건강보험심사평가원(원장 손명세·이하 심평원)이 지난 12일부터 요양기관업무포털서비스(biz.hira.or.kr)를 통해 개인정보 자율점검 결과 검색 및 일부 취약 항목에 대한 자가 점검 가이드를 제공하고 있다. 개인정보보호 자율점검이 지난해 말까지 완료되고, 이번달 말까지 보완점검하는 기간으로, 심평원은 요양기관별 자율점검 결과를 검색하고, 개인정보보호 관련 항목 중 취약한 부분에 대한 가이드를 제공하고 있는 것.
특히 이번에 제공되고 있는 자가점검 가이드는 요양기관에서 개인정보보호 업무 관련 가장 취약한 항목에 대한 것으로, 일선 개원가에 유용하게 활용될 수 있다.
치과의원에 해당하는 항목은 4개 정도로 △개인정보취급자 및 일반직원에 대한 정기적인 교육은 실시하고 있는가? △컴퓨터(PC)에 저장된 개인정보는 별도로 암호화하고 있는가? △개인정보보호 활동을 수행하는데 필요한 예산을 반영하고 있는가? △개인정보 노출방지를 위한 모니터링 및 정기점검을 실시하고 있는가? 등이다.
먼저 직원 교육과 관련한 가이드를 보면 요양기관 대표자는 취급자(대표자 및 직원)를 대상으로 매년 1회 이상 정기적으로 개인정보보호 교육을 실시하고, 그 결과자료를 보관해야 한다. 교육 내용은 개인정보취급자가 개인정보를 훼손·침해·누설할 경우 중벌에 처해지므로, 교육 시 이러한 점을 인식시키기 위해 노력해야하며, 개인정보 이용·제공 절차, 취급 시 주의사항, 침해사고 대응절차 등에 대해 교육해야 한다. 교육은 집합교육 및 자체교육(전달교육)을 실시할 수 있는데, 이 때에는 서명록 등 관련서류를 구비해야 한다. 또한 전문교육기관에 위탁할 경우 참석확인증은 필수다. 인터넷 교육(www.privacy.go.kr) 시 수료증을 꼭 받아야 한다.
컴퓨터(PC)에 저장된 개인정보는 별도로 암호화하고 있는지를 꼭 점검해야 한다. 홍보 등 필요한 목적으로 개인정보파일을 저장할 경우 암호화해 저장해야 한다. 개인정보 파일 암호화 소프트웨어를 사용하고 있다면 해당 업체에 개인정보 파일 암호화를 확인할 수 있는 증빙자료를 요청해 보관한다. 개인정보 파일은 컴퓨터(PC)에 저장하지 않는 것을 권장하고 불가피한 사유로 저장할 경우 암호화해야 하며, 필요한 목적이 끝났을 시 즉시 삭제해야 한다.
개인정보보호 활동을 수행하는데 필요한 예산 또한 반영해야 한다. 개인정보보호 예산 반영 항목은 △개인정보보호 교육·홍보 예산 △관리·감독, 컨설팅, 모니터링 예산 △보안시스템(F/W, IDS, IPS, UTM 등) 도입·운영 예산 △백신S/W 도입·운영 예산 등이 있을 수 있다. 별도의 전산시스템(서버급)을 구축한 요양기관과 그렇지 않은 기관에 따라 예산항목은 변경될 수 있다.
홈페이지를 통해 개인정보가 노출되는 것을 막기 위해 개인정보 노출 진단을 통해 모니터링을 실시해야 한다. 또한 컴퓨터에 개인정보 노출방지를 위한 정기점검을 실시해야 한다. 홈페이지 개인정보 노출 진단 모니터링은 상용 개인정보 노출 진단 S/W(또는 심평원 제공 무료 홈페이지 개인정보 노출 진단 서비스)를 이용해 개인정보 노출 여부를 확인할 수 있다.
컴퓨터(PC)에 개인정보 노출방지를 위해서는 △바이러스 백신 프로그램 설치 및 실행 △운영체제, MS 오피스 최신 보안 패치 △로그인 패스워드(9자리 이상) 설정 △화면 보호기 설정 등 항목을 점검해야 하고, 월 1회 이상 정기점검을 권장하고 있다.
자가점검 가이드는 요양기관업무포털서비스(biz. hira.or.kr)에 접속한 후 정보화지원→개인정보보호 자율점검 서비스→자가점검 결과안내 및 가이드 다운로드 순으로 접속하면 된다.
신종학 기자 sjh@sda.or.kr