보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[2024 개인정보보호 우수사례-5] 심평원, 16년 연속 S등급 달성 배경은 ‘기관장의 관심과 지원’

입력 : 2024-05-27 01:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
16년 연속 최고등급 달성 비결...기관장의 노력·성과로 이룬 ‘탄탄한 조직력’
자체 ‘사이버보안 관제센터’ 구축 및 개인정보보호 위한 다양한 활동·교육·행사
보건복지부·의약분야단체·KISA 등 유관기관과 밀접한 협력체계 구축


[보안뉴스 이소미 기자] 2008년부터 매년 시행되고 있는 ‘공공기관 개인정보 관리수준 진단’은 행정안전부와 개인정보보호위원회(이하 개인정보위) 등에서 중앙부처·지자체 등 공공기관을 대상으로 개인정보 관리수준 향상 도모를 위해 개인정보 관리체계 등을 진단하는 평가제도다. 개인정보위는 지난해 개인정보보호법 전면 개정과 아울러 공공기관의 개인정보 관리를 대폭 강화했다.

기존 법적 의무사항 이행 여부만을 판단하는 자체진단(정량지표) 비중을 기존 80%에서 60%로 낮추고 개인정보 중점관리 업무에 대한 심층 진단(정성지표) 비중을 20%에서 40%로 확대됐다. 또한 개인정보 접근권한 관리 및 접속기록 점검 항목 배점 ‘확대’와 ‘전담인력 및 시스템 확충 기관’에 가점(최대 5점)을 부여해 기관 및 기관장의 개인정보보호 수준 제고를 위한 노력도와 관리·감독의 적정성이 중요해졌다. 이에 최고등급인 ‘S등급’을 받은 기업은 2022년에는 799개 공공기관 중 상위 321개 기관(40.2%)이었다면, 지난해에는 796개 공공기관 중 상위 15개 기관(1.9%)만이 받게 돼 평가제도 기준이 상당히 엄격해졌음을 알 수 있다.

▲건강보험심사평가원 전경[사진=건강보험심사평가원]


이러한 가운데 16년 연속 ‘S등급’을 놓치지 않은 공공기관이 있다. 바로 ‘건강보험심사평가원(원장 강중구, 이하 심평원)’이다. 심평원은 국민건강보험법·의료법 등 관련 법에 따라 의료기관으로부터 전 국민의 진료 정보를 전송받아 관리하는 국민의료관리 전문기관으로 2000년 7월 출범한 보건복지부 산하 준정부기관이다. 고유 업무로는 △진료비 심사 △의료서비스의 적정성 평가 △심사·평가 기준 개발 △관련 조사 연구 △국제 협력 업무 등을 수행하고 있다.

기관장 주도 하에 개인정보보호 최우선 가치로 여겨...탄탄한 조직력 확보
심평원은 ‘2023년도 공공기관 개인정보 관리수준 진단’에서 심층진단(정성지표)인 △개인정보보호를 위한 투자·노력도 △개인정보 처리방침 적절성 및 이행·개선 노력 등 전반적인 면에서 ‘기관장의 노력과 성과가 우수한 기관’으로 평가받았다.

심평원 측은 ‘S등급’ 달성 배경으로 국민들의 소중한 건강·의료정보 등의 민감정보를 다루는 만큼 개인정보보호 가치를 최우선적으로 인식하고, 개인정보보호 활동을 적극적으로 주도한 ‘기관장의 관심과 지원’을 꼽았다. 현실적으로 요구되는 인력·예산 등의 대폭적인 투자가 어려운 상황 속에서 기관장의 관심은 조직 내 개인정보보호에 대한 인식제고에 충분히 큰 영향을 미친다는 것이다.

▲건강보험심사평가원의 강중구 원장[사진=건강보험심사평가원]

먼저, 기관 내 모든 개인정보보호 활동을 총괄하는 ‘개인정보보호 책임자(CPO : Chief Privacy Officer)’로 기획상임이사를 지정하고 ICT 전략실 내 ‘정보보호부’를 전담조직으로 구성해 전임 담당자 4명이 부서별 개인정보보호 활동의 컨트롤타워 역할을 수행하도록 했다.

여기에 정보보호 조직력 강화를 위해 매년 ‘개인정보보호 교육 및 소통·홍보 계획’을 마련하고, ‘전 직원 대상’ 개인정보보호 역량 강화 활동 및 대상별·수준별 맞춤형 교육을 추진하고 있다. 뿐만 아니라 △개인정보 관리사(CPPG) △ISMS-P △개인정보 영향 평가사 등 전문 자격 취득 지원을 통해 개인정보보호 전문가 육성에도 힘쓰고 있다. 또한 내부 조직성과(BSC) 및 개인성과에도 개인정보보호 업무 활동 참여를 연계해 개인정보가 보다 안전하게 처리될 수 있도록 관리·독려하고 있다.

또한 기관장 주도 하에 일상 속 개인정보보호 실천 문화 확산을 위한 소통·홍보 활동도 활발하게 전개하고 있다. 매월 ‘개인정보보호 및 사이버보안진단의 날’을 지정해 실시하고 있으며, 정부의 ‘개인정보보호의 날’과 연계한 △홍보 포스터 공모전 △우수 사례·아이디어 공모전, 그리고 국민 대상 개인정보보호 리플릿 배포 등 대외적인 활동도 이어가고 있다.

보건복지부·한국인터넷진흥원·의약분야단체 등 유관기관과 밀도 높은 협력체계 구축
심평원은 지난해 개인정보 보호법 전면 개정에 대비해 외부 전문기관에 ‘개인정보보호 관리 및 진단 컨설팅’을 의뢰해 진행했다. 이를 통해 △기관 내 개인정보 관리체계 취약점 도출 △개인정보 처리 업무 위탁 관리 및 개인정보 상시모니터링 운영 지침 마련 △개인정보 내부 관리계획 수립 등 기관 내 관련 제규정을 정비 및 이행 점검하면서 안전한 개인정보 내부 관리체계 구축을 위해 노력을 기울였다.

아울러 보건복지부·한국인터넷진흥원(KISA) 등의 유관기관과 함께 △개인정보보호 전문기관 실무협의회 △4대 사회보험 개인정보보호 실무협의체 등 다양한 협력체계를 구축했다. 특히 2020년 보건복지부로부터 ‘보건의료분야 결합 전문기관’으로 최초 지정된 바 있는 심평원은 지난해 10월 재지정되며 ‘가명 정보 결합 업무’를 수행하며 데이터 산업의 핵심 도구인 가명 정보 처리·활용을 위해 적극 지원하고 있다.

또한 보건의료 전문 공공기관으로서 ‘의약분야 개인정보보호 자율규제 전문기관’으로 지정돼 의약분야 자율규제단체 6곳과 함께 요양기관이 진료 정보 관리 실태 점검 및 보호조치를 스스로 할 수 있도록 지원하고 있다. 제공되는 의약분야 개인정보보호 자율규제 주요 서비스로 △의료기관 국민의료정보 표준관리기준 마련 △국민의료정보 안전관리 환경 제공 △의약분야 정보보호 전문가 양성 △요양기관 맞춤형 교육 △대화형 자율상담봇 서비스 △개인정보보호 위험관리 예측시스템(안전신호등) 서비스 등이 있다.

개인정보보호 관리의 ‘사각지대’ 예방 위한 ‘개인정보보호 중심 설계(PbD)’
심평원은 다양한 기술 변화와 고도화된 IT 환경 속에서 기관 내 개인정보보호 및 관리 ‘사각지대’ 해소를 위해 ‘개인정보보호 중심 설계(PbD : Privacy by Design)’ 입각을 위한 노력을 기울이고 있다. 신규 정보시스템 구축·변경 시 개인정보보호 담당자가 개인정보 처리 흐름 분석 및 개인정보 영향평가 대상 여부 확인 등의 기획·설계 단계부터 참여해 폐기 단계까지의 개인정보 처리의 전체 생애주기(Life Cycle)를 고려한 것이다.

이러한 사각지대 없는 디지털 개인정보보호 체계 구축을 위해 심평원은 ‘개인정보 상시모니터링시스템’ 운영 기준 및 관제 시스템 강화로 ‘HIRA 개인정보 안심 환경’을 조성해 나갈 것이라고 밝혔다. 이와 관련해 ICT전략실 정보보호부 신현석 부장은 “직원들의 개인정보 업무와 관련된 어려움을 해소하기 위해 대외 전문가 등을 초빙해 업무별 맞춤형 교육·자문을 실시할 예정”이라면서, “전 직원 대상 ‘개인정보보호 교육 및 소통·홍보 만족도 조사’를 실시해 직원과 개인정보 부서 간 소통 채널 확대 및 현장 애로사항 등을 수렴해 ‘HIRA 개인정보보호 실천 문화 확산에 기여하고자 한다”고 전했다.

이어 신 부장은 “올해 목표는 개인정보 유·노출 무사고 및 16년 연속 정부 평가 최고등급 달성이라는 값진 성과를 원점(Zero-base)에서 바라보고 재검토하는 것”이라면서, “이를 위해 가장 중요한 개인정보보호 관리체계 재정비와 함께 국민의 의료정보를 다루는 직원 교육 및 인식 개선에 모든 역량을 집중함으로써 전 임직원이 최선을 다해 국민의 의료정보를 더욱 안전하고 소중하게 지킬 수 있도록 하겠다”고 덧붙였다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)