서울아산병원, 국제정보보호관리체계 인증 획득

ISO 27799 적용한 의료분야 최적화된 글로벌 정보보호 인증 획득

[보안뉴스 김정완] 신속하고 정확한 진료 환경 지원과 환자의 진료 정보 보호에 대한 중요성이 높아지는 가운데 서울아산병원(병원장 이정신)은 최근 처방전달시스템(OCS), 전자의무기록(EMR), 의료영상저장전송시스템(PACS), 홈페이지를 포함한 의료정보시스템 부문에서 정보보호 국제표준인 ‘ISO 27001’ 인증을 획득했다.

▲서울아산병원은 지난 2일, 정보보호 국제표준인 ISO 27001 인증을 획득했다고 이를 수행한 정보보호 컨설팅 전문업체인 에이쓰리시큐리티가 14일 밝혔다. 사진은 지난 2일 이정신 서울아산병원장이 인증기관인 영국표준협회(BSI)로부터 ISO 27001 인증을 수여받은 후 관계자들의 기념촬영.

이에 이번 인증을 함께 진행한 정보보호컨설팅 전문업체 에이쓰리시큐리티 측은 “ISO 27001은 기관의 정보보호 관리체계 구축을 인증하는 것으로, 특히 이번 인증 획득은 의료기관의 정보보호를 위해 ISO 27799를 함께 적용한 인증이라는데 큰 의의가 있다”며 “ISO 27799은 2008년에 발표된 의료정보보호 국제표준으로 국내에서는 서울아산병원이 최초로 적용하게 되며, 환자의 정보보호를 위해 업무절차의 변화를 전격 수용한 서울아산병원의 높은 정보보호의지가 있었기에 가능했던 것”이라고 전했다.

여기서 ISO 27799는 ‘Health informatics-Information security management in health using ISO/IEC 27002’의 약어로 의료분야에 있어 특화된 정보보호 관리체계다.

서울아산병원은 인증획득에 앞서 지난 3월 보건복지부에서 발표한 의료기관 개인정보보호 가이드라인을 적용해 관련 병원 규정과 지침을 개정하고, 관리적·기술적 보호대책을 강화시켜왔으며 이와 함께 의료정보시스템에 대해서도 개인정보 영향평가를 실시하였고 정보시스템을 통해 유출될 가능성이 있는 취약점을 찾아내어 사전에 차단하는 등 지속적인 정보보호관리 강화활동을 펼쳐왔다. 또한 본격적인 인증획득을 위해 의료 정보실을 주축으로 약 3개월간의 지속적인 준비와 시스템 개선 등의 노력을 기울였다.

이에 이번 인증을 담당했던 민성우 서울아산병원 의료정보운영·개발 팀장은 “개인 건강정보 보호는 아무리 강조해도 지나치지 않으며, 이번 ISO 27001 인증획득은 서울아산병원의 정보보호 능력을 확인하는 계기가 되었다”고 말했다.

한편 지난 9월 2일 개최된 ISO 27001 인증 수여식에서 이정신 서울아산병원 병원장은 “서울아산병원은 진료목적으로 광범위한 환자의 건강정보를 활용하고 있으므로, 이를 체계적으로 관리하기 위해서는 의료기관에 특화된 국제표준 정보보호관리체계가 필요했다. 이번 인증획득을 토대로 서울아산병원은 환자의 개인정보보호에 더 많은 노력을 기울일 것”이라고 밝혔다.

[김정완 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)