의료정보 자료유출방지
환자의 개인정보 및 기록을 보호하고 법률과 규제를 준수합니다.
병원 및 의원 등에서 환자의 정보를 안전하게 보호하고 관리하기 위한 기준과 원칙을 담은 "의료기관 개인정보보호 가이드라인"이 행정안전부와 보건복지부에 의해서 발간되었습니다. 이것은 환자의 주민등록번호, 질병정보 등 중요한 개인의 정보를 수집하고 사용하는 의료기관에서 개인정보유출 혹은 진찰정보의 침해 사고가 나지 않도록 엄격한 기준이 필요함에 따라서 제정이 되었습니다.
병원 및 의원에서 수집하는 개인정보의 보호에서 중요한 것들:
°수집: 진료정보는 의료법에 따라 수집 및 보유함으로 동의 없이 수집 가능 함
°제공: 진료정보는 의료법에 명시된 경우 외에는 열람이나 제3자 제공할 수 없음
°관리: DB의 주민등록번호는 암호화하는 등 안전한 관리를 위한 조치를 해야 함
°보존: 진료정보 보유기간은 최소 10년이며 진료 목적인 경우 연장할 수 있음
°보호: 진료정보 보호를 위한 제품은 국정원 CC인증을 받은 제품이 반드시 필요
°CCTV: 진료실의 CCTV는 환자의 동의 필요 함, 대기실 등은 CCTV 안내판 필요
의료시장이 국제화 됨에 따라서 고려할 각 나라의 법률 규제들:
- Health Insurance Portability and Accountability Act (HIPAA)
- Health Information Technology for Economic and Clinical Health Act (HITECH)
- European Union Data Protection Directive (EUDPD)
- The UK Data Protection Act
- Japan’s Personal Information Protection Act (일본 개인 정보 보호법)
다음은 이 병원들에서 사용되고 있는 공통점입니다:
- 하루 3교대, 여러 사람이 함께 사용하는 PC에서 외부 저장장치 및 네트워크를 통한 자료 유출을 차단합니다.
- 등록된 USB만 사용이 가능하고, 온라인/오프라인으로 전달된 모든 정보는 파일의 상세 정보와 함께 해쉬값까지 기록합니다.
- 개인정보보호 및 의료법 등의 규정을 준수할 수 있도록 정보보호정책을 실현합니다.
개인정보보호법과 의료법과의 적용 관계:
- 개인정보보호법은 일반법이므로 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법 적용
- 의료법에 따른 진료기록부,조산기록부, 간호기록부, 환자명부, 수술기록부, 처방전 등을 위한 개인정보 수집·열람·제공은 의료법 규정이 우선적용
- 의료법에 규정되어 있지 않은 사항은 개인정보보호법에 따라 처리:
영상정보처리기기 설치운영 제한, 유출통지제, 집단분쟁조정제, 권리침해 중지 단체소송 등은 의료법 수범자에게도 모두 적용
환자의 개인정보 처리기준:
1. 진료신청과정에서 환자의 개인정보 처리기준(14세 미만의 경우 법정대리인의 동의를 받아 개인정보 수집)
▶ 진료 신청시 동의 없이 수집할 수 있는 개인정보
- 인터넷, 전화 등에 의한 진료 예약시 : 성명, 생년월일, 주소, 연락처
- 방문에 의한 진료 신청시 : 성명, 주민등록번호, 주소, 전화번호, 진료과목
▶ 정보주체의 동의 없이 수집 가능한 진료목적의 범위
- 진료와 직접 관련된 진료신청, 진단, 검사, 치료, 수납 등 업무
- 진료신청 문자발송, 검사결과 통보 등의 업무
- 진료와 연결된 예방접종
- 병원 이전 또는 휴업에 관한 정보
2. 진료과정에서 환자의 개인정보 처리기준
▶ 진료과정에서 환자 동의 없이 수집하는 개인정보
- 진료기록부: 성명, 주소, 연락처, 주민등록번호 등 인적사항, 주된 증상(병력, 가족력 추가 기록 가능), 진단결과, 치료 내용, 진료 일시
- 처방전: 환자의 성명 및 주민등록번호, 처방의약품의 명칭·분량·용법 및 용량 등
▶ 법률에 따른 의료인의 개인정보 제공 의무
- 진료환자의 진료기록의 송부( 환자나 환자 보호자의 동의를 받은 경우, 의료법 제21조)
- 감염병환자 등 신고(감염병 예방 및 관리에 관한 법률 제11조)
- 응급환자의 이송(응급의료에 관한 법률 제11조)
- 감염인 진단 검안사실의 신고(후천성면역결핍증예방법 제5조)
- 특정수혈부작용 신고(혈액관리법 제10조)
- 뇌사추정자 신고(장기 등 이식에 관한 법률 제17조)
개인정보보호법을 지원하는 Endpoint Protector가 도움이 되어드립니다.
호스트 자료유출방지 솔루션은 네트워크로 나가는 콘텐츠를 인식하고 의료정보 유출을 차단합니다.
▶ 반출문서에 주민번호, 의료보험번호, 진찰 결과와 같이 민감한 내용이 있는지 조사하여, 위반이 확인되면 해당 파일의 유출을 차단하고 해쉬값을 로깅하고 유출정보를 보고합니다. 개인정보를 포함한 모든 자료가 휴대용 저장장치, 온라인 서비스, 이메일 그리고 다른 응용프로그램을 통해서 유출되지 못하도록 차단합니다.
호스트 자료유출방지 솔루션은 PC에 접속되는 모든 장치/매체를 통제하고, 사용 파일 추적, 반출 파일을 보관합니다.
▶ 매체 제어 기능은 승인된 모든 USB 저장장치로 복사된 모든 파일을 예외없이 기록합니다. 허락되지 않은 장치를 포함해서 PC에 접속되는 모든 장치들의 사용 기록을 작성합니다. 네트워크 공유를 통한 파일 이동을 통제 및 기록하고 서버의 파일 사용을 추적합니다.
SW 보안USB, EasyLock은 USB 저장장치를 암호화하여 신뢰할 수 있는 휴대용 저장장치로 만듭니다.
▶ EasyLock을 USB 저장장치에 설치하면 AES 256 CBC 모드(ARIA256도 제공) 군사용 강도의 암호화를 제공합니다.
Spectrum of Hope은 코소시스의 Endpoint Protector로 환자 보호와 데이터 보안 향상 및 규정을 준수합니다.
Spectrum of Hope은 텍사스 주의 휴스턴에 위치한 건강 및 행동 중재 그리고 응용 행동 분석 치료 센터입니다. 주로 자폐증이나 발달이 더딘 환자를 치료합니다. 그래서 자폐나 다른 질병으로 고통받는 모든 연령의 환자에게 생명 연장 서비스와 지원을 제공합니다. 잠재 능력을 끌어 올려서 가족과 공동체에 참여할 수 있도록 도와주고 있습니다.
환자 및 금융 데이터 보안의 유출, 절도 및 전송 보호 필요
Spectrum of Hope은 처음에 클라우드 서비스인 MyDLP를 보았으나 최종적으로 Endpoint Protector 솔루션으로 결정했습니다. Endpoint Protector는 보안 및 운영의 효율성을 모두 제공합니다. "우리는 쉬운 관리, 리포팅 및 파일 사본 보관 기능, 세밀한 데이터 전송 모니터링, 간단한 규정 준수를 좋아합니다." McCown은 언급합니다.
"이제껏 본 리포팅 시스템 중 최고입니다. 관련없는 정보 또는 임의의 숫자가 나오지 않고 누가 언제 무엇을 보냈는지의 이해할 수 있는 시간 기록이 나옵니다." Endpoint Protector는 Windows와 로그 가져오기를 통해서 볼 수 있는 것보다 더 효율적으로 모든 것을 추적하고 보고합니다." McCown은 말합니다.
Endpoint Protector는 McCown이 사용한 Skype, Outlook, Dropbox 등의 다양한 응용프로그램을 통해서 조직의 외부로 나갈 수 있는 데이터를 어떠한 사용자의 생산성 저하없이 세밀하게 제어하는 콘텐츠 인식 보호 기능이 있습니다. 사용자 친화적인 인터페이스로 배포는 매우 빠르고 직관적입니다. "코소시스 고객 서비스는 신뢰할 수 있고 Endpoint Protector 솔루션은 우리에게 꼭 필요합니다."
Endpoint Protector를 도입한 이유는?
- 데이터 및 파일 전송 모니터링
(E-Mail, USB, Skype, Outlook, Google Drive 등) - 규정 준수
- 인가되지 않은 파일 전송 차단
- 직관적이고 사용자 친화적인 인터페이스
Endpoint Protector로 데이터 보안의 강력한 계층을 추가했습니다. 데이터 무결성과 보안을 유지시켜 주고 현재 보안 계획 안에서 문제없이 작업을 할 수 있습니다. 게다가 코소시스 서비스는 훌륭합니다.
Josh McCown
IT Director