보건복지가족부는 의료기관의 정보보호(보안) 강화를 위하여, 500병상 이상 의료기관을 대상으로 하는 의료기관 개인정보보호 가이드라인을 마련,보급한다.
 
동 가이드라인은 최근 다양화 지능화되어 가는 사이버공격 급증에 대한 국민의 진료정보 보호를 위하여 마련됐으며, 500병상 이상 의료기관을 대상으로 하는 관리적 기술적 물리적 정보보호(보안) 내용을 담고 있다.

동 가이드라인 마련을 위해 정부는 의료계 변호사 보안전문가 등이 참여한 ‘의료기관 정보보호협의체’를 운영했으며 2010년 1월 26일에는 가이드라인(안)에 대한 공청회가 개최된 바 있다.

의료기관 개인정보보호 가이드라인은 개인정보 보호 및 보안 관리조직, 인적자원 관리, 정보시스템 운영 및 보안관리, 네트워크 및 로그관리, 백업 및 저장매체 관리, 사용자 인증 및 접근권한 관리, 침해사고 예방 및 대응 등 관리적 기술적 물리적 정보보호(보안)에 관한 내용을 주요 내용으로 담고 있다.

다만, 정보주체의 동의, 진료정보의 수집 및 제공 등에 관한 사항은 사회적인 논의가 필요함에 따라, 이번 가이드라인에서는 제외되었다.

이번 가이드라인은 의료기관의 정보보호(보안)업무의 실무자료로 활용되어, 국내 의료기관의 정보보호(보안) 수준 향상에 기여할 것으로 기대된다.
  
*의료기관 개인정보보호 가이드라인(안)주요 내용

□ 목 적
본 가이드라인은 문서, 컴퓨터, 정보의 처리 또는 송수신 기능을 가진 이동식 기기 장치에 의하여 의료기관에서 처리되는 진료와 관련된 개인정보의 보호 및 보안에 관한 사항을 정함으로써, 의료기관의 개인정보 처리 업무의 적정한 수행을 도와주고 국민의 권리를 보호함을 목적으로 함

□ 기본 원칙
의료기관이 환자를 진료하는 과정에서 얻은 개인정보는 적절한 절차를 통하여 보호 및 보안되어야 함
 ○ 환자의 진료 과정에서 얻어진 개인정보는 환자 본인의 진료 목적과 이에 수반되는 진료 지원 업무에 사용되어야 함
 ○ 환자 본인의 진료와 이에 필수적으로 수반되는 진료지원업무 외에 개인정보를 사용하기 위해서는 환자의 동의를 얻거나, 법률에 이를 허용하는 근거가 있어야 함

□ 적용 범위
 의료기관이 개인정보를 처리하는데 있어서 “의료법”, “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 또는 “공공기관의 개인정보보호에 관한 법률” 등의 법률 적용을 받는 경우에는 해당 법률, 시행령, 시행 규칙이 규정하는 바에 의한다.

□ 개인정보보호 및 보안에 관한 관리적 지침
 ○ 개인정보보호위원회 구성 및 운영
 ○ 개인정보관리책임자, 보호 및 보안 실무책임자의 지정
 ○ 개인정보보호 감사 및 외부 안전진단
 ○ 인적자원 관리
   - 채용시 관리, 직무수행 관리, 교육 및 훈련, 직무변  경 및 퇴직 관리 등
   - 외부자 및 위탁업체에 대한 관리
 ○ 정보자산 관리
   - 정보자산의 목록화, 관리자 지정, 보안등급 평가 등

□ 개인정보보호 및 보안에 관한 물리적, 기술적 지침
 ○ 개인정보 보호구역 출입통제
 ○ 정보시스템 운영 및 보안관리
   - 운영 및 보안관리 절차, 과부하 모니터링, 접근통제, 로그온절차, 악성코드 통제 등
 ○ 정보시스템 도입절차, 변경절차 및 관리
 ○ 네트워크 관리
   - 접근통제, 유무선 네트워크 보안관리, 원격 네트워크 접속 제어
 ○ 정보시스템 사용로그 모니터링 및 보안감사 로그
 ○ 백업 및 저장매체 관리
 ○ 사용자 인증 및 접근권한 관리
 ○ 사용자 지침
   - 패스워드 사용 관리, 자리비움시의 정보시스템 보안, 클린데스크 및 클리어스       크린
 ○ 침해사고 예방 및 대응
   - 보안취약점 관리, 침해사고 대응계획 및 체계수립, 보안취약점 및 침해사고       대응
 ○ 프로그램 개발 지침
   - 보안 요구사항 분석 및 명세화, 테스트 데이터의 보호, 소스코드에 대한 접      근통제, 외주 소프트웨어 개발, 입력데이터 검증 등
 ○ 암호화 통제
 ○ 보안 관제