테이크루트

어제 심평원 요양기관업무포털 서비스 사이트에 2016년도 자가점검 신청기간 연장 안내가 올라왔습니다. 자가점검 완료 기한은 9월 30일로 변동이 없으나 신청기간만 한 달 연장되었습니다. 개인정보보호 자가점검은 법적 강제 사항은 아닙니다. 오늘 방문했던 의원에서 문의하셨는데, 말 그대로 자율적 점검입니다. 다만, 자가점검을 수행하지 않은 의료기관(병원 및 의원)은 추후 건강보험심사평가원에서 행정자치부로 미이행 의료기관으로 보고가 되어 행정 실태조사 대상이 될 수 있습니다. 만일 실태조사에서 법적 compliance에 부합하지 않는 경우 해당 항목별 과태료가 부과될 수 있습니다. 자가점검 신청 과정에서 [기본정보 확인] 세 항목을 체크 하게 되는데, 를 선택 체크하는 경우 자가점검 항목 중 각 4개의 통제항..

작년에 많은 피로감을 주었던 의료기관 개인정보보호 자율점검이, 2016년에는 개인정보보호 자가점검으로 이름이 바뀌었습니다. 작년에 함께 하셨던 병원과 의원에서 이번 7월 초부터 연락이 왔습니다. 네. 일단 요양기관업무포털서비스( )에서 다음과 같은 방식으로 신청하세요. 1. 정보화지원>개인정보보호자가점검서비스>"자가점검 신청 및 시작" 클릭 2. 신청서 작성 전 조회 화면에서 "신청서작성"을 클릭할 수 있으며, 필요하다면 "2015년점검내역보기"를 클릭할 수도 있습니다. ① : 2016년을 선택하세요. ② : 신청서를 작성을 위한 개인정보 수집 동의 ③ : 2015년 자율점검 내역을 볼 수 있습니다. 3. 신청서 작성 위 2-1에서 개인정보 수집 동의를 하셨다면, 아래와 같은 신청 화면을 볼 수 있습니다..

어제 한겨레 기사를 보게 되었습니다. 제목은 "미 빅데이터 기업에 흘러간 한국 4300만명의 처방전"입니다. 기사 링크는 다음과 같습니다. http://www.hani.co.kr/arti/economy/it/752750.htmlhttp://www.hani.co.kr/arti/economy/it/752750.html 지난 해, 의료기관 자율점검으로 많은 병원 및 의원의 원장 혹은 개인정보 담당자를 만나면서 왜 갑자기 이런 것(자율점검)을 하냐는 질문을 많이 받았습니다. 참고하세요.

​어제 PC만으로 운영하는 작은 의원에서 암호화 솔루션 구매 필요성을 문의해 주셨습니다. 그래서 2014년말에 나온 행정자치부 고시(기준서)안을 말씀드리고 그때 작성했던 블로그 내용을 옮겨봅니다. 개인정보의 안전성 확보조치 기준서는 병원뿐만 아니라 일반적인 개인정보처리자(개인 외 법인 및 단체 등을 모두 포함)가 개인정보를 취급할 때 실질적으로 적용받는 compliance입니다. 많은 분들이 개인정보보호법을 말씀하시지만, 실제 법 적용은 본 위임행정규칙(개인정보의 안전성 확보조치 기준)에 따릅니다. 따라서 실무를 담당하는 분들은 넓게 보기위하여 개인정보보호법을 인지하셔야 하고, 실무상으로는 기준서를 참고하셔야 합니다. 오늘 첨부한 파일은 그 기준서와 해설서입니다. 꼭 내려받아서 공부하셔야겠습니다. 먼저 ..

어제 어떤 의원으로부터 보안서약서를 왜 받아야 하는지 문의 전화를 받았습니다. 그곳은 지난 자율점검 지원 컨설팅을 받은 곳이었는데, 방문 당시 보안서약서의 존재 조차 모르고 있었습니다. 일단 모든 간호사의 보안서약서를 만들어서 개인별 날인을 받아 자율점검에 대응할 수 있도록 알려드렸는데, 새로운 직원이 들어오게 되면서 이제서야 그 근거를 물어보는 것이었습니다. 당연한 것을 어떻게 설명드려야 할 지 순간 당황했지만, 몇 가지 법률적 근거에 따른 필요성과 실제 사고 발생 후 책임 소재 부문에 대한 설명, 그리고 보안서약서의 내용 등에 대하여 말씀드렸고, 아래 내용은 그런한 설명을 문서화한 것입니다. 저도 다시 정리하는 기회가 되었습니다.^^ 1. 먼저 법률적 필요성을 보겠습니다. 보안서약서는 개인정보보호법 ..

자율점검 통제항목 3.9.1은 "개인정보 노출방지를 위한 모니터링 및 정기점검을 실시하고 있는가?" 입니다. ??? 오랜만이라 기억이 나지 않으시죠?ㅎㅎ 기본적으로 심평원 자율점검에서 요구하는 사항은 업무용 PC에 대한 개인정보 노출방지 점검 활동과 그 수행 결과입니다. 그래서 자율점검 지원 당시 제가 방문한 병원 및 의원에는 실태점검 대장을 제공해 드렸습니다(바탕화면 "2015_자율점검_메디케어컨설팅" 폴더 안에서 파일명 "별도대장_실태점검"). 실태점검 대장으로 다음 두 가지 목적을 달성할 수 있습니다. 사전 보안 점검 활동 예정(계획, plan) 사후 보안 점검 수행 결과 기록(실행, do) 혹시 기억하실 지 모르겠지만, 2016년도 월별 점검 활동을 아예 1월 경에 작성해 놓으라고 말씀드린 바 있..

심평원은 공식적으로 자율점검 신청 기간이 지났으니 신청할 수 없으며, 따라서 2015년도 자율점검을 수행할 수 없다고 합니다(유선 통화내용). 그러면서 개별 의료기관별로 실태조사에 준하는 준비를 독려하고 있습니다. 실제 자율점검을 지원해 드릴 때도 저희가 생각하는 중점사항이 있었습니다. 이는 미신청 의료기관에서 더 신경써야 함을 의미합니다. 바로 제3자제공과 위수탁 관련 내용이었습니다. 이는 자율점검이 시작된 배경이기도 하기 때문입니다. 우선 위수탁 관련 증빙 자료는 다른 블로그 내용을 참조하세요. 아래 링크를 참조하세요. http://medicare5815.blog.me/220567925554 간단히 정리하면, 수탁업체가 어딘지 확인하시고 자율점검에 필요한 자료를 요청하면 됩니다. 한편, 제3자제공관리..

심평원 자율점검을 떠나서 내원환자에게 반드시 개인정보(이름, 주민등록번호, 연락처 등) 수집 동의를 받을 필요는 없습니다. 일선 의원에 가보면, 제약회사에서 배포한 신환(첫 내원환자)의 개인정보 수집 동의를 구하고 있었습니다. 즉 신환은 자신의 개인정보를 기재하고 이를 의료기관에 제공하는데 있어 동의를 한다는 내용입니다. 대부분 이를 관행처럼 수집하고 있었고, 심지어 어떤 의원은 테블릿 혹은 터치 패드 등을 이용해 전산화까지 구축해 놓은 경우도 있었습니다. 하지만, 의료법 제22조와 동법 시행규칙 제14조에서는 진료 목적으로 개인정보(이름, 주민등록번호, 주소, 연락처 등)를 수집할 수 있도록 하고 있으며, 이는 개인정보보호법(일반법)보다 앞서기 때문에 특별한 동의가 없어도 무방합니다. 의료법에 따로 정..

이 블로그는 건강보험심사평가원(이하 "심평원")의 개인정보보호 자율점검을 수행한 의료기관(병원 및 의원)에게 다음 목적의 정보를 제공하기 위하여 개설했습니다. 1. 의료기관에 적합한 개인정보 관련 정보 제공 2. 자율점검 관련 교육 및 향후 대응 정보 제공 그 외 다른 내용을 담지 않습니다. 또한 본 블로그를 홍보하지 않습니다.