞게 규정이나 지침을 작성하되, 본인이 근무하는 의료기관의 업무 환경도 함께 고려하는 것이 바람직하다. (3차병원하고 똑같이 할 수는 없는 법이다.)

1주기나 2주기의 경우는 규정문서와 서류를 많이 보지만, 3주기 부터는 실제로 해당 의료기관에 적용하여 제대로 하고 있는가를 위주로 추적조사한다.  어떤 점에 중점을 두고 준비를 해야 하는 것인지도 미리 알아두는 것이 좋다.

5.2 의료기관인증기준 번호 12.4 개인정보보호 및 보안 규정 작성

조사항목 자체는 많지 않지만 필수 인증 기준이며, 정보보호 전반에 대한 조사가 이루어 지기 때문에  조사 범위는 생각보다 넓다고 할 수 있다. (조사위원의 편차도 다른 기준에 비해 심한편이다.)

특히, 전산실의 경우 물리적 접근 통제 절차가 이루어 지는 곳이기 때문에,  병원 시설관련 인증 조사 시 물리적 보안에 대한 것도 함께 확인하는 경우가 많았다.

규정문서는 QI팀이 주도하여 레이아웃이 나오면, 그것을 바탕으로 정보보호팀이나 전산팀에서 작성을 해야 한다.

규정 문서는 전체 부서가 통일해야 하기 때문에, QI팀에서 요구하는 대로 작성해주는 편이 좋다.

규정은 위원회의 서명이 들어 간 이후에는 수정하려면 별도의 입안서를 작성해야 하기 때문에 신중하게 작성하고 오타나오류가 없는 지 부서원에게도 검토시켜 점검할 수 있도록 한다.

'인증기준 12' 는 의무기록팀과 함께 전반적인 검토를 하고 업무분장 후 규정서를 작성하여야 한다.

가령, 의무기록팀에서는 의무기록 수정에 대한 접근권한 설정과 실제 EMR 운영을 하고 있는 전산팀의 접근권한 지침이 다르다면 문제가 된다.

▶ 개인정보보호 및 보안 규정 문서  예

5.3 개인정보보호 및 보안 규정 작성 항목

필자의 경우, 아래 처럼 항목을 전체적으로 작성하여 규정서를 마련하였다.

물론, 별도의 지침서나 매뉴얼 혹은 관련된 서식도 별도로 첨부하여야 한다.

1. 개인정보 취급 관리와 책임

2. 개인정보 보호 정책 및 관련 법률과의 부합성

3. 교육훈련 

4. 개인정보 보호 및 보안 감사

5. 개인정보 외부위탁관리 지침

6. 정보자산관리

7. 물리적 보안

8. 시스템 개발 보안

9. 접근통제관리

10. PC 및 개인용 휴대 단말기 관리

11. 전산 운영 관리

12. 침해사고관리

13. 개인정보보호 및 보안업무를 총괄하는 개인정보 보호책임자와 실무담당자 선정

14. 개인정보 보호를 위한 보안체계

▶ 별첨자료   예