• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“의료 보안 허브를 꿈★꾼다” 2010.08.27

민성우 서울아산병원 의료정보운영팀 팀장

한국능률협회에서 주관하는 ‘한국에서 가장 존경 받는 병원’에 4년 연속 1위에 선정된 서울아산병원의 민성우 의료정보운영팀 팀장은 “70여명의 의료전문 IT인력을 확보해 국내에서 유일하게 모든 IT 서비스를 자체적으로 운용하고 있으며 이에 따라 의료진과 경영진의 요구에 능동적이고 본원의 환경에 가장 적합한 IT 시스템을 구축하고 있다”고 말했다.


서울아산병원, 의료 보안에 앞장서다

서울아산병원은 글로벌 표준의 개인건강정보 보호 및 보안 관리 체계 운영과 개인건강정보가 보호되는 병원 문화 구축을 목표로 전자의무기록위원회 산하 정보보호 및 보안 소위원회를 구성ㆍ운영하고 있다. 2006년 보안 마스터 플랜 수립을 통해 체계적으로 보안 솔루션을 도입하기 시작했으며 2008년부터 PnS TFT라는 정보보호 및 보안 관련 실무팀을 상시 운영하고 있다.

아울러 국내 처음으로 개인건강에 관한 각종 정보보호와 보안 규정을 담은 ‘개인건강 정보보호 및 보안 규정집’을 발간, 건강정보보호 대책을 준비 중인 의료기관들의 큰 관심을 모은 바 있다.

민성우 팀장은 “정부나 상위기관의 요구에서가 아닌 병원 자체적으로 중요성을 인지하고 보안을 위한 보안이 아닌 진료의 경직성을 줄이면서 진료현장에서 적용할 수 있는 규정이 되고자 노력해 만들어진 국내 최초의 의료기관 PnS 규정”이라고 강한 자부심을 드러냈다. 이뿐만이 아니다. 서울아산병원은 원내 임직원 대상 보안의식 강화 위한 정기적으로 ‘정보보호 뉴스레터’를 보내고 있으며 ‘건강정보보호의 날’을 개최하는 등 보안 의식이 타의 추종을 불허한다.

그는 “전자의무기록시스템 등 병원 내 정보화 시스템의 확대로 모든 의료진이 환자의 개인건강정보의 접근성과 활용도가 향상된 반면 환자의 개인정보가 쉽게 노출되는 위험이 커지고 있고 법적, 사회적으로 전사적인 환자의 건강정보보호 및 보안에 요구가 높아가고 있어 강제화 이전에 본원에 맞는 효과적인 보안관리 체계를 구축하게 됐다”며 “실무진에게 적절한 권한과 책임을 위임해 실무부서에서 능동적인 계획을 수립하고 추진함에 있어 적극적인 지원을 아끼지 않는 경영진이 있기에 가능한 일”이라고 말했다.

향후 서울아산병원은 ISO 27799 기반의 ISO 27001 인증 추진과 더불어 개인정보보호 마스터 플랜을 별도로 수립, 지속적인 의료정보보호 및 보안의 의지와 노력을 기울일 예정이다.


의료 보안, 아직 갈길 멀다

보건복지부는 지난 3월 500병상 이상 의료기관을 대상으로 한 ‘의료기관 개인정보보호 가이드라인’을 발표ㆍ보급한 바 있다. 이 가이드라인에 따르면 500병상 이상 병원은 반드시 정보보호 및 보안 업무를 총괄하고 시행할 수 있는 개인정보관리책임자를 지정하고 실무책임자를 포함한 상설기구인 개인정보보호 위원회도 운영해야 한다. 또한 개인정보보호 위원회의 규정에 따라 개인정보보호 및 보안관리체계 운용 상황을 정기적으로 감사하거나 외부로부터 안전진단을 받아야 한다. 이에 대해 민 팀장은 의료기관의 현실적인 어려움을 고려하지 않은 조항이 많다고 지적했다.

민 팀장은 “일례로 의료기관은 보안 전문가를 2인 이상(1,000병상 이상) 두고 2년마다 외부 보안전문기관의 안전진단을 수행해야 하는 등의 규정이 있는데 이를 수행할 병원이 몇 곳 이나 될지 의문스럽다”며 “정부에서는 보안규정의 수준과 준수를 요구하면 되고 각 기관에서는 그에 대한 적절한 수행을 위해 내부에 보안 전담자를 몇 명이나 둘지, 외부기관의 컨설팅을 받을지는 당 의료기관의 경영판단에 맡겨야 하는데 이를 가이드라인에 포함한 것이 적절치 않다고 본다”고 말했다.

특히 그는 “개인건강정보 수집과 이용 및 제공 등에 대한 환자의 동의/동의철회나 정정 등에 대한 규정의 경우 이번 가이드라인에서는 여러 가지 이유로 제시되지 않았지만 병원은 진료를 위해선 타 업종에 비해 개인의 민감한 정보를 많이 취득할 수 밖에 없고 또 연구기관으로서 활발한 연구를 위해 많은 건강정보를 활용할 수 밖에 없기 때문에 이를 수행하는 데 어려움이 많다”며 “정보화의 가장 큰 장점인 정보의 공유와 보안의 가장 큰 문제인 정보통제라는 양면성 하에서 적절한 실행 방안을 수립하는 것이 나의 가장 큰 과제”라고 밝혔다.

<글/사진 : 호애진 기자(is@boannews.com)>


[월간 정보보호21c 통권 제120호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>