목 차 I. 정보보호이슈 II. 정보보호홗동현황 III. 정보보호강화방앆 IV. 병원정보보앆협의회운영계획
1 의료정보가치 I. 정보보호이슈 의료붂야는타산업에비해보앆관리취약, 임직원보앆의식낮아 의료정보의희소성과홗용성이높고해킹이쉽게가능하여해커들의주요타겟 정보가격 (1 건당 ) 의료정보 60 달러 주민등록번호 15 달러 싞용카드정보 3 달러 [ 출처 : MBC 뉴스 ] 암시장에서개인정보거래가격
2 의료기관해킹 I. 정보보호이슈 모니터링체계를갖춘기관이거의없어, 해킹을당했는지도모르거나알아도싞고를하지 않은기관이훨씬많을것 일시 2013.12 내용 약사들이사용하는약국경영관리소프트웨어를통해 7 억 4000 만건에달하는처방정보를 IMS 헬스업체에판매 2015.1 병원의료정보소프트웨어개발업체가소프트웨어업데이트과정을이용하여파일을수집핛수있는모듈을삽입, 홖자정보 7 억건유출 2015.8 백싞취약점을이용하여대형대학병원의중앙서버및관리자 PC 가북한발해킹에점령, 해당병원은해킹당한사실도모르고 8 개월째방치 2016.8 병원홈페이지관리자페이지가단순비밀번호를사용하는취약점을이용해해킹, 홈페이지기술적보호조치를소흘히핚병원장등 8 명불구속
3 유출사례 1 I. 정보보호이슈 엉뚱한홖자에게넘어간짂료기록서류, 찾아가지도않는병원 의무기록발급시타환자의료기록동봉해전달 사건발생후 원인분석핚다 며후속조치손놓은병원 의료기관싞뢰훼손
3 유출사례 2 I. 정보보호이슈 퇴직한병원에유선으로본인의짂료홖자기록요청 - 17.2 월퇴직핚교수가전공의로있는 제자에게전화하여본인짂료환자의 의료기록요청 - 퇴직교수개인병원에서자료활용
4 랜섬웨어 I. 정보보호이슈 국내유입악성코드중랜섬웨어가 60% 차지 할리우드장로병원, 핸더슨감리병원등랜섬웨어피해 - 일부병원에선컴퓨터를사용핛수없어손으로차트작성 국내도 00 대학병원을포함의료기관, 관공서등 50 여곳피해
5 ISMS 인증의무화 I. 정보보호이슈 2016.6 정보통싞망법개정에의해 43 개상급종합병원 ISMS 인증의무화 2017 년까지인증을받지않으면과태료부과
1 정보보호 빅데이터위원회 II. 정보보호활동현황 병원정보보호관련이슈, 앆건, 보고를위한정보보호소위원회 병원빅데이터를앆젂하게홗용할수있도록관리, 지원하는빅데이터소위원회 의료정보위원회 정보보호소위원회 빅데이터소위원회
2 침해사고전담조직구성및모의훈련 II. 정보보호활동현황 병원장, 정보보호최고책임자를포함한병원침해사고젂담조직 (Cert) 구성 매년주기적으로침해사고및악성메일대응모의훈련실시
3 정보보호성과평가 II. 정보보호활동현황 부서별정보보호성과및참여도를인사평가에반영 항목 부서별 PC 보안점수 정보보호교육 정보보호상벌제
4 정보보호내부감사 II. 정보보호활동현황 짂료과, 검사실, 수술장등총 42 개부서
5 환자정보접근모니터링 II. 정보보호활동현황 EMR, OCS 등을통한권한이없는홖자정보접근, 짂료목적외접근등비정상접근에 대한모니터링 모니터링결과는정보보호상벌제에따라벌점부여, 인사위원회회부등징계조치
6 사이버보안진단의날 II. 정보보호활동현황 매월세번째목요일을사이버보앆짂단의날로지정 병원젂체 PC 보앆점검, PC 내개인정보파일검색및암호화홗동수행
7 정보보호캠페인 II. 정보보호활동현황 정보보호의날행사, 정보보호홍보물, 동영상, 뉴스, 보앆퀴즈등임직원정보보호의식 개선을위한홗동수행
1 EMR 인증제 III. 정보보호강화방안 보건복지부에서 2018 년도하반기부터시범실시 EMR 에대한기능성, 보앆성, 상호운용성측면에서 119 개의기준마련 싞뢰할수있는 ERM 도입, 홖자짂료의앆젂성향상, 짂료정보보호강화기여 구분 기능성 보앆성 내용 보건의료정보접근성보장, 소비자의만족도향상보건의료서비스효율적제공, 보건의료질향상 개인건강정보훼손, 변조유출등방지정보의가용성, 무결성, 기밀성보장 상호운용성 짂료정보교류의기술적, 상호운용성보장환자의료회송등수요자중심의의료서비스제공
2 망분리적용 III. 정보보호강화방안 내부인력에의한자료유출을예방하고, 외부해킹공격으로부터내부자료를보호하기위해 업무망과인터넷망을붂리 국가공공기관및금융기관은이미의무화되어시행중
3 내부정보유출통제강화 III. 정보보호강화방안 휴대용저장장치, e-mail( 네이버, 구글등 ), 클라우드, 상용메싞저 ( 카톡, 네이트온등 ) 업무용 PC 에서차단, 필요시승인후사용 정보유출주체 정보유출경로 [ 출처 : 산업기술보호센터 ]
4 개인정보비식별조치 III. 정보보호강화방안 빅데이터홗용확산등데이터에대한홗용및붂석수용증가에따라정부에선 2016 년 6 월 개인정보비식별조치가인드라인 발간 비식별조치한정보는개인정보가아니므로동의없이이용, 제 3 자제공, 연구홗용가능 원본데이터 비식별화
1 구성 IV. 운영계획 History 2018.02 2018.03.09 2018.04.24 2018.06 2018.02 2018.03.30
1 구성 IV. 운영계획 1 목적 병원정보보앆발젂도모 병원정보보앆업무지원을위한정보및인적교류
1 구성 IV. 운영계획 2 협의회업무 정보보앆에관한세미나및토롞회개최에관한사항 병원정보보호관리체계개선에관한사항 정보보앆젂문가양성을위한기반조성및교육에관한사항 병원개인정보실태점검지원에관한사항 병원간최싞정보공유및홍보에관한사항 젂국정보보앆관리체계및기술격차해소에관한사항 기타협의회목적달성에필요하다고인정되는사항
1 구성 IV. 운영계획 3 조직구성 구성도 협의회장 사무국장 ISMS 분과 PIMS 분과정책분과개발보안분과운영보안분과
1 구성 IV. 운영계획 3 조직구성 임원 구붂 직책 병원명 성명 비고 협의회장 서울아산병원 경우호 사무국 사무국장삼성서울병원박종환 협회간사서울아산병원이기춘 ISMS PIMS 개발보안 분과위원장 강남세브란스 김짂호 간사 서울성모병원 핚재상 분과위원장 핚림대학교성심병원 정영훈 간사 핚양대학교병원 최윤일 분과위원장 중앙대학교병원 이지태 간사 경희의료원 김형식
1 구성 IV. 운영계획 4 2018 년사업계획 일정사업계획비고 4 월운영위원회회의사업계획수립 5 월의료 ISAC 협의보건복지부, 사회보장정보원 6 월정보보안협의회발족식총회 6 월 ~7 월 2018 년학술대회준비분과별발표자및자료 8 월 2018 년학술대회 1 일차세미나 9 월정보보안협의회워크숍개최운영위원대상 11 월 2019 년사업계획수립 12 월 2018 년송년회사업총평및마감
2 주요활동경과 IV. 운영계획 1 운영위원회개최 일정 : 4월 24일 ( 화 ), 16:00 ~ 18:00 회의내용 - 협의회구성및운영 ( 앆 ) 확정 - 2018년주요홗동계획과협의회발족식개최여부등주요사항의결
2 주요활동경과 IV. 운영계획 2 정보교류채널개설 회원대상카카오톡대화방및밴드개설 정보보앆업무시궁금한사항등을대화방에질문하여병원간정책현황공유가능 - 외부사용자계정관리, 병원별망붂리정책등업무관련사항
2 주요활동경과 IV. 운영계획 3 의료 ISAC 논의 일정 : 5월 9일 ( 수 ), 16:00 참석기관 : 보건복지부, 사회보장정보원, 병원정보보앆협의회 회의내용 : 의료 ISAC의구체적기능및상급의료기관관제 - 향후계획 - 의료 ISAC 실무회의정기적개최 - 병원정보보앆협의회회원대상설명회개최
3 향후발전방향 IV. 운영계획 정보보앆협의회독립협회발족 2020 2019 2018
감사합니다 서울아산병원의료정보실 경우호 UM(whkyung@amc.seoul.kr)