건강보험심사평가원 서울지원(이하 심평원 서울지원)이 최근 실시한 의료기관 개인정보보호 점검과정에서 불거진 주요 위반사례 및 후속조치에 대한 자료를 공개했다. 지난 5월부터 행정자치부가 25개 의료기관(치과병원, 한방병원 및 건강검진 기관 등)에 대해 개인정보보호 실태를 점검키로 했고, 직접 실태조사에 나섰던 심평원 서울지원이 주요 내용을 안내했다.

개인정보보호와 관련 체크해야 할 부분은 △출입통제 관리대장 기록·관리 여부 △개인정보처리시스템 접속기록 관리 여부(대량의 개인정보 다운로드, 삭제, 조회 여부 등) △백신 프로그램 정기점검 및 최신 업데이트 여부 △물리적 접근 방지 및 잠금장치 적용 여부 △비밀번호 작성규칙 준수 여부(최소 6개월마다 변경) △직원변경에 따른 ID 및 권한 부여/변경/말소 관리 △직원변경에 따른 보안서약서 관리 등이다.

실태점검에서 가장 취약한 것으로 확인된 것은 개인정보처리시스템 접속기록 관리 여부. 접속기록 보관 및 점검을 위해서는 사용자 ID, 접속일시, 접속자 정보, 수행업무 등 4가지 필수항목이 포함된 접속기록을 6개월 이상 보관·관리해야 한다. 청구프로그램 등에 접속기록 저장 및 조회 가능 여부를 확인하고, 기능이 구현되지 않을 경우 해당업체에 요청해야 한다.

또한 접속기록을 반기별로 1회 이상 점검하고 결과를 기록함에 있어 수행업무 권한이 없는 사람의 조회/수정/삭제/출력하는 행위가 있었는지, 퇴직자 또는 휴직·휴가자가 해당기간에 접근됐는지 여부 등에 대한 점검은 필수다. 백업기능 여부도 확인해야 하고, 백업기능이 없는 경우 별도의 저장매체를 물리적으로 연결해 백업해야 한다. 직원별로 1인 1계정을 부여하고, 아이디와 비밀번호를 공유하지 않도록 관리·감독해야 하며, 계정에 대한 접근권한 관리대장도 마련해둬야 한다는 등의 내용이 주요 골자다.

한편, 대한치과의사협회는 지난달 26일 행정자치부 개인정보보호 자율규제단체로 지정됐다. 자율규제단체는 자체적으로 규약을 마련해 교육과 컨설팅을 할 수 있고, 기존 정부주도로 수행하던 실태점검, 고유식별정보 관리실태 점검 대신 스스로 개인정보 취약점 점검 등 개인정보보호 활동을 하게 된다.

행정자치부 담당자는 “개인정보보호 의무는 그대로 준수해야 하고, 심평원을 통해 연 1회 자율점검을 하는 것은 그대로 유지된다”면서도 “강제성보다는 자율적으로 운영될 수 있도록 하는 것이 목적인만큼 위반사항 적발 시 부과되는 과태료를 1/2 수준으로 감경하는 방안이 논의되고 있다”고 밝혔다.

김영희 기자 news001@sda.or.kr