의료기관의 IT 거버넌스를 위한 병원 직원의 개인정보 관리 현황 조사연구 (How Do they Manage Personal Information in Hospital? - A Survey Study for IT Governance in Hospitals -)

IT 거버넌스의 목적은 정보기술 성과가 조직의 목적과 연계되어 효익 실현에 부합하도록 하는데 있고 이를 위하여 IT 거버넌스는 위험 관리와 가치 전달이라는 두 가지 현안을 다루게 된다. 위험 관리는 조직의 목적을 달성하기 위하여 자산이 가진 취약성과 위협을 식별하고 자산의 가치를 기준으로 하여 위험을 대응할 수 있는 수준으로 감소시키기 위한 대책을 결정하는 프로세스를 말한다. 사람은 조직의 자산으로 기여하지만 조직에 피해를 입힐 수 있는 위협의 요인이자 위험을 유발하는 취약성이 될 수 있으며 이러한 취약성과 위협이 제대로 파악되지 않을 경우에 조직은 위기에 빠질 수 있다. 개인정보는 현대 조직의 최우선 자산인 동시에 정보주체의 프라이버시권 대상 인자라는 양면성을 가지고 있는데 현행 개인정보 보호 관련 법률은 고유식별정보와 민감정보의 처리를 엄격하게 제한하고 있지만 의료기관은 진료라는 본연의 목적을 달성하기 위하여 필연적으로 고유식별정보와 민감정보를 다루게 된다. 본 연구는 의료정보를 취급하는 병원 직원을 대상으로 그들의 정보 관리 현황을 조사하여 내재된 취약성을 파악하고 의료정보가 위협으로부터 안전한 상태인지 여부를 확인하고자 이행되었다. 특정 대학병원 직원들을 대상으로 구조적 설문도구를 이용하여 관련 법제도가 제시 또는 의무화한 개인정보취급자의 정보 처리 조치에 준하는 패스워드 관리를 포함한 정보시스템 접근 관리와 암호화를 중심으로 자료를 수집하였다. 연구 결과 응답자의 약 70%가 사용하는 패스워드에서 취약성이 발견되었으며 1/3의 응답자는 패스워드를 타인과 공유하는 것으로 나타났다. 운영체제 접근 시 패스워드를 설정하는 응답자는 50.6%였으며 31.2%만이 자리를 비울 때 로그오프를 하는 것으로 조사되었다. 분실ㆍ도난ㆍ유출 등으로부터 보호되어야 하는 중요 정보를 개인용 저장장치에 보유하고 있는 직원은 48.5%였으며 해당 정보에 암호화 조치를 이행하고 있는 직원은 그 중 약 1/4에 그쳤다. 효과적인 위험 관리는 조직의 위험 성향에 대한 명확한 이해에서 시작된다. 연구의 한계에도 불구하고 본 연구 결과가 의료정보를 취급하는 조직들이 스스로의 취약성을 이해하고 전사적 차원의 위험 관리 전략을 수립하는데 의미 있는 자료가 될 것으로 기대한다.

IT governance aims at risk mitigation and business value delivery. Human resources are important assets of organization but also can be key factor of the threat and vulnerability which may harm that system. Personal information has two sides as the most valuable asset of organization and the target to be protected by the privacy law. The law strictly restricts use of personal identifiable information and sensitive information within narrow limits. To achieve the primary goal, medical treatment, healthcare organizations must deal with personal information. This study is to investigate inherent vulnerability through research survey of hospital staffs who manage information and to examine whether personal health information is safe from threat. 70% of respondents use weak password and one third of them share their password with others. 50.6% of respondents set password for access operating system and only 31.2% log out when not in use. 48.5% save confidential information in their personal storage and only one fourth execute encryption.