[2024 개인정보보호 우수사례-5] 심평원, 16년 연속 S등급 달성 배경은 ‘기관장의 관심과 지원’

2024-05-27 01:28
  • 카카오톡
  • 네이버 블로그
  • url
16년 연속 최고등급 달성 비결...기관장의 노력·성과로 이룬 ‘탄탄한 조직력’
자체 ‘사이버보안 관제센터’ 구축 및 개인정보보호 위한 다양한 활동·교육·행사
보건복지부·의약분야단체·KISA 등 유관기관과 밀접한 협력체계 구축


[보안뉴스 이소미 기자] 2008년부터 매년 시행되고 있는 ‘공공기관 개인정보 관리수준 진단’은 행정안전부와 개인정보보호위원회(이하 개인정보위) 등에서 중앙부처·지자체 등 공공기관을 대상으로 개인정보 관리수준 향상 도모를 위해 개인정보 관리체계 등을 진단하는 평가제도다. 개인정보위는 지난해 개인정보보호법 전면 개정과 아울러 공공기관의 개인정보 관리를 대폭 강화했다.

기존 법적 의무사항 이행 여부만을 판단하는 자체진단(정량지표) 비중을 기존 80%에서 60%로 낮추고 개인정보 중점관리 업무에 대한 심층 진단(정성지표) 비중을 20%에서 40%로 확대됐다. 또한 개인정보 접근권한 관리 및 접속기록 점검 항목 배점 ‘확대’와 ‘전담인력 및 시스템 확충 기관’에 가점(최대 5점)을 부여해 기관 및 기관장의 개인정보보호 수준 제고를 위한 노력도와 관리·감독의 적정성이 중요해졌다. 이에 최고등급인 ‘S등급’을 받은 기업은 2022년에는 799개 공공기관 중 상위 321개 기관(40.2%)이었다면, 지난해에는 796개 공공기관 중 상위 15개 기관(1.9%)만이 받게 돼 평가제도 기준이 상당히 엄격해졌음을 알 수 있다.


▲건강보험심사평가원 전경[사진=건강보험심사평가원]

이러한 가운데 16년 연속 ‘S등급’을 놓치지 않은 공공기관이 있다. 바로 ‘건강보험심사평가원(원장 강중구, 이하 심평원)’이다. 심평원은 국민건강보험법·의료법 등 관련 법에 따라 의료기관으로부터 전 국민의 진료 정보를 전송받아 관리하는 국민의료관리 전문기관으로 2000년 7월 출범한 보건복지부 산하 준정부기관이다. 고유 업무로는 △진료비 심사 △의료서비스의 적정성 평가 △심사·평가 기준 개발 △관련 조사 연구 △국제 협력 업무 등을 수행하고 있다.

기관장 주도 하에 개인정보보호 최우선 가치로 여겨...탄탄한 조직력 확보
심평원은 ‘2023년도 공공기관 개인정보 관리수준 진단’에서 심층진단(정성지표)인 △개인정보보호를 위한 투자·노력도 △개인정보 처리방침 적절성 및 이행·개선 노력 등 전반적인 면에서 ‘기관장의 노력과 성과가 우수한 기관’으로 평가받았다.

심평원 측은 ‘S등급’ 달성 배경으로 국민들의 소중한 건강·의료정보 등의 민감정보를 다루는 만큼 개인정보보호 가치를 최우선적으로 인식하고, 개인정보보호 활동을 적극적으로 주도한 ‘기관장의 관심과 지원’을 꼽았다. 현실적으로 요구되는 인력·예산 등의 대폭적인 투자가 어려운 상황 속에서 기관장의 관심은 조직 내 개인정보보호에 대한 인식제고에 충분히 큰 영향을 미친다는 것이다.


▲건강보험심사평가원의 강중구 원장[사진=건강보험심사평가원]
먼저, 기관 내 모든 개인정보보호 활동을 총괄하는 ‘개인정보보호 책임자(CPO : Chief Privacy Officer)’로 기획상임이사를 지정하고 ICT 전략실 내 ‘정보보호부’를 전담조직으로 구성해 전임 담당자 4명이 부서별 개인정보보호 활동의 컨트롤타워 역할을 수행하도록 했다.

여기에 정보보호 조직력 강화를 위해 매년 ‘개인정보보호 교육 및 소통·홍보 계획’을 마련하고, ‘전 직원 대상’ 개인정보보호 역량 강화 활동 및 대상별·수준별 맞춤형 교육을 추진하고 있다. 뿐만 아니라 △개인정보 관리사(CPPG) △ISMS-P △개인정보 영향 평가사 등 전문 자격 취득 지원을 통해 개인정보보호 전문가 육성에도 힘쓰고 있다. 또한 내부 조직성과(BSC) 및 개인성과에도 개인정보보호 업무 활동 참여를 연계해 개인정보가 보다 안전하게 처리될 수 있도록 관리·독려하고 있다.

또한 기관장 주도 하에 일상 속 개인정보보호 실천 문화 확산을 위한 소통·홍보 활동도 활발하게 전개하고 있다. 매월 ‘개인정보보호 및 사이버보안진단의 날’을 지정해 실시하고 있으며, 정부의 ‘개인정보보호의 날’과 연계한 △홍보 포스터 공모전 △우수 사례·아이디어 공모전, 그리고 국민 대상 개인정보보호 리플릿 배포 등 대외적인 활동도 이어가고 있다.

보건복지부·한국인터넷진흥원·의약분야단체 등 유관기관과 밀도 높은 협력체계 구축
심평원은 지난해 개인정보 보호법 전면 개정에 대비해 외부 전문기관에 ‘개인정보보호 관리 및 진단 컨설팅’을 의뢰해 진행했다. 이를 통해 △기관 내 개인정보 관리체계 취약점 도출 △개인정보 처리 업무 위탁 관리 및 개인정보 상시모니터링 운영 지침 마련 △개인정보 내부 관리계획 수립 등 기관 내 관련 제규정을 정비 및 이행 점검하면서 안전한 개인정보 내부 관리체계 구축을 위해 노력을 기울였다.

아울러 보건복지부·한국인터넷진흥원(KISA) 등의 유관기관과 함께 △개인정보보호 전문기관 실무협의회 △4대 사회보험 개인정보보호 실무협의체 등 다양한 협력체계를 구축했다. 특히 2020년 보건복지부로부터 ‘보건의료분야 결합 전문기관’으로 최초 지정된 바 있는 심평원은 지난해 10월 재지정되며 ‘가명 정보 결합 업무’를 수행하며 데이터 산업의 핵심 도구인 가명 정보 처리·활용을 위해 적극 지원하고 있다.

또한 보건의료 전문 공공기관으로서 ‘의약분야 개인정보보호 자율규제 전문기관’으로 지정돼 의약분야 자율규제단체 6곳과 함께 요양기관이 진료 정보 관리 실태 점검 및 보호조치를 스스로 할 수 있도록 지원하고 있다. 제공되는 의약분야 개인정보보호 자율규제 주요 서비스로 △의료기관 국민의료정보 표준관리기준 마련 △국민의료정보 안전관리 환경 제공 △의약분야 정보보호 전문가 양성 △요양기관 맞춤형 교육 △대화형 자율상담봇 서비스 △개인정보보호 위험관리 예측시스템(안전신호등) 서비스 등이 있다.

개인정보보호 관리의 ‘사각지대’ 예방 위한 ‘개인정보보호 중심 설계(PbD)’
심평원은 다양한 기술 변화와 고도화된 IT 환경 속에서 기관 내 개인정보보호 및 관리 ‘사각지대’ 해소를 위해 ‘개인정보보호 중심 설계(PbD : Privacy by Design)’ 입각을 위한 노력을 기울이고 있다. 신규 정보시스템 구축·변경 시 개인정보보호 담당자가 개인정보 처리 흐름 분석 및 개인정보 영향평가 대상 여부 확인 등의 기획·설계 단계부터 참여해 폐기 단계까지의 개인정보 처리의 전체 생애주기(Life Cycle)를 고려한 것이다.

이러한 사각지대 없는 디지털 개인정보보호 체계 구축을 위해 심평원은 ‘개인정보 상시모니터링시스템’ 운영 기준 및 관제 시스템 강화로 ‘HIRA 개인정보 안심 환경’을 조성해 나갈 것이라고 밝혔다. 이와 관련해 ICT전략실 정보보호부 신현석 부장은 “직원들의 개인정보 업무와 관련된 어려움을 해소하기 위해 대외 전문가 등을 초빙해 업무별 맞춤형 교육·자문을 실시할 예정”이라면서, “전 직원 대상 ‘개인정보보호 교육 및 소통·홍보 만족도 조사’를 실시해 직원과 개인정보 부서 간 소통 채널 확대 및 현장 애로사항 등을 수렴해 ‘HIRA 개인정보보호 실천 문화 확산에 기여하고자 한다”고 전했다.

이어 신 부장은 “올해 목표는 개인정보 유·노출 무사고 및 16년 연속 정부 평가 최고등급 달성이라는 값진 성과를 원점(Zero-base)에서 바라보고 재검토하는 것”이라면서, “이를 위해 가장 중요한 개인정보보호 관리체계 재정비와 함께 국민의 의료정보를 다루는 직원 교육 및 인식 개선에 모든 역량을 집중함으로써 전 임직원이 최선을 다해 국민의 의료정보를 더욱 안전하고 소중하게 지킬 수 있도록 하겠다”고 덧붙였다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기