헬스케어 회사가 챙겨야 할 보안 6수칙
제3자 데이터 유출, 내부자 사고보다 피해 2배
최근 한 연구에 의하면 외부인(제3자)의 실수가 헬스분야 데이터 유출문제의 39%를
차지한다고 한다. 한 보안전문가에 따르면 헬스케어 기관들은 자기들이 갖고 있는
개인 건강정보를 누구에게 맡기고 있는지 잘 봐야 하는 이유가 여기 있다.
보안전문업체 크롤의 업무담당임원 브라이언 래피더스는 “헬스케어 산업에서
개인정보와 보안 기준은 매우 높다”면서 “하지만 오늘날 세계경제는 점점 더 제3자로
하여금 굉장히 중요하고 매우 민감한 기능을 하도록 하고 있다”고 말한다.
최근 연구에 따르면 제3자의 보안실수가 끼친 손해가 내부자 실수보다 건당 302달러
대 158달러로 꼭 2배였다.
래피더스가 말하는 하청업체나 제3자 파트너와 일할 때 반드시 챙겨야 하는 6가지
보안관련 질문을 알아본다.
1. 종업원들에 대해 어떤 종류의 신원조회를 하시나요?
불행히도 데이터 유출사건의 상당 건수가 악의적인 내부자의 소행이다. 이러한
위험을 방지하는 수단은 하청업체가 안전이나 보안 관련해 자기 종업원들을 철저하게
스크린 할 수밖에 없다.
2. 우리 데이터는 어떻게, 어디에 보관하나요?
헬스 케어 업체는 반드시, 그리고 정확히 데이터가 어디에 어떻게 보관되는지
이해해야 한다. 그리고 데이터에 접근이 가능한 사람이 누구인지 분명하게 밝히는
통제표시가 제자리에 있어야 한다.
3. 귀 회사는 종업원들에게 깊이 있는 프라이버시 교육을 하고 있습니까?
하청업체의 종업원들은 정보의 민감성을 깨닫고 정보를 적절히 다루기 위한 훈련을
반드시 받아야 한다. 이들 종업원은 데이터 유출이 있을 때 이를 인식하고 내부적으로
이 소식이 퍼져나가는 경로에 대해 숙지해야 한다. 종업원들은 데이터 유출과 관련한
법적 계약적 또는 규정상 결과를 알고 있어야 한다.
4. 데이터 보관상태를 우리가 현장에서 점검하거나 확인하게 할 것입니까?
헬스케어 업체가 정기적으로 점검하거나 현장 확인을 하는 것은 계약서에 명시할
수 있다. 하청업체가 공인된 국제기준에 의해 인증을 받거나 유명한 평가기관에서
보안능력을 확인 받았다면 더 도움이 된다.
5. 귀 회사는 데이터 유출사고가 났을 때 대응방안이 제대로 있습니까?
아무리 잘 짜인 동맹관계라고 해도 데이터 유출이나 해킹에 당할 수 있는 보안상
허점은 있을 수 있다. 그러므로 응급 대응방안을 미리 설명받는 것이 중요하다. 일단
일이 나면 기민하게 적용할 대응방안이 필요하다.
6. 어떤 재하청업체와 일할 것이며 보안상 기밀은 어디까지 공개할 것입니까?
하청업체 또는 파트너업체는 재하청업체와 일하게 된다. 이때에 대비해 헬스케어
업체는 하청업체에게 재하청에 앞서 그들에게는 어디까지 정보를 공개할 것인지 물어두는
게 좋다.
이 내용은 헬스케어IT뉴스가 7일 보도했다.